Вы находитесь на странице: 1из 96

Positive Technologies

MultiScanner
Версия 0.11

Руководство по внедрению
© АО "Позитив Текнолоджиз", 2019.

Настоящий документ является собственностью АО  "Позитив  Текнолоджиз" (далее —


"Позитив  Текнолоджиз") и защищен законодательством Российской Федерации и
международными соглашениями об авторских правах и интеллектуальной собственности.

Копирование документа либо его фрагментов в любой форме, распространение, в том


числе в переводе, а также их передача третьим лицам возможны только с письменного
разрешения "Позитив Текнолоджиз".

Документ может быть изменен без предварительного уведомления.

Positive Technologies, Positive Hack Days, PTSECURITY, MaxPatrol, XSpider, SurfPatrol, N-Scope,
Positive Technologies Application Firewall, Positive Technologies Application Inspector, Positive
Technologies MultiScanner, Positive Technologies Reporting Portal являются
зарегистрированными товарными знаками либо товарными знаками
"Позитив Текнолоджиз".

Иные товарные знаки, использованные в тексте, приведены исключительно в


информационных целях, исключительные права на них принадлежат соответствующим
правообладателям. "Позитив Текнолоджиз" не аффилировано с такими правообладателями
и не производит продукцию, маркированную такими знаками.

Дата редакции документа: 20.02.2019


Содержание

Содержание
1. Об этом документе ........................................................................................................................................................................  6
1.1. Условные обозначения................................................................................................................................................... 6
1.2. Другие источники информации о PT MS ...................................................................................................................... 7
2. О PT MS............................................................................................................................................................................................  8
3. Аппаратные и программные требования ...................................................................................................................................  9
4. Архитектура PT MS.......................................................................................................................................................................  10
5. Типовые схемы развертывания PT MS.....................................................................................................................................  14
5.1. Схема развертывания Standalone Edition ................................................................................................................... 14
5.2. Схема развертывания Mail Edition .............................................................................................................................. 15
5.3. Схема развертывания Storage Edition......................................................................................................................... 16
5.3.1. Контроль файловых хранилищ в режиме inbox .....................................................................................  17
5.3.2. Контроль файловых хранилищ в режиме слежения .............................................................................  18
5.4. Схема развертывания Portal Edition............................................................................................................................ 18
5.5. Схема развертывания Proxy Edition ............................................................................................................................ 20
5.6. Схема развертывания Traffic Edition........................................................................................................................... 21
6. Развертывание PT MS .................................................................................................................................................................  22
6.1. Ручная установка и настройка антивирусов ............................................................................................................. 22
6.1.1. Установка и настройка Avast Core Security.............................................................................................  23
6.1.2. Установка и настройка Bitdefender GravityZone .....................................................................................  24
6.1.2.1. Настройка установочного пакета Bitdefender GravityZone .............................................  24
6.1.2.2. Локальная установка Bitdefender GravityZone ..................................................................  27
6.1.2.3. Удаленная установка Bitdefender GravityZone ..................................................................  29
6.1.2.4. Настройка обновлений Bitdefender GravityZone ...............................................................  33
6.1.2.5. Настройка прокси-соединения Bitdefender GravityZone ..................................................  33
6.1.3. Установка и настройка Comodo Antivirus for Linux ................................................................................  34
6.1.4. Установка и настройка F-Secure Linux Security.......................................................................................  35
6.1.4.1. Установка дополнительных пакетов для F-Secure Linux Security..................................  35
6.1.4.2. Загрузка и распаковка архива с установщиком F-Secure Linux Security.......................  35
6.1.4.3. Установка F-Secure Linux Security.......................................................................................  36
6.1.4.4. Настройка F-Secure Linux Security.......................................................................................  37
6.1.5. Установка и настройка Sophos Anti-Virus for Linux ................................................................................  38
6.1.5.1. Загрузка и распаковка архива с установщиком Sophos Anti-Virus for Linux ................  38
6.1.5.2. Установка Sophos Anti-Virus for Linux ................................................................................  39
6.1.5.3. Настройка Sophos Anti-Virus for Linux ................................................................................  40
6.1.5.4. Установка динамического интерфейса ............................................................................  40
6.1.5.5. Настройка динамического интерфейса ............................................................................  41
6.1.6. Установка и настройка Symantec Protection Engine for Network Attached Storage.............................  47
6.1.6.1. Создание архива с Symantec Protection Engine for Network Attached Storage ..............  48
6.1.6.2. Установка Symantec Protection Engine for Network Attached Storage в ОС Ubuntu .......  49
6.1.6.3. Смена ICAP-порта Symantec Protection Engine for Network Attached Storage................  50
6.2. Установка SaltStack....................................................................................................................................................... 51
6.2.1. Проверка имен узлов, предназначенных для установки PT MS..........................................................  52
6.2.2. Установка Salt Master ................................................................................................................................  53
6.2.3. Установка Salt Minion в ОС Linux ..............................................................................................................  53
6.2.4. Установка Salt Minion в ОС Windows........................................................................................................  54

3
Содержание

6.2.5. Подключение экземпляров Salt Minion к Salt Master ............................................................................  54


6.3. Настройка репозиториев.............................................................................................................................................. 55
6.4. Распаковка архива с установщиком PT MS............................................................................................................... 55
6.5. Настройка сценария развертывания PT MS .............................................................................................................. 56
6.5.1. Правила изменения файла config.yaml ...................................................................................................  56
6.5.2. Настройка синхронизации времени ........................................................................................................  58
6.5.3. Настройка DNS-сервера.............................................................................................................................  59
6.5.4. Настройка установки обязательных компонентов ...............................................................................  59
6.5.4.1. Настройка установки агента сообщений ..........................................................................  60
6.5.4.2. Настройка установки хранилища промежуточных результатов...................................  60
6.5.4.3. Настройка установки хранилища отсканированных файлов ........................................  61
6.5.4.4. Настройка установки службы лицензирования...............................................................  61
6.5.4.5. Настройка установки агрегатора .......................................................................................  62
6.5.4.6. Настройка установки веб-серверов...................................................................................  63
6.5.4.7. Настройка установки веб-приложений .............................................................................  64
6.5.4.8. Настройка установки модулей управления заданиями .................................................  64
6.5.4.9. Настройка установки служб уведомлений .......................................................................  65
6.5.4.10. Настройка установки основной базы данных .................................................................  65
6.5.4.11. Настройка установки антивирусного агента....................................................................  66
6.5.5. Настройка уровня чувствительности сканирования ............................................................................  66
6.5.6. Настройка развертывания по схеме Mail Edition...................................................................................  67
6.5.7. Настройка развертывания по схеме Storage Edition .............................................................................  68
6.5.7.1. Настройка установки сканера файловых хранилищ.......................................................  68
6.5.7.2. Настройка сканера файловых хранилищ в режиме inbox ..............................................  69
6.5.7.3. Настройка сканера файловых хранилищ в режиме слежения ......................................  70
6.5.7.4. Регулирование нагрузки при сканировании файловых хранилищ ...............................  71
6.5.8. Настройка развертывания по схеме Portal Edition ................................................................................  72
6.5.9. Настройка развертывания по схеме Proxy Edition.................................................................................  73
6.5.10. Настройка развертывания по схеме Traffic Edition ...............................................................................  74
6.6. Настройка лицензирования PT MS ............................................................................................................................. 75
6.6.1. Настройка лицензирования PT MS с использованием аппаратного ключа......................................  76
6.6.2. Настройка лицензирования PT MS с использованием программного ключа...................................  76
6.6.2.1. Активация программного лицензионного ключа............................................................  76
6.6.2.2. Установка службы лицензирования в ОС Windows.........................................................  77
6.7. Процедура развертывания PT MS ............................................................................................................................... 78
6.8. Установка модуля захвата трафика в схеме развертывания Traffic Edition......................................................... 78
6.8.1. Установка модуля захвата трафика ........................................................................................................  79
6.8.2. Настройка модуля захвата трафика........................................................................................................  79
6.8.3. Настройка правил извлечения файлов...................................................................................................  80
6.8.4. Запуск модуля захвата трафика ..............................................................................................................  81
6.9. Настройка ICAP-клиента в схеме развертывания Proxy Edition.............................................................................. 81
7. Обновление продукта..................................................................................................................................................................  84
8. Диагностика и устранение неисправностей ............................................................................................................................  85
8.1. Устранение возможных проблем в работе антивирусов......................................................................................... 85
8.1.1. Устранение возможных проблем ESET Gateway Security......................................................................  85
8.1.2. Устранение возможных проблем Kaspersky Anti-Virus SDK..................................................................  85
8.2. Сбор файлов журналов для отправки в техническую поддержку.......................................................................... 86

4
Содержание

9. Обращение в службу технической поддержки ........................................................................................................................  87


9.1. Техническая поддержка на портале ........................................................................................................................... 87
9.2. Техническая поддержка по телефону......................................................................................................................... 88
9.3. Время работы технической поддержки ..................................................................................................................... 88
9.4. Как служба технической поддержки работает с заявками ..................................................................................... 88
9.4.1. Предоставление информации для технической поддержки ...............................................................  89
9.4.2. Типы инцидентов ....................................................................................................................................... 89
9.4.3. Время реакции на обращение и приоритизация инцидентов..............................................................  90
9.4.4. Выполнение работ по заявке....................................................................................................................  91
Приложение А. Список поддерживаемых антивирусов ...................................................................................................................  93
Приложение Б. Формат URI для сообщений ICAP-клиента...............................................................................................................  94

5
Об этом документе

1. Об этом документе
Руководство по внедрению содержит информацию для планирования и выполнения
развертывания Positive Technologies MultiScanner (далее также — PT MS) в инфраструктуре
организации. В руководстве вы найдете типовые схемы развертывания PT MS, а также
инструкции по установке и первоначальной настройке продукта.
Руководство адресовано руководителям и специалистам IT-подразделения организации,
которые планируют и выполняют развертывание PT MS.
Комплект документации PT MS включает в себя следующие документы:
• Этот документ.
• Руководство пользователя — содержит подробную информацию о сценариях работы
с продуктом, о настройке функций продукта для решения конкретных задач.
• Руководство администратора — содержит справочную информацию и инструкции по
настройке и администрированию продукта.

В этом разделе
• Условные обозначения (см. раздел 1.1)
• Другие источники информации о PT MS (см. раздел 1.2)

1.1. Условные обозначения


В документе приняты условные обозначения (см. таблицу 1).

Таблица 1. Условные обозначения

Пример текста с условным обозначением Описание


Внимание! При выключении модуля сни- Предупреждения. Содержат информацию
жается уровень защищенности сети о действиях или событиях, которые могут
иметь нежелательные последствия
Примечание. Вы можете создать дополни- Примечания. Содержат советы, описания
тельные отчеты важных частных случаев, дополнительную
или справочную информацию, которая мо-
жет быть полезна при работе с продуктом

► Чтобы открыть файл, Начало инструкции выделено специаль-


ным значком
нажмите кнопку
Нажмите кнопку ОК Названия элементов интерфейса (напри-
мер, кнопок, полей, пунктов меню) выделе-
ны полужирным шрифтом

6
Об этом документе

Пример текста с условным обозначением Описание


Выполните команду Stop-Service Текст командной строки, примеры кода,
прочие данные, которые нужно ввести с
клавиатуры, выделены специальным
шрифтом. Также выделены специальным
шрифтом имена файлов и пути к файлам и
папкам
Ctrl+Alt+Delete Комбинация клавиш. Чтобы использовать
комбинацию, клавиши нужно нажимать
одновременно
<Название программы> Переменные заключены в угловые скобки

1.2. Другие источники информации о PT MS


Вы можете найти дополнительную информацию о PT MS на www.ptsecurity.com и на
портале технической поддержки support.ptsecurity.com.
Портал support.ptsecurity.com содержит статьи базы знаний, новости обновлений продуктов
"Позитив Текнолоджиз", ответы на часто задаваемые вопросы пользователей. Для доступа
к базе знаний и всем новостям нужно создать учетную запись на портале.
Если вы не нашли нужную информацию или решение проблемы самостоятельно,
обратитесь в службу технической поддержки (см. раздел 9).
Вы можете пройти обучение по PT MS в одном из учебных центров, авторизованных
"Позитив Текнолоджиз". Перечень учебных центров можно найти на www.ptsecurity.com.

