격리된 네트워크의 취약점을 수정하도록 격리된 중앙 관리 서버 구성
인터넷 액세스가 가능한 중앙 관리 서버를 구성한 후, 네트워크 내에서 격리된 모든 중앙 관리 서버를 준비하면 격리된 중앙 관리 서버에 연결된 관리 대상 기기에서 취약점 수정 및 업데이트 설치를 진행할 수 있습니다.
격리된 중앙 관리 서버를 구성하려면 각 중앙 관리 서버에 대해 다음 단계를 수행합니다.
- 취약점 및 패치 관리(VAPM) 기능에 대한 라이센스 키를 활성화합니다.
- 중앙 관리 서버가 설치된 디스크에 다음과 같은 폴더 두 개를 만듭니다.
- 필요한 업데이트 목록의 폴더
- 패치 폴더
이 폴더의 이름은 임의 지정할 수 있습니다.
- 운영 체제의 표준 관리 도구를 사용하여 생성된 폴더의 KLAdmins 그룹에 대한 수정 권한을 부여합니다.
- klscflag 유틸리티를 사용하여 중앙 관리 서버 속성의 폴더에 대한 경로를 지정합니다.
명령줄을 실행한 후 klscflag 유틸리티를 사용하여 현재 디렉터리를 해당 디렉터리로 변경합니다. klscflag 유틸리티는 중앙 관리 서버가 설치된 디렉터리에 있습니다. 기본 설치 경로는 /opt/kaspersky/ksc64/sbin입니다.
- 명령줄에서 다음 명령을 실행합니다.
- 패치 폴더의 경로를 설정하려면 다음을 수행합니다.
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "<
path to the folder>" - 필요한 업데이트 목록의 폴더 경로를 설정하려면 다음을 수행합니다.
klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<
path to the folder>"
예시:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "/FolderForPatches" - 패치 폴더의 경로를 설정하려면 다음을 수행합니다.
- 필요하다면, klscflag 유틸리티를 사용하여 격리된 중앙 관리 서버가 새 패치를 확인할 빈도를 지정합니다.
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <
value in seconds>기본 값은 120 초입니다.
예시:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 120 - 필요하다면, klscflag 유틸리티를 사용하여 패치의 SHA256 해시를 계산합니다.
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1
이 명령을 실행하면 격리된 중앙 관리 서버로 전송하는 동안 패치가 수정되지 않았는지, 필요한 업데이트가 포함된 올바른 패치를 수신했는지 확인할 수 있습니다.
기본적으로 Kaspersky Security Center Linux는 패치의 SHA256 해시를 계산하지 않습니다. 이 옵션을 활성화하면 격리된 중앙 관리 서버가 패치를 수신한 후 Kaspersky Security Center Linux가 해당 해시를 계산하고 획득한 값을 중앙 관리 서버 데이터베이스에 저장된 해시와 비교합니다. 계산된 해시가 데이터베이스의 해시와 일치하지 않으면 오류가 발생하며 잘못된 패치를 교체해야 합니다.
- 취약점 및 필요한 업데이트 검색 작업을 생성하여 관리 중인 장치에 설치된 타사 소프트웨어의 패치에 대한 정보를 얻은 후 작업 스케줄을 설정합니다 .
- 취약점 해결 에 사용되는 타사 소프트웨어용 패치를 지정한 다음 작업 스케줄을 설정합니다.
지정된 작업 일정보다 일찍 실행하려면 작업을 수동으로 실행하십시오. 작업이 시작되는 순서가 중요합니다. 취약점 해결 작업은 취약점 및 필요한 업데이트 검색 작업을 완료한 후 실행해야 합니다.
- 중앙 관리 서버 서비스를 다시 시작합니다.
모든 중앙 관리 서버를 구성한 후 패치 및 필요한 업데이트 목록을 전송하고 격리된 네트워크 내에서 관리되는 기기에 대한 타사 소프트웨어 취약점을 수정합니다.