閉鎖ソフトウェア環境モードの ALT SP での本製品の実行

このセクションでは、閉鎖ソフトウェア環境モードの ALT SP オペレーティングシステムで本製品を起動する方法について説明します。

ALT SP オペレーティングシステムでアプリケーションを実行する場合:

  1. 次のコマンドを実行して、閉鎖ソフトウェア環境モード(有効になっている場合)を無効にします。

    integrity-remover

  2. 次のコマンドを実行して、IMA ポリシーをさらに変更するための kesl グループを作成します。

    groupadd kesl

  3. 次のコマンドを実行して、作成されたグループの一意の識別子 (GUID) を確認します:

    cat /etc/group | grep kesl

  4. kesl グループを除外するように IMA ポリシーを編集します。そのためには:
    1. 次のコマンドを実行して、/usr/share/integrity/policy ファイルをコピーします。

      cp /usr/share/integrity/policy /etc/integrity/policy

    2. 次のコマンドを実行して、テキストエディター(vim など)を使用して /etc/integrity/policy ファイルを編集します。

      vim /etc/integrity/policy

    3. dont_measure fsmagic=0xf97cff8c の行(通常 dont_measure セクションの最後の行)の後に、dont_measure fgroup=<GUID> の行を追加します。<GUID> は、手順 2 で作成されたグループの一意の識別子です。
    4. dont_appraise fsmagic=0x27e0eb の行(通常 dont_appraise セクションの最後の行)の後に、dont_appraise fgroup=<GUID> の行を追加します。<GUID> は、手順 2 で作成されたグループの一意の識別子です。
    5. 変更を保存します。
  5. usr/sbin/integrity-sign ファイルで、list_all_files 機能を編集し、閉鎖環境モードで実行を許可する本製品の許可リストに Kaspersky Endpoint Security を追加します。そのためには:
    1. 次のコマンドを実行して、テキストエディター(vim など)を使用して /usr/sbin/integrity-sign ファイルを編集します。

      vim /usr/sbin/integrity-sign

    2. list_all_files 機能を探し、機能本体の find -P で始まる行で、/var/opt および /opt の下にある Kaspersky Endpoint Security のディレクトリを、各ディレクトリの列挙の末尾に追加します。
    3. 変更を保存します。
  6. Kaspersky Endpoint Security をインストールします。インストール後に製品データベースのアップデートが正しく機能することを確認するには、初期設定段階で製品データベースのアップデートの開始を拒否します(そのためには、製品データベースのアップデート手順で「no」を入力します)。
  7. 次のコマンドを実行して、Kaspersky Endpoint Security のアップデート可能なコンポーネントに kesl グループおよびディレクトリ権限の継承を割り当てます:

    cd /var/opt/kaspersky/kesl/<ビルド番号_*>/var/opt/kaspersky/kesl/private

    chown -R root:kesl updates/

    find updates -type d -exec chmod g+s {} \;

    cd /opt/kaspersky/kesl/lib64

    chown -R root:kesl updatable_modules/

    find updatable_modules -type d -exec chmod g+s {} \;

    cd /var/opt/kaspersky/kesl/common/

    chown -R root:kesl temp/

    find temp -type d -exec chmod g+s {} \;

  8. 次のコマンドを実行して、ネットワークエージェントのアップデート可能なコンポーネントに kesl グループとディレクトリ権限の継承を割り当てます:

    cd /var/opt/kaspersky/

    chown -R root:kesl klnagent/

    find klnagent/ -type d -exec chmod g+s {} \;

    cd /opt/kaspersky/

    chown -R root:kesl klnagent64/

    find klnagent64/ -type d -exec chmod g+s {} \;

  9. 次のコマンドを使用してシステムの署名を開始し、閉鎖ソフトウェア環境モードを有効にします:

    integrity-applier -i -A

  10. 次のコマンドを実行して、IMA サブシステムが有効になっていることを確認します:

    cat /proc/cmdline

    コマンド出力には、lsm=integrity ima_hash=sha512 ima_appraise=enforce の行が含まれている必要があります。

  11. 定義データベースのアップデートタスクを起動するには、次のコマンドを実行します:

    kesl-control --start 6 -W

    出力に EventType=BasesApplied イベントが含まれている場合、定義データベースのアップデートが正しく実行されたことを意味します。

    本製品を仮想環境の保護のために Light Agent モードで使用している場合は、製品データベースが自動的にアップデートされるまでお待ちください。kesl-control --app-info コマンドを使用して、データベースのアップデートに関する情報を表示できます。出力には、製品データベースが読み込まれたかどうか、および製品データベースが最後にリリースされた時刻に関する情報が含まれます。

  12. 次のコマンドを実行して、本製品を再起動します:

    systemctl restart kesl

ページのトップに戻る