7
О PT MS

2. О PT MS
Система многопоточной проверки файловых ресурсов Positive Technologies MultiScanner
(PT MS) — это программный комплекс, который позволяет проводить многопоточное
сканирование файлов набором антивирусных программ и получать отчеты о результатах
сканирования. С помощью PT MS пользователь может получить оценку опасности,
исходящей от файлов, получаемых извне информационной системы.

8
Аппаратные и программные требования

3. Аппаратные и программные требования


Продукт может быть развернут как на физических серверах, так и в средах виртуализации.
В качестве ОС используется 64-разрядная версия Ubuntu Server 14.04.
Аппаратные требования для работы продукта могут меняться в зависимости от желаемой
производительности PT MS, от количества установленных антивирусов, от максимального
объема хранилища отсканированных файлов и от планируемой нагрузки (см. таблицу
ниже).

Таблица 2. Аппаратные требования

Параметр Значение
Минимальное Рекомендуемое
Ядер процессора 8 16
ОЗУ 12 ГБ 32 ГБ
Жесткий диск 40 ГБ 500 ГБ

Для работы службы лицензирования требуется:


• при поставке лицензии в виде аппаратного ключа: USB-интерфейс;
• при поставке лицензии в виде программного ключа: ОС семейства Windows (начиная
с Windows XP), установленная на сервере или виртуальной машине (виртуальная
машина со службой лицензирования не должна мигрировать).
Модуль захвата трафика рекомендуется устанавливать на физический сервер.
Минимальные аппаратные требования для работы модуля:
• процессор с AVX (Advanced Vector Extensions);
• сетевая карта на чипе Intel (например, Intel Ethernet I350 DP 1Gb или Intel X520 DP
10Gb).
Для захвата трафика со скоростью 1 Гбит/с модуль захвата трафика дополнительно
требует минимум 8 ядер процессора и 32 ГБ ОЗУ.

9
Архитектура PT MS

4. Архитектура PT MS
Каждый компонент PT MS может быть установлен на отдельную виртуальную машину или
на виртуальную машину с любым другим компонентом без каких-либо ограничений.
Например, вся система может быть развернута на одной виртуальной машине.
Компоненты продукта (см. таблицу 3) могут быть следующих типов:
• Обязательные и необязательные. Обязательные компоненты должны быть
установлены в любом случае, необязательные вводятся в зависимости от варианта
установки.
• Единичные и множественные. Единичные компоненты могут существовать только в
одном экземпляре. Множественные компоненты могут быть установлены в любом
количестве для повышения производительности системы и достижения ее
отказоустойчивости за счет масштабирования.
Примечание. Стандартные номера портов транспортных протоколов могут быть
переопределены перед развертыванием.

Таблица 3. Компоненты продукта

Компонент Назначение Тип Стандартный порт


Веб-сервер Графический поль- Обязательный, мно- TCP:80 (HTTP),
зовательский ин- жественный TCP:443 (HTTPS)
терфейс под управ-
лением веб-сервера
nginx
Веб-приложение Веб-приложение Обязательный, мно- TCP:5000
графического поль- жественный
зовательского ин-
терфейса на основе
Flask
Служба лицензиро- Лицензирование Обязательный, еди- TCP:7502
вания продукта при помо- ничный
щи USB-ключа или
программного клю-
ча
Почтовый сервер Прием и передача Необязательный, TCP:25
сообщений элек- множественный
тронной почты. В
качестве интер-
фейсной части ис-
пользуется агент
пересылки сообще-
ний Postfix

10
Архитектура PT MS

Компонент Назначение Тип Стандартный порт


Модуль захвата Захват сетевого Необязательный, —
трафика корпоративного множественный
трафика
Антивирусный Связка PT MS с ан- Обязательный, мно- —
агент тивирусами. Дол- жественный
жен устанавливать-
ся на одном узле с
антивирусами
Агент сообщений Агент обмена вну- Обязательный, еди- TCP:5672
тренними сообще- ничный
ниями между
компонентами си-
стемы. Работает на
платформе
RabbitMQ
Сканер файловых Выявление вредо- Необязательный, —
хранилищ носных файлов в множественный
каталогах файло-
вой системы с за-
данной периодично-
стью
Основная база дан- Хранение парамет- Обязательный, еди- TCP:5432
ных ров системы, отче- ничный
тов с результатами
сканирований.
Управляется СУБД
PostgreSQL
ICAP-сервер Интеграция с систе- Необязательный, TCP:1344
мами, работающи- множественный
ми по ICAP
Хранилище проме- Временное (не бо- Обязательный, еди- TCP:6379
жуточных результа- лее 1 часа) хране- ничный
тов ние промежуточных
результатов выпол-
нения задач в БД
типа Redis
Хранилище отска- Хранение отскани- Обязательный, еди- TCP:7555
нированных файлов рованных файлов ничный
на жестком диске и
в оперативной па-
мяти

11
Архитектура PT MS

Компонент Назначение Тип Стандартный порт


Агрегатор Хранение результа- Обязательный, еди- TCP:7666
тов сканирований. ничный
Управляется СУБД
PostgreSQL
Модуль управления Постановка в оче- Обязательный, мно- —
заданиями редь задач на ска- жественный
нирование файлов
Служба уведомле- Рассылка уведом- Обязательный, мно- TCP:25 (для элек-
ний лений на адреса жественный тронной почты),
электронной почты UDP:514 (для серве-
через внешний по- ра syslog)
чтовый сервер и в
системный журнал
(syslog) определен-
ного сервера

На схеме ниже обязательные компоненты выделены белым (множественные) и синим


(единичные) цветами, необязательные компоненты (точки входа трафика в продукт, всегда
множественные) — зеленым; компоненты или сущности, не являющиеся частью PT MS, —
серым. Стрелки указывают направления соединений.

12
Архитектура PT MS

Сервисы Система, Сетевой


внешней Почтовые Файловые
Браузер работающая корпоративный
аутентификации клиенты хранилища
по ICAP трафик

Модуль Сканер
Веб- Почтовый
Веб-сервер ICAP-сервер захвата файловых
приложение сервер
трафика хранилищ

Хранилище Хранилище
Агент Служба
Основная БД промежуточных отсканированн
сообщений лицензирования
результатов ых файлов

Модуль Внешний
Антивирусный Служба
управления почтовый
агент уведомлений
заданиями сервер

Внешний
Агрегатор
сервер syslog

Рисунок 1. Взаимодействие компонентов PT MS

13
Типовые схемы развертывания PT MS

5. Типовые схемы развертывания PT MS


В зависимости от приобретенной вами лицензии на продукт вам доступны одна или
несколько схем развертывания, каждая из которых подробно описана ниже.

В этом разделе
• Схема развертывания Standalone Edition (см. раздел 5.1)
• Схема развертывания Mail Edition (см. раздел 5.2)
• Схема развертывания Storage Edition (см. раздел 5.3)
• Схема развертывания Portal Edition (см. раздел 5.4)
• Схема развертывания Proxy Edition (см. раздел 5.5)
• Схема развертывания Traffic Edition (см. раздел 5.6)

5.1. Схема развертывания Standalone Edition


Эта схема позволяет пользователям самостоятельно отправлять файлы на сканирование в
PT MS и получать результаты этого сканирования.
Компоненты, необходимые для реализации схемы развертывания Standalone Edition,
являются обязательными и для остальных схем развертывания.
PT MS устанавливается как отдельный сервис в корпоративной сети. Он позволяет
анализировать загружаемые вручную файлы, а также вести базу знаний и статистики по
загруженным файлам и результатам сканирований и уведомлять пользователей об
обнаруженном вредоносном ПО в ранее загруженных файлах. Пользователи отправляют
файлы на проверку через интерфейс продукта либо во вложениях писем на специальный
корпоративный почтовый ящик.
Сотрудники отдела ИБ оперативно узнают о появившемся вредоносном ПО и принимают
необходимые меры противодействия.
Также в PT MS предусмотрена возможность сканирования ранее загруженных файлов по
расписанию после обновления антивирусных баз (ретроспективный анализ). Таким
образом могут быть обнаружены угрозы в файлах, которые раньше считались
безопасными. Глубина ретроспективного анализа напрямую зависит от объема хранилища
отсканированных файлов. Ретроспективный анализ доступен также во всех остальных
схемах развертывания.
Ниже представлен алгоритм работы продукта в схеме развертывания Standalone Edition.

14
Типовые схемы развертывания PT MS

Интернет
Пользователь PT MS Сотрудники
отдела ИБ

Рисунок 2. Схема развертывания Standalone Edition

Алгоритм работы:
1. Пользователь загружает файл из интернета, получает по электронной почте или
копирует с внешнего накопителя.
2. Пользователь отправляет этот файл на сканирование в PT MS через интерфейс или во
вложении письма на специальный адрес электронной почты.
3. PT MS сканирует файл и отображает результаты проверки в интерфейсе PT MS или
пересылает их в ответном сообщении электронной почты.
4. При настроенном ретроспективном анализе PT MS по заданному расписанию
перепроверяет файл после обновления антивирусных баз. Если прошлый результат
сканирования не подтвердится и файл будет признан опасным, PT MS уведомит об этом
сотрудников отдела ИБ.

5.2. Схема развертывания Mail Edition


Особенность схемы развертывания Mail Edition — возможность автоматически выявлять
вредоносное ПО в почтовом трафике организации. Для этого PT MS устанавливается в
сетевой инфраструктуре и интегрируется с одним или несколькими корпоративными
почтовыми серверами.
Схема развертывания Mail Edition обеспечивает выявление вредоносных файлов в
почтовых вложениях, в том числе архивированных, разделенных на части и защищенных
паролями.
Ниже представлен алгоритм работы продукта в схеме развертывания Mail Edition.

15
Типовые схемы развертывания PT MS

Сотрудник

Интернет

Почтовый PT MS Сотрудники
сервер отдела ИБ

Рисунок 3. Схема развертывания Mail Edition

Алгоритм работы:
1. На ваш корпоративный почтовый сервер приходит письмо с вложением.
2. Почтовый сервер пересылает это письмо сотруднику вашей компании, а копию этого
письма направляет в PT MS.
3. PT MS сканирует вложение полученного письма. Если после проверки (или
запланированной перепроверки) файл из вложения письма оказывается зараженным,
PT MS отсылает письмо об угрозе сотрудникам службы ИБ.
Эта схема развертывания реализуется в дополнение к схеме развертывания Standalone
Edition (см. раздел 5.1).

См. также
• Настройка развертывания по схеме Mail Edition (см. раздел 6.5.6)

5.3. Схема развертывания Storage Edition


Схема развертывания Storage Edition используется для выявления вредоносного ПО в
корпоративных файловых хранилищах или обменниках. Схема позволяет настроить
сканирование нескольких каталогов. Каждый из таких каталогов может контролироваться
в режиме слежения или режиме inbox.
Вы также можете настроить автоматическое сканирование файлов в периоды снижения
сетевого трафика, чтобы снизить нагрузку на файловые хранилища в часы пик.
Эта схема развертывания реализуется в дополнение к схеме развертывания Standalone
Edition (см. раздел 5.1).

В этом разделе
• Контроль файловых хранилищ в режиме inbox (см. раздел 5.3.1)
• Контроль файловых хранилищ в режиме слежения (см. раздел 5.3.2)

16
Типовые схемы развертывания PT MS

5.3.1. Контроль файловых хранилищ в режиме inbox


PT MS может выполнять контроль файловых хранилищ в режиме inbox (см. рисунок ниже).

Сотрудник Файловое PT MS Файловое


хранилище хранилище
(входящий каталог) (исходящий каталог)

Сотрудники Файловое
отдела ИБ хранилище
(карантин)

Рисунок 4. Контроль файловых хранилищ в режиме inbox

Файлы поступают для сканирования во входящий каталог файлового хранилища. В


зависимости от результата сканирования PT MS перемещает исходный файл в исходящий
каталог или в каталог карантина.
Алгоритм работы:
1. Пользователь загружает файл во входящий каталог файлового хранилища.
2. PT MS автоматически запускает сканирование загруженного файла.
3. Если файл оказывается незараженным, PT MS перемещает его в исходящий каталог
файлового хранилища.
4. Если файл оказывается зараженным, PT MS перемещает его в карантинный каталог
файлового хранилища и отсылает сотрудникам службы ИБ письмо об обнаруженной
угрозе.
Примечание. В продукте предусмотрена возможность автоматического перемещения
больших файлов и файлов, которые не были просканированы из-за ошибок, в
отдельные каталоги.

См. также
• Настройка сканера файловых хранилищ в режиме inbox (см. раздел 6.5.7.2)

17
Типовые схемы развертывания PT MS

5.3.2. Контроль файловых хранилищ в режиме слежения


При развертывании продукта по схеме Storage Edition в режиме слежения (см. рисунок 5)
PT MS осуществляет регулярное сканирование файлов в заданных каталогах файловых
хранилищ и уведомляет сотрудников службы ИБ в случае появления вредоносных файлов
— для предотвращения распространения заражения в сети.

Сотрудник Файловое PT MS Сотрудники


хранилище отдела ИБ

Рисунок 5. Контроль файлового хранилища в режиме слежения

Алгоритм работы:
1. Пользователь загружает файл в файловое хранилище.
2. PT MS проверяет файлы в хранилище по заданному расписанию. При каждой новой
проверке PT MS обрабатывает только те файлы, которые появились или были изменены
с момента предыдущей проверки.
3. Если после проверки (или запланированной перепроверки) файл оказывается
зараженным, PT MS отсылает письмо об обнаруженной угрозе сотрудникам службы ИБ.

См. также
• Настройка сканера файловых хранилищ в режиме слежения (см. раздел 6.5.7.3)

5.4. Схема развертывания Portal Edition


Схема развертывания Portal Edition используется для защиты веб-приложений и порталов.
Сервис настраивается на контроль важнейших каталогов этих ресурсов или используется
совместно с решениями для защиты веб-приложений (web application firewalls, WAF), в том
числе с Positive Technologies Application Firewall (PT AF). Для этого продукт устанавливается
внутри контролируемого периметра и интегрируется c WAF посредством ICAP. Такая
интеграция позволяет проверять загружаемый контент антивирусами и дополнительно
защищать веб-приложение от внешних угроз при помощи межсетевого экрана.

18
Типовые схемы развертывания PT MS

Веб-сервер

Интернет
PT AF ICAP
PT MS Сотрудники
отдела ИБ

Рисунок 6. Схема развертывания Portal Edition на примере интеграции с PT AF

Алгоритм работы на примере интеграции с PT AF:


1. PT AF контролирует весь трафик, направленный на веб-сервер.
2. После получения файла PT  AF перенаправляет его для проверки на вредоносное
содержимое в PT MS вместе с дополнительной информацией об источнике загрузки.
3. После сканирования файла PT MS возвращает в PT AF результат сканирования.
4. Если файл не заражен, он перенаправляется на веб-сервер; в противном случае файл
блокируется с соответствующим уведомлением отдела ИБ.
5. При настроенном ретроспективном анализе PT MS по заданному расписанию
перепроверяет файл после обновления антивирусных баз. Если прошлый результат
сканирования не подтвердится и файл будет признан опасным, PT MS уведомит об этом
сотрудников отдела ИБ.
В конечном итоге организации получают:
• защиту веб-приложения и пользователей от вредоносного контента;
• контроль загружаемых пользователями файлов;
• предотвращение утечек конфиденциальных данных, в том числе через веб-ботов;
• детектирование и блокирование вредоносных файлов.
Эта схема развертывания реализуется в дополнение к схеме развертывания Standalone
Edition (см. раздел 5.1).

См. также
• Настройка развертывания по схеме Portal Edition (см. раздел 6.5.8)

19
Типовые схемы развертывания PT MS

5.5. Схема развертывания Proxy Edition


Схема развертывания Proxy Edition используется для перехвата интернет-трафика в
организации и уведомления сотрудников отдела ИБ о вредоносных файлах, обнаруженных
в этом трафике. Для этого PT MS устанавливается на границе контролируемого периметра
и интегрируется со средствами анализа трафика. В качестве таких средств могут выступать
системы обнаружения и предотвращения вторжений (IDS, IPS), прокси-серверы и другие
средства, поддерживающие ICAP. Интеграция позволит настроить проверку всех файлов,
загруженных в автоматическом режиме из внешних подсетей.
Ниже представлен алгоритм работы продукта в схеме развертывания Proxy Edition.

Сотрудники

Интернет
ICAP
IDS/IPS/Proxy PT MS Сотрудники
Network Forensics отдела ИБ

Рисунок 7. Схема развертывания Proxy Edition

Алгоритм работы:
1. Пользователь, скачивая файл из внешних подсетей, инициирует процесс его загрузки
прокси-сервером.
2. После загрузки прокси-сервер перенаправляет файл для проверки в PT MS вместе с
дополнительной информацией о пользователе и источнике загрузки.
3. PT MS пересылает результаты сканирования на прокси-сервер.
4. Файл перенаправляется пользователю.
5. Если после проверки (или запланированной перепроверки) файл оказывается
зараженным, PT MS отсылает письмо об обнаруженной угрозе сотрудникам службы ИБ.
Эта схема развертывания реализуется в дополнение к схеме развертывания Standalone
Edition (см. раздел 5.1).

См. также
• Настройка развертывания по схеме Proxy Edition (см. раздел 6.5.9)

20
О PT MS

2. О PT MS
Система многопоточной проверки файловых ресурсов Positive Technologies MultiScanner
(PT MS) — это программный комплекс, который позволяет проводить многопоточное
сканирование файлов набором антивирусных программ и получать отчеты о результатах
сканирования. С помощью PT MS пользователь может получить оценку опасности,
исходящей от файлов, получаемых извне информационной системы.

8
Развертывание PT MS

6. Развертывание PT MS
В общем случае развертывание PT MS делится на следующие этапы:
1. Ручная установка и настройка антивирусного ПО.
2. Установка SaltStack.
3. Настройка репозиториев.
4. Распаковка архива с установщиком PT MS.
5. Настройка сценария развертывания PT MS.
6. Настройка лицензирования PT MS.
7. Процедура развертывания PT MS.
8. Установка модуля захвата трафика (только для схемы развертывания Traffic Edition).
9. Настройка ICAP-клиента (только для схемы развертывания Proxy Edition).

В этом разделе
• Ручная установка и настройка антивирусов (см. раздел 6.1)
• Установка SaltStack (см. раздел 6.2)
• Настройка репозиториев (см. раздел 6.3)
• Распаковка архива с установщиком PT MS (см. раздел 6.4)
• Настройка сценария развертывания PT MS (см. раздел 6.5)
• Настройка лицензирования PT MS (см. раздел 6.6)
• Процедура развертывания PT MS (см. раздел 6.7)
• Установка модуля захвата трафика в схеме развертывания Traffic Edition (см. раздел
6.8)
• Настройка ICAP-клиента в схеме развертывания Proxy Edition (см. раздел 6.9)

6.1. Ручная установка и настройка антивирусов


В этом разделе приводятся инструкции по установке и настройке антивирусов (см.
приложение А), дистрибутивы которых не входят в комплект поставки PT MS.
Вы можете установить антивирусы на виртуальную машину или сервер, которые
соответствуют аппаратным и программным требованиям (см. раздел 3).
Примечание. Установка и настройка антивирусов, дистрибутивы которых входят в
комплект поставки PT MS, выполняются автоматически — достаточно настроить
установку агентов (см. раздел 6.5.4.11), которые обеспечивают взаимодействие этих
антивирусов с PT MS.

22
Развертывание PT MS

В этом разделе
• Установка и настройка Avast Core Security (см. раздел 6.1.1)
• Установка и настройка Bitdefender GravityZone (см. раздел 6.1.2)
• Установка и настройка Comodo Antivirus for Linux (см. раздел 6.1.3)
• Установка и настройка F-Secure Linux Security (см. раздел 6.1.4)
• Установка и настройка Sophos Anti-Virus for Linux (см. раздел 6.1.5)
• Установка и настройка Symantec Protection Engine for Network Attached Storage (см.
раздел 6.1.6)

6.1.1. Установка и настройка Avast Core Security


► Чтобы установить антивирус:
1. Добавьте в систему репозиторий антивируса:
sudo echo "deb http://deb.avast.com/lin/repo debian release" >> /etc/apt/sources.list

2. Добавьте публичный ключ антивируса:


sudo apt-key add <путь к файлу avast.gpg>

Например:
sudo apt-key add /home/user/downloads/avast.gpg

3. Обновите локальный индекс пакетов:


sudo apt-get update

4. Запустите установку антивируса:


sudo apt-get install avast=2.1.2-1

5. Скопируйте файл лицензии антивируса в каталог с антивирусом:


sudo cp <путь к файлу license.avastlic> /etc/avast

Например:
sudo cp /home/user/downloads/license.avastlic /etc/avast

6. Запустите антивирус:
sudo /etc/init.d/avast start

Антивирус установлен.

23
Развертывание PT MS

6.1.2. Установка и настройка Bitdefender GravityZone


Установка антивируса делится на следующие этапы:
1. Настройка установочного пакета антивируса.
2. Локальная или удаленная установка антивируса.
3. Настройка обновления.
4. Настройка прокси-соединения.
Более подробная информация доступна на сайте производителя антивируса по ссылке
bitdefender.com/support/business.

В этом разделе
• Настройка установочного пакета Bitdefender GravityZone (см. раздел 6.1.2.1)
• Локальная установка Bitdefender GravityZone (см. раздел 6.1.2.2)
• Удаленная установка Bitdefender GravityZone (см. раздел 6.1.2.3)
• Настройка обновлений Bitdefender GravityZone (см. раздел 6.1.2.4)
• Настройка прокси-соединения Bitdefender GravityZone (см. раздел 6.1.2.5)

6.1.2.1. Настройка установочного пакета Bitdefender


GravityZone
► Чтобы настроить установочный пакет Bitdefender GravityZone:
1. Войдите в центр администрирования gravityzone.bitdefender.com, используя данные
вашей учетной записи (см. рисунок ниже).

24
Развертывание PT MS

Рисунок 9. Вход в центр администрирования

2. В меню слева выберите Network → Packages (см. рисунок ниже).

Рисунок 10. Просмотр списка пакетов

25
Развертывание PT MS

3. Нажмите кнопку Add.


4. В блоке параметров General в поле Name введите любое название пакета.
5. В блоке параметров General в списке Modules снимите все флажки (см. рисунок
ниже).

Рисунок 11. Общая настройка пакета

6. В блоке параметров Scan Mode выберите вариант Custom (см. рисунок ниже).

Рисунок 12. Настройка сканирования

7. В появившемся блоке параметров Custom Scan Mode в обоих раскрывающихся


списках выберите Local Scan.
8. В блоке параметров Settings снимите флажок Scan before installation (см. рисунок
ниже).

26
Развертывание PT MS

Рисунок 13. Настройка пакета

9. Нажмите кнопку Save.


Установочный пакет Bitdefender GravityZone настроен.

6.1.2.2. Локальная установка Bitdefender GravityZone


► Чтобы локально установить антивирус:
1. Войдите в центр администрирования gravityzone.bitdefender.com, используя данные
вашей учетной записи (см. рисунок ниже).

Рисунок 14. Вход в центр администрирования

2. В меню слева выберите Network → Packages (см. рисунок ниже).

27
Развертывание PT MS

Рисунок 15. Просмотр пакетов для установки

3. Установите флажок напротив названия пакета, нажмите кнопку Download и выберите


Linux kit (64-bit) (см. рисунок ниже).

Рисунок 16. Загрузка пакета с установщиком

Файл fullKit_unix64.tar либо будет загружен на ваш компьютер.

28
Развертывание PT MS

4. Скопируйте файл fullKit_unix64.tar на сервер, на который планируется


установить антивирус.
5. На этом сервере перейдите в каталог с файлом fullKit_unix64.tar, например:
cd /home/user

6. Распакуйте архив fullKit_unix64.tar:


tar -xf fullKit_unix64.tar

7. Дайте файлу installer права на выполнение:


sudo chmod +x installer

8. Запустите установку антивируса:


sudo ./installer

Bitdefender GravityZone установлен локально.

6.1.2.3. Удаленная установка Bitdefender GravityZone


Примечание. Перед установкой нужно убедиться, что на удаленном сервере установлен
OpenSSH. Вы можете установить его при помощи команды sudo apt-get install
openssh-server.

► Чтобы удаленно установить антивирус:


1. Войдите в центр администрирования gravityzone.bitdefender.com, используя данные
вашей учетной записи (см. рисунок ниже).

29
Развертывание PT MS

Рисунок 17. Вход в центр администрирования

2. В меню слева выберите пункт Network (см. рисунок ниже).

Рисунок 18. Просмотр списка компьютеров и виртуальных машин

30
Развертывание PT MS

3. В верхнем меню выберите Computers and Virtual Machines.


4. Нажмите Tasks и в открывшемся меню выберите пункт Install (см. рисунок ниже).

Рисунок 19. Переход к удаленной установке антивируса

Откроется окно Install client.


5. В блоке параметров Credentials Manager введите имя и пароль администратора Linux
на удаленном сервере и нажмите кнопку Add (см. рисунок ниже).

Рисунок 20. Добавление учетной записи администратора

6. Установите флажок напротив добавленной строки.


7. В группе параметров Deployer установите флажок Custom Communication Server IP/
Hostname (см. рисунок ниже).

Рисунок 21. Ввод данных удаленного сервера

8. В блоке параметров Additional Targets в поле Hostname/IP введите IP-адрес


удаленного сервера.

31
Развертывание PT MS

9. В списке Use package выберите загруженный пакет (см. рисунок ниже).

Рисунок 22. Выбор загруженного пакета

10. Нажмите кнопку Save.


Появится уведомление об успешном добавлении задания (см. рисунок ниже).

Рисунок 23. Переход к списку заданий

11. В уведомлении нажмите на ссылку Go to Tasks section.


Дождитесь окончания удаленной установки: в столбце Status должно быть Finished
(см. рисунок ниже).

Рисунок 24. Отслеживание процесса удаленной установки

Антивирус установлен удаленно.

32
Развертывание PT MS

6.1.2.4. Настройка обновлений Bitdefender GravityZone


► Чтобы настроить обновления антивируса:
1. На сервере с антивирусом задайте адрес и порт сервера обновлений:
sudo /opt/BitDefender/bin/bdsafe registry setkey /BDUX/LiveDaemon/UpdateServers/Default/
Host upgrade.bitdefender.com:80

2. Примените внесенные изменения:


sudo /opt/BitDefender/bin/bdsafe reloadsettings

3. Перезапустите антивирус:
sudo /etc/init.d/bd restart

Обновления антивируса настроены.

6.1.2.5. Настройка прокси-соединения Bitdefender GravityZone


Если доступ в интернет осуществляется через прокси-сервер, настройте прокси-соединение
для антивируса.

► Чтобы настроить прокси-соединение:


1. Включите прокси-соединение:
sudo /opt/BitDefender/bin/bdsafe registry setkey /BDUX/LiveDaemon/UpdateServers/Default/
ProxyOverride/Enabled true

2. Задайте адрес и порт прокси-сервера:


sudo /opt/BitDefender/bin/bdsafe registry setkey /BDUX/LiveDaemon/UpdateServers/Default/
ProxyOverride/Host <адрес>[:порт]

Например:
sudo /opt/BitDefender/bin/bdsafe registry setkey /BDUX/LiveDaemon/UpdateServers/Default/
ProxyOverride/Host 222.222.222.222:3333

3. Если требуется, задайте имя пользователя для подключения к прокси-серверу:


sudo /opt/BitDefender/bin/bdsafe registry setkey /BDUX/LiveDaemon/UpdateServers/Default/
ProxyOverride/User <имя пользователя>

Например:
sudo /opt/BitDefender/bin/bdsafe registry setkey /BDUX/LiveDaemon/UpdateServers/Default/
ProxyOverride/User IvanIvanov

4. Если требуется, задайте пароль пользователя для подключения к прокси-серверу:


sudo /opt/BitDefender/bin/bdsafe registry setkey /BDUX/LiveDaemon/UpdateServers/Default/
ProxyOverride/Password <пароль>

33
Развертывание PT MS

Например:
sudo /opt/BitDefender/bin/bdsafe registry setkey /BDUX/LiveDaemon/UpdateServers/Default/
ProxyOverride/Password Uysu76_Al&

5. Если требуется, задайте домен пользователя для подключения к прокси-серверу:


sudo /opt/BitDefender/bin/bdsafe registry setkey /BDUX/LiveDaemon/UpdateServers/Default/
ProxyOverride/UserDomain <домен>

Например:
sudo /opt/BitDefender/bin/bdsafe registry setkey /BDUX/LiveDaemon/UpdateServers/Default/
ProxyOverride/UserDomain MoscowOffice

Прокси-соединение настроено.

6.1.3. Установка и настройка Comodo Antivirus for Linux


► Чтобы установить антивирус:
1. Установите пакет libssl0.9.8:
sudo apt-get install libssl0.9.8

2. Загрузите установочный пакет антивируса:


wget http://download.comodo.com/cavmgl/download/installs/1000/standalone/cav-
linux_1.1.268025-1_amd64.deb

3. Запустите установку антивируса:


sudo dpkg -i cav-linux_1.1.268025-1_amd64.deb

Примечание. При возникновении проблем с нерешенными зависимостями


выполните команду sudo apt-get -f install.
4. Запустите сценарий настройки антивируса:
sudo /opt/COMODO/post_setup.sh

Вам будет предложено ознакомиться с лицензионным соглашением конечного


пользователя.
5. Для пролистывания текста лицензионного соглашения нажимайте клавишу Enter.
6. После ознакомления с текстом лицензионного соглашения нажмите клавишу Enter,
для того чтобы принять его.
7. Если появится сообщение с требованием ввести адрес электронной почты или
выбрать язык, нажмите клавишу Enter.
По завершении работы установочный сценарий выведет сообщение COMODO Antivirus
is successfully configured, you can start it from Menu or Desktop.
Антивирус установлен и обновится в фоновом режиме.

34
Развертывание PT MS

В этом разделе
• Создание архива с Symantec Protection Engine for Network Attached Storage (см. раздел
6.1.6.1)
• Установка Symantec Protection Engine for Network Attached Storage в ОС Ubuntu (см.
раздел 6.1.6.2)
• Смена ICAP-порта Symantec Protection Engine for Network Attached Storage (см. раздел
6.1.6.3)

6.1.6.1. Создание архива с Symantec Protection Engine for


Network Attached Storage
► Чтобы создать архив с Symantec Protection Engine for Network Attached Storage (на
примере CentOS 7.x):
1. Создайте файл /root/no-ask-questions:
nano /root/no-ask-questions

2. Добавьте в файл следующее содержимое и сохраните изменения:


InstallDir=/opt/SYMCScan

User=symantec

EnableFilteringAndDownloadDefinitions=false

UpdateServer=liveupdate.symantec.com

UpdateServerPort=80

UpdateServerPath=

UpdateServerProxyName=

UpdateServerProxyPort=0

EnableJavaUI=false

EnableInsight=false

#InsightAggressionLevel=1

#Deployment=3

#ApplicationName='Custom'

#AdminPort=8004

#AdminPassword=96525144D1EE4CBBE73501913E0824F7794A1E31A529A83F52FC400E474DF74B7E37CE01A3D
69ECCE5BA92AA05C0D82F6B71EE121C795B0BCBDA9BB50752313C2575534B19CDA14F4DFB9F276ECAE700

#SSLPort=8005

#JavaCmd=

48
Развертывание PT MS

Например, можно получить ссылку с сайта и использовать ее для загрузки файла


напрямую при помощи утилиты wget:
sudo wget https://download.f-secure.com/corpro/ls/current/fsls-11.00.79-rtm.tar.gz -P /opt

2. Перейдите в каталог /opt:


cd /opt

3. Распакуйте загруженный архив:


sudo tar zxvf fsls-<версия>-rtm.tar.gz

Например:
sudo tar zxvf fsls-11.00.79-rtm.tar.gz

Архив с установщиком антивируса скачан и распакован.

6.1.4.3. Установка F-Secure Linux Security


► Чтобы установить антивирус:
1. Перейдите в каталог с распакованным установщиком антивируса, в нашем примере
это fsls-11.00.79-rtm:
cd fsls-11.00.79-rtm

2. Сделайте установочный сценарий исполняемым:


sudo chmod a+x fsls-<версия антивируса>

Например:
sudo chmod a+x fsls-11.10.68

3. Запустите установку антивируса:


sudo ./fsls-<версия антивируса> --command-line-only

Например:
sudo ./fsls-11.00.79 --command-line-only

4. Когда установочный сценарий выведет сообщение о ключе лицензии:


Keycode for F-Secure Linux Security

To install the licensed version of the product, please enter the keycode you have received
with your purchase or press enter to install the fully functional 30-day evaluation
version.

введите ключ и нажмите клавишу Enter.


Антивирус установлен.

36
Развертывание PT MS

6.1.4.4. Настройка F-Secure Linux Security


► Чтобы настроить антивирус:
1. В любом редакторе простых текстовых файлов откройте файл /etc/opt/f-secure/
fssp/fssp.conf.
Например:
sudo nano /etc/opt/f-secure/fssp/fssp.conf

2. В открывшемся файле измените значения следующих параметров на указанные


ниже:
odsFileScanFiles 0

odsScanExecutables 1

odsFileEnableExcludedPaths 0

odsFileScanInsideArchives 1

odsFileMaximumNestedArchives 16

odsFileScanInsideMIME 0

odsFileIgnorePasswordProtected 0

odsStopOnFirst 0

odsFilePrimaryActionOnInfection 1

odsFileSecondaryActionOnInfection 1

odsFilePrimaryActionOnSuspected 1

odsFileSecondaryActionOnSuspected 1

odsScanRiskware 1

odsFilePrimaryActionOnRiskware 1

odsFileSecondaryActionOnRiskware 1

odsFileScanTimeout 300

odsFileScanTimeoutAction 2

odsAskQuestions 1

odsInput 1

odsList 1

odsRaw 1

odsStandalone 2

odsFollowSymlinks 0

odsSilent 0

37
Развертывание PT MS

odsShort 0

odsFileIgnoreMimeDecodeErrors 1

odsFileIgnorePartialMime 1

odsFileIgnoreInvalidMimeHeaders 1

odsFileSkipLarge 1

odsUseFSE 1

odsUseAquarius 1

daemonMaxScanProcesses 16

daemonSocketMode 0600

3. Сохраните изменения в файле /etc/opt/f-secure/fssp/fssp.conf.


4. Измените права доступа к файлу /etc/opt/f-secure/fssp/fssp.conf:
sudo chmod 664 /etc/opt/f-secure/fssp/fssp.conf

Антивирус настроен.

6.1.5. Установка и настройка Sophos Anti-Virus for Linux


Установка антивируса делится на следующие этапы:
1. Загрузка и распаковка архива с установщиком антивируса.
2. Установка антивируса.
3. Настройка антивируса.
4. Установка динамического интерфейса.
5. Настройка динамического интерфейса.

В этом разделе
• Загрузка и распаковка архива с установщиком Sophos Anti-Virus for Linux (см. раздел
6.1.5.1)
• Установка Sophos Anti-Virus for Linux (см. раздел 6.1.5.2)
• Настройка Sophos Anti-Virus for Linux (см. раздел 6.1.5.3)
• Установка динамического интерфейса (см. раздел 6.1.5.4)
• Настройка динамического интерфейса (см. раздел 6.1.5.5)

6.1.5.1. Загрузка и распаковка архива с установщиком Sophos


Anti-Virus for Linux
Перед установкой антивируса вам нужно скачать и распаковать архив с его установщиком.

38
Развертывание PT MS

► Чтобы скачать и распаковать архив с установщиком антивируса:


1. Скачайте архив sav-linux-9-i386.tgz с сайта производителя sophos.com/en-us/
support/downloads в каталог /tmp на сервере.
2. Перейдите в каталог /tmp:
cd /tmp

3. Распакуйте архив sav-linux-9-i386.tgz:


tar -xf sav-linux-9-i386.tgz

Архив с установщиком антивируса скачан и распакован.

6.1.5.2. Установка Sophos Anti-Virus for Linux


► Чтобы установить антивирус:
1. Запустите установку антивируса:
/tmp/sophos-av/install.sh

Вам будет предложено ознакомиться с лицензионным соглашением конечного


пользователя.
2. Для пролистывания текста лицензионного соглашения нажимайте клавишу Enter.
3. После ознакомления с текстом лицензионного соглашения нажмите клавиши Y,
Enter, для того чтобы принять его.
4. Когда установочный сценарий выведет сообщение Where do you want to install
Sophos Anti-Virus? [/opt/sophos-av], нажмите клавишу Enter.
5. Когда установочный сценарий выведет сообщение Do you want to enable on-
access scanning?, нажмите клавиши N, Enter.
6. Когда установочный сценарий выведет сообщение Username for Sophos Anti-
Virus GUI?, нажмите клавишу Enter.
7. Когда установочный сценарий выведет сообщение Password for Sophos Anti-
Virus GUI?, дважды нажмите клавишу Enter.
8. Когда установочный сценарий выведет сообщение Which type of auto-updating
do you want? From Sophos(s)/From own server(o)/None(n) [s], нажмите
клавиши N, Enter.
Антивирус установлен.

39
Развертывание PT MS

6.1.5.3. Настройка Sophos Anti-Virus for Linux


► Чтобы настроить антивирус:
1. Включите обновление баз данных антивируса:
/opt/sophos-av/bin/savconfig set PrimaryUpdateSourcePath sophos:

/opt/sophos-av/bin/savconfig set PrimaryUpdateUsername <имя пользователя (Sophos ID)>

/opt/sophos-av/bin/savconfig set PrimaryUpdatePassword <пароль пользователя>

2. Выполните команды:
/opt/sophos-av/bin/savconfig set ScanArchives enabled

/opt/sophos-av/bin/savconfig set EmailNotifier false

/opt/sophos-av/bin/savconfig set SendErrorEmail false

/opt/sophos-av/bin/savconfig set SendThreatEmail false

/opt/sophos-av/bin/savconfig set LiveProtection false

3. Запустите обновление антивируса:


/opt/sophos-av/bin/savupdate

Антивирус настроен.

6.1.5.4. Установка динамического интерфейса


► Чтобы установить Sophos Anti-Virus Dynamic Interface:
1. Скачайте архив savdi-21-linux-64bit.tgz с сайта производителя sophos.com/en-
us/support/downloads в каталог /tmp на сервере.
2. Распакуйте загруженный архив:
tar -xf /tmp/savdi-21-linux-64bit.tgz

3. Создайте символические ссылки:


ln -s /opt/sophos-av/lib64/libsavi.so.3 /usr/local/lib/libsavi.so.3

ln -s /opt/sophos-av/lib64/libssp.so.0 /usr/local/lib/libssp.so.0

4. Запустите установку Sophos Anti-Virus Dynamic Interface:


sh /tmp/savdi/savdi_install.sh

Примечание. Если в результате установки появится сообщение Warning: Virus


data found at /opt/sophos-av/lib/sav, проигнорируйте его.
Sophos Anti-Virus Dynamic Interface установлен.

40
Развертывание PT MS

6.1.5.5. Настройка динамического интерфейса


► Чтобы настроить Sophos Anti-Virus Dynamic Interface:
1. Удалите содержимое файла /usr/local/savdi/savdid.conf:
sudo > /usr/local/savdi/savdid.conf

2. В любом редакторе простых текстовых файлов откройте файл /usr/local/savdi/


savdid.conf.
Например:
sudo nano /usr/local/savdi/savdid.conf

3. Добавьте в файл следующее содержимое и сохраните изменения:


pidfile: /var/run/savdid.pid

user: root

threadcount: 30

maxqueuedsessions: 2

virusdatadir: /opt/sophos-av/lib/sav

idedir: /var/sav/vdbs

onexception: REQUEST

onrequest: REQUEST

log {

    type: FILE

    logdir: /var/log/savdi/

    loglevel: 0

channel {

    logrequests: NO

    commprotocol {

        type: IP

        address: 127.0.0.1

        port: 1344

        subnet: 127.0.0.1/24

        requesttimeout: 900

        sendtimeout: 2

41
Развертывание PT MS

Примечание. Если количество ядер процессора изменится после развертывания


продукта, значение параметра нужно будет изменить вручную, после чего повторно
развернуть продукт.
4. Сохраните изменения в файле config.yaml.
Установка модулей управления заданиями настроена.

6.5.4.9. Настройка установки служб уведомлений


► Чтобы настроить установку служб уведомлений:
1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции services → multiscanner → notify →
<имя экземпляра службы уведомлений>.
2. Укажите адрес узла, на который вы хотите установить компонент, и порт для приема
входящих соединений от других компонентов. Настройка выполняется при помощи
параметров host и port соответственно (см. раздел 6.5.1).
3. В параметре workers укажите количество одновременных процессов компонента.
Значение по умолчанию отсутствует: количество процессов равно количеству ядер
процессора на сервере или виртуальной машине, на которую разворачивается
компонент.
Примечание. Если количество ядер процессора изменится после развертывания
продукта, значение параметра нужно будет изменить вручную, после чего повторно
развернуть продукт.
4. Сохраните изменения в файле config.yaml.
Установка служб уведомлений настроена.

6.5.4.10. Настройка установки основной базы данных


► Чтобы настроить установку основной базы данных:
1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции services → multiscanner → database.
2. Укажите адрес узла, на который вы хотите установить компонент, и порт для приема
входящих соединений от других компонентов. Настройка выполняется при помощи
параметров host и port соответственно (см. раздел 6.5.1).
3. В параметре user укажите имя пользователя БД. Значение по умолчанию — ms-user.
4. В параметре password укажите пароль пользователя БД. Значение по умолчанию —
ms-user.
5. Сохраните изменения в файле config.yaml.
Установка основной базы данных настроена.

65
Развертывание PT MS

            #savists: DynamicDecompression 1

            #savists: Upx 1

            #savists: ExecFileDisinfection 1

            #savists: Ole2FileDisinfection 1

            #savists: Elf 1

            #savists: MachO 1

            #savists: SfxArchives 0

            #savists: ZipDecompression 0

            #savists: ZipUseChd 1

            #savists: ArjDecompression 0

            #savists: RarDecompression 0

            #savists: UueDecompression 0

            #savists: GZipDecompression 0

            #savists: CmzDecompression 0

            #savists: MSCabinet 0

            #savists: ISCabinet 0

            #savists: ISCabinetFull 1

            #savists: ITSS 0

            #savists: TarDecompression 0

            #savists: TnefAttachmentHandling 0

            #savists: TnefEmbedHandling 0

            #savists: Lha 0

            #savists: MSCompress 0

            #savists: ActiveMimeHandling 1

            #savists: Pdf 1

            #savists: HqxDecompression 0

            #savists: MbinDecompression 0

            #savists: AppleSingle 0

            #savists: Bzip2 0

            #savists: Stuffit 0

            #savists: LoopBackEnabled 0

            #savists: OpenMacRf 1

43
Развертывание PT MS

            #savists: PalmPilotHandling 1

            #savists: Rtf 1

            #savists: Html 1

            #savists: OLE2Handling 1

            #savists: WordB 1

            #savists: VBA3Handling 1

            #savists: VBA5Handling 1

            #savists: DecompressVBA5 1

            #savists: Vba5p 0

            #savists: ExcelFormulaHandling 1

            #savists: ProjectHandling 1

            #savists: ScrapObjectHandling 1

            #savists: VisioFileHandling 1

            #savists: OleDataMsoHandling 1

            #savists: OleScriptHandling 1

            #savists: OleRawHandling 1

            #savists: SrpStreamHandling 1

            #savists: Office2001Handling 1

            #savists: Vba5Dir 0

            #savists: PowerPointMacroHandling 1

            #savists: PowerPointEmbeddedHandling 1

            #savists: IgnoreTemplateBit 1

            #savists: OF95DecryptHandling 1

            #savists: DelVBA5Project 1

            #savists: HelpHandling 1

            #savists: Skip 1

            #savists: Mime 0

            #savists: Base64 0

            #savists: Vbe 1

            #savists: OutlookExpress 0

            #savists: VbFiltering 0

            #savists: UTF16 1

44
Развертывание PT MS

            #savists: Java 1

            #savists: Access 1

            #savists: CleanJpeg 1

            #savists: CleanBmp 1

            #savists: CleanGif 1

            #savists: CleanRiff 1

            #savists: CleanTiff 1

            #savists: CleanPng 1

            #savists: Xml 0

            #savists: FullMacroSweep 0

            #savists: FullPdf 0

            #savists: FullSweep 0

            #savists: StorageReport 0

            #savists: StorageReportAll 0

            #savists: StorageDetOnly 0

            #savists: DeleteAllMacros 0

            #savists: UnixArchive 0

            #savists: Rpm 0

            #saviint: MaxRecursionDepth 16

            #savists: NamespaceSupport 0

        }

    }

4. Создайте каталоги:
sudo mkdir /var/sav

sudo mkdir /var/sav/vdbs

sudo mkdir /var/log/savdi/

5. Создайте файл /etc/init.d/savdid:


sudo nano /etc/init.d/savdid

6. Добавьте в файл следующее содержимое и сохраните изменения:


#! /bin/sh

### BEGIN INIT INFO

45
Развертывание PT MS

# Provides:          savdid

# Required-Start:    $syslog $time $remote_fs

# Required-Stop:     $syslog $time $remote_fs

# Default-Start:     2 3 4 5

# Default-Stop:      0 1 6

### END INIT INFO

DAEMON="/usr/local/bin/savdid"

PIDFILE="/var/run/savdid.pid"

test -x "$DAEMON" || exit 0

. /lib/lsb/init-functions

case "$1" in

  start)

        log_daemon_msg "Starting savdid"

        /sbin/start-stop-daemon --start --pidfile "$PIDFILE" --exec "$DAEMON" -- -d -
f "$PIDFILE"

        log_end_msg $?

    ;;

  stop)

        log_daemon_msg "Stopping savdid"

        killproc -p "$PIDFILE" "$DAEMON"

        log_end_msg $?

    ;;

  force-reload|restart)

    $0 stop

    $0 start

    ;;

  status)

    status_of_proc -p "$PIDFILE" "$DAEMON" && exit 0 || exit $?

    ;;

  *)

46
Развертывание PT MS

    echo "Usage: $0 {start|stop|restart|force-reload|status}"

    exit 1

    ;;

esac

exit 0

7. Сделайте файл /etc/init.d/savdid исполняемым:


sudo chmod +x /etc/init.d/savdid

8. Добавьте в автозапуск Sophos Anti-Virus Dynamic Interface:


sudo update-rc.d savdid defaults

sudo update-rc.d savdid enable

9. Запустите Sophos Anti-Virus Dynamic Interface:


sudo /etc/init.d/savdid start

Sophos Anti-Virus Dynamic Interface настроен.

6.1.6. Установка и настройка Symantec Protection Engine for


Network Attached Storage
Установочный сценарий антивируса не работает в ОС Ubuntu. По этой причине требуется
установить антивирус в одном из поддерживаемых дистрибутивов Linux:
• Red Hat Enterprise Linux версий 5.x, 6.x и 7.x;
• SUSE Linux Enterprise Server версий 11 и 12;
• CentOS 7.x.
Затем вам нужно собрать архив с файлами антивируса, переместить его в ОС Ubuntu и
распаковать.
Таким образом, установка Symantec Protection Engine for Network Attached Storage делится
на следующие этапы:
1. Установка антивируса и создание архива.
2. Установка антивируса в ОС Ubuntu.
3. Смена порта ICAP.

47
Развертывание PT MS

В этом разделе
• Создание архива с Symantec Protection Engine for Network Attached Storage (см. раздел
6.1.6.1)
• Установка Symantec Protection Engine for Network Attached Storage в ОС Ubuntu (см.
раздел 6.1.6.2)
• Смена ICAP-порта Symantec Protection Engine for Network Attached Storage (см. раздел
6.1.6.3)

6.1.6.1. Создание архива с Symantec Protection Engine for


Network Attached Storage
► Чтобы создать архив с Symantec Protection Engine for Network Attached Storage (на
примере CentOS 7.x):
1. Создайте файл /root/no-ask-questions:
nano /root/no-ask-questions

2. Добавьте в файл следующее содержимое и сохраните изменения:


InstallDir=/opt/SYMCScan

User=symantec

EnableFilteringAndDownloadDefinitions=false

UpdateServer=liveupdate.symantec.com

UpdateServerPort=80

UpdateServerPath=

UpdateServerProxyName=

UpdateServerProxyPort=0

EnableJavaUI=false

EnableInsight=false

#InsightAggressionLevel=1

#Deployment=3

#ApplicationName='Custom'

#AdminPort=8004

#AdminPassword=96525144D1EE4CBBE73501913E0824F7794A1E31A529A83F52FC400E474DF74B7E37CE01A3D
69ECCE5BA92AA05C0D82F6B71EE121C795B0BCBDA9BB50752313C2575534B19CDA14F4DFB9F276ECAE700

#SSLPort=8005

#JavaCmd=

48
Развертывание PT MS

► Чтобы установить службу лицензирования в ОС Windows:


1. Сгенерируйте репозиторий Salt Stack для ОС Windows:
sudo salt-run winrepo.genrepo

2. Обновите локальный индекс пакетов:


sudo salt -v -G 'kernel:Windows' pkg.refresh_db

3. Запустите установку службы лицензирования:


sudo salt -v -G 'kernel:Windows' state.highstate --state-output=mixed --timeout=300

Служба лицензирования установлена в ОС Windows.


Теперь вы можете переходить к развертыванию продукта (см. раздел 6.7).

6.7. Процедура развертывания PT MS


Процедура развертывания продукта запускается на узле с Salt Master.

► Чтобы развернуть PT MS:


1. Обновите локальный индекс пакетов:
sudo salt -v -G 'kernel:Linux' pkg.refresh_db

2. Обновите пакеты:
sudo salt -v -G 'kernel:Linux' pkg.upgrade

3. Запустите процесс развертывания:


sudo salt -v -G 'kernel:Linux' state.highstate --state-output=mixed

PT MS развернут.
Примечание. Если был установлен F-Secure Linux Security, после развертывания PT MS
вам нужно запустить этот антивирус командой sudo service ms-fsavd restart.

6.8. Установка модуля захвата трафика в схеме


развертывания Traffic Edition
Для работы продукта в схеме развертывания Traffic Edition вам нужно установить и
настроить модуль захвата трафика.

В этом разделе
• Установка модуля захвата трафика (см. раздел 6.8.1)
• Настройка модуля захвата трафика (см. раздел 6.8.2)
• Настройка правил извлечения файлов (см. раздел 6.8.3)
• Запуск модуля захвата трафика (см. раздел 6.8.4)

78
Развертывание PT MS

6. Распакуйте архив symantec.tar.gz, собранный в CentOS:


sudo tar -xf symantec.tar.gz --overwrite --directory=/

7. Добавьте антивирус в автозапуск:


sudo update-rc.d symcscan defaults

sudo update-rc.d symcscan enable

8. Скопируйте три файла лицензии с расширением .slf в каталог /opt/Symantec/


Licenses/.
9. Запустите антивирус:
sudo /etc/init.d/symcscan start

Антивирус установлен в ОС Ubuntu.

6.1.6.3. Смена ICAP-порта Symantec Protection Engine for


Network Attached Storage
► Чтобы сменить порт ICAP:
1. В любом редакторе простых текстовых файлов откройте файл /opt/SYMCScan/bin/
configuration.xml.
Например:
sudo nano /opt/SYMCScan/bin/configuration.xml

2. Если версия антивируса 7.5, в параметре configuration → protocol → ICAP → Port


измените значение с 1344 на 7943:
<?xml version="1.0" encoding="UTF-8"?>

<configuration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" version="070501"


xsi:noNamespaceSchemaLocation="configuration.xsd">

    <!-- Protcol settings -->

    <protocol>

        ...

        <ICAP>

            ...

            <Port value="7943"/>

3. Если версия антивируса 7.9, в параметре configuration → ProtocolSettings →


Protocol установите значение ICAP, а в параметре configuration →
ProtocolSettings → ICAP → Port измените значение с 1340 на 7943:
<?xml version="1.0" encoding="UTF-8"?>

50
Развертывание PT MS

<configuration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" version="070900"


xsi:noNamespaceSchemaLocation="configuration.xsd">

    <ProtocolSettings>      

        <Protocol value="ICAP"/>

        <EnableServerTooBusyResponse value="true"/>

        <ICAP>

            <ICAPPreviewAll value="true"/>

            <ICAPResponse value="true"/>

            <Port value="7943"/>

4. Сохраните изменения в конфигурационном файле.


5. Перезапустите антивирус:
sudo /etc/init.d/symcscan restart

Порт ICAP изменен.

6.2. Установка SaltStack


SaltStack — это стороннее ПО для управления конфигурациями компьютерных систем и
удаленного выполнения операций в распределенных системах.
SaltStack распространяется бесплатно по лицензии Apache 2.0 и в поставку PT MS не
включен (вам нужно загрузить его из репозитория разработчика SaltStack).
В SaltStack есть два основных компонента: Salt Master и Salt Minion. Salt Master выступает в
роли централизованной службы для управления экземплярами Salt Minion. Экземпляры
Salt Minion в свою очередь подключаются к Salt Master для получения конфигурационных
данных.
Установка SaltStack является необходимым условием для развертывания и обновления PT
MS и делится на следующие этапы:
1. Вы запускаете установочный сценарий на сервере или виртуальной машине с Salt
Master.
2. Установочный сценарий считывает конфигурационный файл, содержащий адреса
серверов или виртуальных машин с компонентами системы, а также параметры этих
компонентов.

51
Развертывание PT MS

3. Установочный сценарий при помощи Salt Master отправляет команды экземплярам Salt
Minion на удаленных серверах или виртуальных машинах для установки и настройки
компонентов.
4. После установки PT MS администраторы могут задействовать SaltStack для сбора
журнальных файлов и выполнения прочих рутинных задач по удаленному
обслуживанию системы. Более подробная информация и инструкции по работе с
SaltStack доступны на официальном сайте разработчика SaltStack (docs.saltstack.com/
en/2015.8).

В этом разделе
• Проверка имен узлов, предназначенных для установки PT MS (см. раздел 6.2.1)
• Установка Salt Master (см. раздел 6.2.2)
• Установка Salt Minion в ОС Linux (см. раздел 6.2.3)
• Установка Salt Minion в ОС Windows (см. раздел 6.2.4)
• Подключение экземпляров Salt Minion к Salt Master (см. раздел 6.2.5)

6.2.1. Проверка имен узлов, предназначенных для установки


PT MS
Перед установкой SaltStack требуется убедиться, что все узлы, на которых планируется
устанавливать компоненты PT MS, имеют уникальные имена (hostnames).

► Чтобы проверить имена узлов:


1. Получите имена узлов. Для этого в консоли ОС Linux на каждом сервере выполните
команду hostname.
2. Если среди имен узлов встречаются совпадения, измените повторяющиеся имена
узлов на уникальные в файлах /etc/hostname и /etc/hosts (требуются права
пользователя root).
3. Если имена были изменены, на узлах с измененными именами выполните команду:
sudo hostname -F /etc/hostname

Имена узлов проверены.

52
Развертывание PT MS

6.2.2. Установка Salt Master


► Чтобы установить Salt Master:
1. Загрузите репозиторий SaltStack:
wget -O - https://repo.saltstack.com/apt/ubuntu/14.04/amd64/2015.8/SALTSTACK-GPG-KEY.pub |
sudo apt-key add -

2. Добавьте репозиторий SaltStack в ОС Ubuntu:


sudo add-apt-repository 'deb http://repo.saltstack.com/apt/ubuntu/14.04/amd64/2015.8
trusty main'

3. Обновите локальный индекс пакетов:


sudo apt-get update

4. Установите пакет salt-master:


sudo apt-get install salt-master

5. Перезапустите процесс salt-master:


sudo service salt-master restart

Установка Salt Master завершена.

6.2.3. Установка Salt Minion в ОС Linux


► Чтобы установить Salt Minion в ОС Linux:
1. Загрузите репозиторий SaltStack:
wget -O - https://repo.saltstack.com/apt/ubuntu/14.04/amd64/2015.8/SALTSTACK-GPG-KEY.pub |
sudo apt-key add -

2. Добавьте репозиторий SaltStack в ОС Ubuntu:


sudo add-apt-repository 'deb http://repo.saltstack.com/apt/ubuntu/14.04/amd64/2015.8
trusty main'

3. Обновите локальный индекс пакетов:


sudo apt-get update

4. Установите пакет salt-minion:


sudo apt-get install salt-minion

5. Откройте конфигурационный файл с настройками Salt Minion:


sudo nano /etc/salt/minion

6. Раскомментируйте строку master: salt.

53
Развертывание PT MS

7. В этой же строке слово salt замените на IP-адрес сервера Salt Master. Например:
master: 10.120.4.37

8. Перезапустите службу salt-minion:


sudo service salt-minion restart

Установка Salt Minion в ОС Linux завершена.

6.2.4. Установка Salt Minion в ОС Windows


Вам нужно установить Salt Minion на виртуальную машину или сервер с ОС Windows, в
которой будет производиться активация программного лицензионного ключа.

► Чтобы установить Salt Minion в ОС Windows:


1. Установите пакет Microsoft Visual C++ 2008 (SP1).
Вы можете скачать пакет с сайта Microsoft.
2. Скачайте пакет Salt Minion для последнего релиза Salt Stack из ветки 2015.8 и
архитектуры вашей ОС из официального репозитория Salt Stack для ОС Windows по
ссылке repo.saltstack.com/windows.
3. Установите скачанный пакет, следуя подсказкам мастера.
При установке укажите IP-адрес виртуальной машины или сервера с установленным
Salt Master.
Установка Salt Minion в ОС Windows завершена.

См. также
• Активация программного лицензионного ключа (см. раздел 6.6.2.1)

6.2.5. Подключение экземпляров Salt Minion к Salt Master


► Чтобы подключить серверы или виртуальные машины с установленным на них
экземплярами Salt Minion к серверу или виртуальной машине с Salt Master, на сервере
или виртуальной машине с Salt Master выполните следующие шаги:
1. Подтвердите ключи экземпляров Salt Minion:
sudo salt-key -A

2. Проверьте подключение экземпляров Salt Minion к Salt Master:


sudo salt -v '*' test.ping

В случае успешного подключения каждый экземпляр Salt Minion должен ответить True.

54
Развертывание PT MS

6.3. Настройка репозиториев


► Чтобы настроить репозитории:1
1. Убедитесь, что на узлах, на которые планируется устанавливать компоненты
продукта, присутствуют стандартные репозитории ОС Ubuntu 14.04 (компоненты
main и universe). Список репозиториев можно проверить в файле /etc/apt/
sources.list. Например:
deb http://ru.archive.ubuntu.com/ubuntu/ trusty main restricted

deb http://ru.archive.ubuntu.com/ubuntu/ trusty universe

Примечание. В ОС могут использоваться другие зеркала стандартных репозиториев.


2. На узлах, не имеющих доступа во внешнюю сеть, создайте локальные зеркала
вышеупомянутых стандартных репозиториев, а также репозитория СУБД PostgreSQL
9.5, который необходим для установки основной базы данных и агрегатора:
deb http://apt.postgresql.org/pub/repos/apt/ trusty-pgdg main 9.5

Подробную информацию о создании локальных зеркал репозиториев см. по


ссылкам:
• help.ubuntu.ru/wiki/apt-mirror
• help.ubuntu.ru/wiki/создание_зеркала_репозитория
3. На узлах, доступ которых в интернет осуществляется через прокси-сервер, задайте
параметры этого прокси-сервера в конфигурационном файле пакетного менеджера
APT.
Примечание. Подробнее см. по ссылке help.ubuntu.ru/wiki/прокси#apt.
Репозитории настроены.

6.4. Распаковка архива с установщиком PT MS


На сервере с Salt Master должен присутствовать распакованный архив с установщиком PT
MS. Этот архив входит в комплект поставки PT MS.

► Чтобы распаковать архив с установщиком PT MS:


1. Скопируйте архив с установщиком PT MS в любой каталог на сервере с Salt Master.
2. Распакуйте скопированный архив в каталог /srv, используя команду вида:
sudo tar -x -f <путь до архива> --directory=/srv --recursive-unlink

Например:
sudo tar -x -f /home/user/Downloads/multiscanner.0.9.0.180.tar.gz --directory=/srv --
recursive-unlink

Архив с установщиком PT MS распакован.

55
Развертывание PT MS

6.5. Настройка сценария развертывания PT MS


Параметры для разворачивания PT MS хранятся в конфигурационном файле подсистемы
Pillar, являющейся частью SaltStack. Этот конфигурационный файл расположен на сервере
с установленным Salt Master по следующему пути:
/srv/pillar/multiscanner/config.yaml
В этом разделе описываются параметры в файле config.yaml, которые являются
обязательными для развертывания и первичной конфигурации PT MS.

В этом разделе
• Правила изменения файла config.yaml (см. раздел 6.5.1)
• Настройка синхронизации времени (см. раздел 6.5.2)
• Настройка DNS-сервера (см. раздел 6.5.3)
• Настройка установки обязательных компонентов (см. раздел 6.5.4)
• Настройка уровня чувствительности сканирования (см. раздел 6.5.5)
• Настройка развертывания по схеме Mail Edition (см. раздел 6.5.6)
• Настройка развертывания по схеме Storage Edition (см. раздел 6.5.7)
• Настройка развертывания по схеме Portal Edition (см. раздел 6.5.8)
• Настройка развертывания по схеме Proxy Edition (см. раздел 6.5.9)
• Настройка развертывания по схеме Traffic Edition (см. раздел 6.5.10)

6.5.1. Правила изменения файла config.yaml


Ниже приводятся правила, которых нужно придерживаться при изменении файла /srv/
pillar/multiscanner/config.yaml.

Общие правила изменения


Для правки файла вы можете использовать любой редактор простых текстовых файлов.
Например, консольный текстовый редактор nano, входящий в стандартный пакет программ
ОС Ubuntu.
Файл должен быть сохранен в кодировке UTF-8.
Данные должны быть записаны в формате YAML. Подробнее о правилах YAML в контексте
SaltStack см. по ссылке docs.saltstack.com/en/latest/topics/yaml.
После любого изменения файла уже развернутого PT MS необходимо повторно развернуть
систему (см. раздел 6.7).

56
Развертывание PT MS

Правила записи подсекций


При записи подсекций (секций внутри других секций) нужно придерживаться следующих
правил:
• Вы можете удалить подсекцию, если для всех ее параметров используются значения
по умолчанию или если она содержит параметры необязательного компонента,
который вы решили не устанавливать.
• Для настройки нескольких экземпляров компонента нужно продублировать
подсекцию желаемое количество раз, изменить параметры и поменять
идентификаторы экземпляров.
Например:
entrypoints:
    ...
    icap:
        server1:
            host: 192.168.344.99
            port: 1344
            max_requests_size: 52428800
        server2:
            host: 192.168.222.10
            port: 1399
            max_requests_size: 52428800
Внимание! Идентификаторы экземпляров должны быть уникальными в рамках
одного типа компонента и не должны меняться после развертывания системы.

Правила записи параметров


Два параметра актуальны при настройке всех компонентов PT MS:
• host — обязательный параметр, определяющий внешний IPv4-адрес или имя узла, на
котором необходимо установить компонент. В схеме развертывания, при которой
все компоненты устанавливаются на одном сервере, допустимо использовать
значение localhost.
• port — номер порта для приема входящих соединений извне или от компонентов
системы. Если порт не указан, будет использован стандартный (см. раздел 4).
Параметр engines актуален для всех компонентов, которые являются точками входа в PT
MS (секция entrypoints, кроме подсекции web), а именно для агента SPAN, ICAP-сервера,
почтового сервера и сканера файловых хранилищ.

57
Развертывание PT MS

Этот параметр определяет список с кодовыми именами антивирусов (см. приложение А),
которыми нужно сканировать файлы, поступающие на точку входа. Если параметр engines
отсутствует или его значение пусто, то будут использованы все включенные антивирусы.
Если антивирус один, значение параметра все равно должно быть оформлено в виде
списка (с новой строки и через дефис). Например:
entrypoints:
    ...
    suricata:
        server1:
        ...
        engines:
            - clam_av

Параметры, у которых есть значения по умолчанию, могут отсутствовать в


конфигурационном файле. В этом случае установочный сценарий будет использовать эти
значения.

6.5.2. Настройка синхронизации времени


Для корректной работы PT MS в распределенной конфигурации важно, чтобы время на
всех узлах было синхронизировано. Перед развертыванием системы определите, где будет
находиться сервер синхронизации времени (далее также — NTP-сервер), и задайте его
параметры.

► Чтобы настроить NTP-сервер:


1. Откройте файл config.yaml.
2. В параметре ntp → main → host укажите IPv4-адрес или имя узла, который должен
выступать в роли NTP-сервера.
Остальные машины будут подключаться к этому узлу для получения актуального
времени.
3. В параметре ntp → main → server перечислите адреса серверов для синхронизации
времени.
Примечание. Не удаляйте значение 127.127.1.1. Оно потребуется для того, чтобы
узел, указанный в параметре ntp → main → host, смог сам выступать источником
времени пятого уровня (stratum 5) для всех остальных узлов в случае недоступности
или отсутствия внешних серверов синхронизации времени. Подробнее об уровнях
см. по ссылке ntp.org/ntpfaq/NTP-s-algo.htm.
4. В параметре ntp → main → restrict задайте правила подключения клиентов к
серверу, указанному в параметре ntp → main → host.

58
Развертывание PT MS

Подробнее см. по ссылке support.ntp.org/bin/view/Support/AccessRestrictions.


5. Сохраните изменения в файле config.yaml.
NTP-сервер настроен.
В процессе развертывания установочный сценарий добавит параметры синхронизации
времени в файл /etc/ntp.conf на всех узлах с компонентами PT MS.

6.5.3. Настройка DNS-сервера


DNS-сервер необходим для разрешения IP-адресов узлов. Этими узлами могут быть:
• Узлы, адреса которых заданы администратором в виде доменных имен: серверы
почты, системного журнала или внешней аутентификации. В этом случае требуется
настройка корпоративного DNS-сервера.
• Серверы для обновлений антивирусных баз данных. В этом случае могут
использоваться общедоступные DNS-серверы.
Перед развертыванием системы определите, где будет находиться DNS-сервер, и задайте
его параметры.

► Чтобы настроить DNS-сервер:


1. Откройте файл config.yaml.
2. В параметре dns → main → host укажите IP-адрес или имя узла, который должен
выступать в роли DNS-сервера.
3. В параметре dns → main → config → options → forwarders перечислите IP-адреса
DNS-серверов.
Примечание. Для того чтобы IP-адреса разрешались при помощи DNS-сервера
компании Google, оставьте стандартное значение 8.8.8.8. Если разрешение IP-
адресов не требуется, удалите параметр forwarders.
4. Сохраните изменения в файле config.yaml.
DNS-сервер настроен.
В процессе развертывания продукта будет установлен и настроен кэширующий DNS-сервер
BIND 9.

6.5.4. Настройка установки обязательных компонентов


Перед развертыванием продукта вам нужно указать, на каком сервере или виртуальной
машине должен быть установлен тот или иной обязательный компонент, а также задать
параметры каждого компонента. Для этого в файле config.yaml существуют отдельные
секции и подсекции, содержащие параметры компонентов.

59
Развертывание PT MS

В этом разделе
• Настройка установки агента сообщений (см. раздел 6.5.4.1)
• Настройка установки хранилища промежуточных результатов (см. раздел 6.5.4.2)
• Настройка установки хранилища отсканированных файлов (см. раздел 6.5.4.3)
• Настройка установки службы лицензирования (см. раздел 6.5.4.4)
• Настройка установки агрегатора (см. раздел 6.5.4.5)
• Настройка установки веб-серверов (см. раздел 6.5.4.6)
• Настройка установки веб-приложений (см. раздел 6.5.4.7)
• Настройка установки модулей управления заданиями (см. раздел 6.5.4.8)
• Настройка установки служб уведомлений (см. раздел 6.5.4.9)
• Настройка установки основной базы данных (см. раздел 6.5.4.10)
• Настройка установки антивирусного агента (см. раздел 6.5.4.11)

6.5.4.1. Настройка установки агента сообщений


► Чтобы настроить установку агента сообщений:
1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции message_broker.
2. Укажите адрес узла, на который вы хотите установить компонент, и порт для приема
входящих соединений от других компонентов. Настройка выполняется при помощи
параметров host и port соответственно (см. раздел 6.5.1).
3. В параметре user укажите имя пользователя RabbitMQ. Значение по умолчанию —
ms-user.
4. В параметре password укажите пароль для пользователя RabbitMQ. Значение по
умолчанию — ms-user.
5. Сохраните изменения в файле config.yaml.
Установка агента сообщений настроена.

6.5.4.2. Настройка установки хранилища промежуточных


результатов
► Чтобы настроить установку хранилища промежуточных результатов:
1. Откройте файл config.yaml.

60
Развертывание PT MS

Дальнейшая настройка выполняется в секции result_backend.


2. Укажите адрес узла, на который вы хотите установить компонент, и порт для приема
входящих соединений от других компонентов. Настройка выполняется при помощи
параметров host и port соответственно (см. раздел 6.5.1).
3. В параметре password укажите пароль для подключения к БД типа Redis. Значение
по умолчанию — ms-user.
4. Сохраните изменения в файле config.yaml.
Установка хранилища промежуточных результатов настроена.

6.5.4.3. Настройка установки хранилища отсканированных


файлов
► Чтобы настроить установку хранилища отсканированных файлов:
1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции artifactory.
2. Укажите адрес узла, на который вы хотите установить компонент, и порт для приема
входящих соединений от других компонентов. Настройка выполняется при помощи
параметров host и port соответственно (см. раздел 6.5.1).
3. В параметре max_storage_size_gb укажите размер хранилища в гигабайтах.
Значение не должно быть меньше 8. Значение по умолчанию — 50.
4. В параметре data_path укажите каталог хранилища в файловой системе ОС Linux.
Примечание. Если каталог отсутствует, установочный сценарий создаст его и
назначит нужные права доступа.
5. Сохраните изменения в файле config.yaml.
Установка хранилища отсканированных файлов настроена.

6.5.4.4. Настройка установки службы лицензирования


► Чтобы настроить установку службы лицензирования:
1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции license.
2. Укажите адрес узла, на который вы хотите установить компонент, и порт для приема
входящих соединений от других компонентов. Настройка выполняется при помощи
параметров host и port соответственно (см. раздел 6.5.1).
3. Сохраните изменения в файле config.yaml.
Установка службы лицензирования настроена.

61
Развертывание PT MS

См. также
• Настройка лицензирования PT MS (см. раздел 6.6)

6.5.4.5. Настройка установки агрегатора


► Чтобы настроить установку агрегатора:
1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции aggregator.
2. Укажите адрес узла, на который вы хотите установить компонент, и порт для приема
входящих соединений от других компонентов. Настройка выполняется при помощи
параметров host и port соответственно (см. раздел 6.5.1).
3. Если требуется собирать статистику нескольких экземпляров PT MS в службе
Advisory:
• В параметре multiscanner_name укажите название экземпляра PT MS для
отображения в службе Advisory.
• В параметре multiscanner_url укажите внешний IPv4-адрес или доменное имя
экземпляра PT MS для использования в ссылках на страницах службы Advisory. Если
параметр отсутствует, для создания ссылок используются значения параметров
host и port, задаваемые при настройке веб-сервера (см. раздел 6.5.4.6).
4. В подсекции database настройте установку БД агрегатора:
• В параметре host укажите IPv4-адрес или имя узла, на котором должна быть
развернута БД. Значение по умолчанию отсутствует (БД будет развернута на том же
сервере, что и сам агрегатор).
Примечание. Рекомендуется устанавливать БД агрегатора и агрегатор на одном
сервере.
• В параметре user укажите имя пользователя БД. Значение по умолчанию — ms-
aggregator.
• В параметре password укажите пароль пользователя БД. Значение по умолчанию —
ms-aggregator.
5. Если требуется собирать статистику нескольких экземпляров PT MS в службе
Advisory при условии, что разворачиваемый экземпляр PT MS является дочерним
экземпляром, настройте подключение к родительскому экземпляру PT MS при
помощи двух следующих параметров в подсекции database → parent:
• В параметре ip укажите IP-адрес родительского экземпляра PT MS.
• В параметре port укажите порт родительского экземпляра PT MS.
6. Сохраните изменения в файле config.yaml.
Установка агрегатора настроена.

62
Развертывание PT MS

6.5.4.6. Настройка установки веб-серверов


► Чтобы настроить установку веб-серверов:
1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции entrypoints → web → <имя экземпляра
веб-сервера>.
2. В параметре host укажите внешний IPv4-адрес или имя узла, на котором необходимо
установить веб-сервер.
Примечание. В схеме развертывания, при которой все компоненты устанавливаются
на одном сервере, вы можете использовать значение localhost.
3. В параметре secret_key укажите секретный ключ для подписи сеанса в куки.
Значение по умолчанию — $134Xmmm....$.
4. В параметре max_requests_size укажите максимальный размер HTTP-запроса в
байтах. Значение по умолчанию — 52428800.
5. В параметре auth_identity разрешите (значение True) или запретите (значение
False) внешнюю аутентификацию пользователей через сервер аутентификации
Positive Technologies. Значение по умолчанию — False.
6. В параметре server_name укажите имя или имена виртуального сервера. Например,
multiscanner.example.com. Подробнее см. по ссылке nginx.org/ru/docs/http/
server_names.html.
Примечание. Если имя виртуального сервера отсутствует, параметр все равно
должен быть прописан, но иметь пустое значение ("server_name: ").
7. В параметре http → port укажите номер TCP-порта для HTTP-подключения.
8. Если требуется настроить HTTPS-подключение при просмотре страниц интерфейса:
• В параметре https → port укажите номер TCP-порта для HTTPS-подключения.
• В параметре https → private_key введите закрытый ключ SSL-сертификата. Ключ
вводится после подряд идущих пробела, вертикальной черты, перевода строки и
четырех пробелов отступа от уровня private_key (12 пробелов от левого края).
Например:
private_key: |

    -----BEGIN PRIVATE KEY-----

    <ключ в текстовом виде>

    -----END PRIVATE KEY-----

• В параметре https → public_cert введите публичный ключ SSL-сертификата.


Публичный ключ вводится так же, как и закрытый (см. выше).
Примечание. SSL-сертификат может быть самоподписанным или выданным
официальным центром сертификации.

63
Развертывание PT MS

• В параметре http → redirect_to_https включите (значение True) или отключите


(значение False) автоматическое перенаправление на HTTPS при открытии
страницы интерфейса с HTTP.
9. Сохраните изменения в файле config.yaml.
Установка веб-серверов настроена.

6.5.4.7. Настройка установки веб-приложений


► Чтобы настроить установку веб-приложений:
1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции entrypoints → web → <имя экземпляра
веб-сервера> → apps → <имя экземпляра веб-приложения>.
2. Укажите адрес узла, на который вы хотите установить компонент, и порт для приема
входящих соединений от других компонентов. Настройка выполняется при помощи
параметров host и port соответственно (см. раздел 6.5.1).
3. В параметре workers укажите количество одновременных процессов компонента.
Значение по умолчанию отсутствует: количество процессов равно количеству ядер
процессора на сервере или виртуальной машине, на которую разворачивается
компонент.
Примечание. Если количество ядер процессора изменится после развертывания
продукта, значение параметра нужно будет изменить вручную, после чего повторно
развернуть продукт.
4. Сохраните изменения в файле config.yaml.
Установка веб-приложений настроена.

6.5.4.8. Настройка установки модулей управления заданиями


► Чтобы настроить установку модулей управления заданиями:
1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции services → multiscanner →
background → <имя экземпляра модуля управления заданиями>.
2. Укажите адрес узла, на который вы хотите установить компонент, и порт для приема
входящих соединений от других компонентов. Настройка выполняется при помощи
параметров host и port соответственно (см. раздел 6.5.1).
3. В параметре workers укажите количество одновременных процессов компонента.
Значение по умолчанию отсутствует: количество процессов равно количеству ядер
процессора на сервере или виртуальной машине, на которую разворачивается
компонент.

64
Развертывание PT MS

Примечание. Если количество ядер процессора изменится после развертывания


продукта, значение параметра нужно будет изменить вручную, после чего повторно
развернуть продукт.
4. Сохраните изменения в файле config.yaml.
Установка модулей управления заданиями настроена.

6.5.4.9. Настройка установки служб уведомлений


► Чтобы настроить установку служб уведомлений:
1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции services → multiscanner → notify →
<имя экземпляра службы уведомлений>.
2. Укажите адрес узла, на который вы хотите установить компонент, и порт для приема
входящих соединений от других компонентов. Настройка выполняется при помощи
параметров host и port соответственно (см. раздел 6.5.1).
3. В параметре workers укажите количество одновременных процессов компонента.
Значение по умолчанию отсутствует: количество процессов равно количеству ядер
процессора на сервере или виртуальной машине, на которую разворачивается
компонент.
Примечание. Если количество ядер процессора изменится после развертывания
продукта, значение параметра нужно будет изменить вручную, после чего повторно
развернуть продукт.
4. Сохраните изменения в файле config.yaml.
Установка служб уведомлений настроена.

6.5.4.10. Настройка установки основной базы данных


► Чтобы настроить установку основной базы данных:
1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции services → multiscanner → database.
2. Укажите адрес узла, на который вы хотите установить компонент, и порт для приема
входящих соединений от других компонентов. Настройка выполняется при помощи
параметров host и port соответственно (см. раздел 6.5.1).
3. В параметре user укажите имя пользователя БД. Значение по умолчанию — ms-user.
4. В параметре password укажите пароль пользователя БД. Значение по умолчанию —
ms-user.
5. Сохраните изменения в файле config.yaml.
Установка основной базы данных настроена.

65
Развертывание PT MS

6.5.4.11. Настройка установки антивирусного агента


Для того чтобы PT MS мог взаимодействовать с антивирусом, вам нужно настроить
установку одного или нескольких экземпляров его агента.
Агент должен быть установлен на одном узле с антивирусом, с которым взаимодействует.
Поэтому, если антивирус устанавливался вручную (см. раздел 6.1), вам нужно настроить
установку его агента на тот же узел. Для антивируса с автоматическим способом установки
адрес агента будет также адресом установки этого антивируса.

► Чтобы настроить установку антивирусного агента:


1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции services → multiscanner → agent →
engine → <кодовое имя антивируса> → <имя экземпляра антивирусного агента>.
2. В параметре host укажите IPv4-адрес или имя узла, на который необходимо
установить антивирусный агент.
3. В параметре workers укажите количество потоков отправки файлов в антивирус.
Значение по умолчанию — 2.
4. Сохраните изменения в файле config.yaml.
Установка антивирусного агента настроена.

См. также
• Список поддерживаемых антивирусов (см. приложение А)

6.5.5. Настройка уровня чувствительности сканирования


Примечание. Инструкция подходит только для тех антивирусов, которые
устанавливаются автоматически (см. приложение А).
Вы можете задать чувствительность, с которой PT MS сканирует файлы.

► Чтобы настроить уровень чувствительности сканирования:


1. Откройте файл config.yaml.
2. При помощи параметра services → multiscanner → agent →
file_scan_sensitivity_level установите уровень чувствительности сканирования:
• low — низкий;
• medium — средний;
• high — высокий;
• maximum — максимальный.

66
Развертывание PT MS

Значение по умолчанию — medium.


3. Сохраните изменения в файле config.yaml.
Уровень чувствительности сканирования настроен.

6.5.6. Настройка развертывания по схеме Mail Edition


Для настройки установки продукта по схеме Mail Edition вам нужно настроить установку
одного или нескольких почтовых серверов PT MS.

► Чтобы настроить установку почтового сервера:


1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции entrypoints → smtp → <название
экземпляра почтового сервера>.
2. Укажите адрес узла, на который вы хотите установить компонент, и порт для приема
входящих соединений от других компонентов. Настройка выполняется при помощи
параметров host и port соответственно (см. раздел 6.5.1).
3. В параметре engines задайте список антивирусов (см. раздел 6.5.1), при помощи
которых должно производиться сканирование файлов, поступающих в продукт через
почтовый сервер.
4. В параметре networks укажите список сетей, подсетей и IP-адресов, с которых
разрешено принимать письма на проверку PT MS.
Поддерживаемые протоколы: IPv4 и IPv6.
5. В параметре max_requests_size укажите максимальный размер SMTP-запроса в
байтах. Значение по умолчанию — 52428800.
6. Сохраните изменения в файле config.yaml.
Установка почтового сервера настроена.
После развертывания продукта настройте ваш корпоративный почтовый сервер так, чтобы
копии всех писем, отправленных на него, пересылались на установленный почтовый
сервер PT MS.

См. также
• Схема развертывания Mail Edition (см. раздел 5.2)

67
Развертывание PT MS

6.5.7. Настройка развертывания по схеме Storage Edition


Для настройки установки продукта по схеме Storage Edition вам нужно:
1. Настроить установку сканера файловых хранилищ.
2. В подсекции сканера в конфигурационном файле настроить параметры в зависимости
от режима контроля файловых хранилищ (режима слежения или режима inbox).
3. При необходимости настроить распределение нагрузки при сканировании файловых
хранилищ.

В этом разделе
• Настройка установки сканера файловых хранилищ (см. раздел 6.5.7.1)
• Настройка сканера файловых хранилищ в режиме inbox (см. раздел 6.5.7.2)
• Настройка сканера файловых хранилищ в режиме слежения (см. раздел 6.5.7.3)
• Регулирование нагрузки при сканировании файловых хранилищ (см. раздел 6.5.7.4)

См. также
• Схема развертывания Storage Edition (см. раздел 5.3)

6.5.7.1. Настройка установки сканера файловых хранилищ


► Чтобы настроить установку сканера файловых хранилищ:
1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции entrypoints → files → <имя
экземпляра файловых хранилищ>.
2. В параметре host укажите IPv4-адрес или имя узла, на который необходимо
установить экземпляр сканера файловых хранилищ.
3. В параметре engines задайте список антивирусов (см. раздел 6.5.1), при помощи
которых должно производиться сканирование файлов, получаемых от
устанавливаемого сканера файловых хранилищ.
4. В параметре sources задайте список каталогов (точек монтирования) файловых
хранилищ для сканирования.
5. В параметре retry_interval укажите интервал в секундах между попытками
сканирований или перемещений файлов из каталогов sources. Значение по
умолчанию — 600 (10 минут).
6. Сохраните изменения в файле config.yaml.
Установка сканера файловых хранилищ настроена.

68
Развертывание PT MS

6.5.7.2. Настройка сканера файловых хранилищ в режиме


inbox
► Чтобы настроить сканер файловых хранилищ в режиме inbox:
1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции entrypoints → files → <имя
экземпляра файловых хранилищ>.
2. В параметре mode установите значение inbox.
3. При помощи параметра max_size задайте максимальный объем сканируемого файла
в байтах.
Файлы, объем которых превышает это ограничение, не отправляются на
сканирование. Значение по умолчанию — 104857600 (100 МБ).
4. В параметре check_interval укажите интервал в секундах между проверками новых
файлов в каталогах sources.
Когда файл обнаруживается впервые, он только помечается как новый. При
следующей проверке, если размер и содержимое этого файла не изменились, он
отправляется на сканирование. Значение по умолчанию — 30.
5. В параметре outbox_folder укажите путь к каталогу для хранения проверенных
незараженных файлов.
Если параметр отсутствует или его значение пусто, такие файлы будут удаляться
сразу после проверки.
6. В параметре quarantine_folder укажите путь к каталогу для хранения проверенных
зараженных файлов.
Если параметр отсутствует или его значение пусто, такие файлы будут удаляться
сразу после проверки.
7. В параметре unscan_folder укажите путь к каталогу для хранения файлов,
сканирование которых не было выполнено из-за любых причин (например, потому
что они были зашифрованы или повреждены).
Если параметр отсутствует или его значение пусто, такие файлы будут удаляться
сразу после проверки.
8. В параметре big_folder укажите путь к каталогу для хранения файлов, объем
которых превышает значение параметра max_size.
Если параметр отсутствует или его значение пусто, такие файлы будут удаляться из
сканируемого каталога.
9. В параметре danger укажите количество результатов сканирования "зараженный",
достаточное для отправки файла в карантин или удаления (в зависимости от
значения параметра quarantine_folder).

69
Развертывание PT MS

Если параметр отсутствует, имеет пустое значение или равен нулю, файл будет
отправлен в каталог outbox_folder или удален, если таковой каталог не задан.
Значение по умолчанию — 1.
10. В параметре suspicious укажите количество результатов сканирования
"подозрительный", достаточное для отправки файла в карантин или удаления (в
зависимости от значения параметра quarantine_folder).
Если параметр отсутствует, имеет пустое значение или равен нулю, файл будет
отправлен в каталог outbox_folder или удален, если таковой каталог не задан.
Значение по умолчанию — 1.
11. В параметре error_count укажите количество сообщений об ошибке от антивирусов,
достаточное для перемещения файла в каталог unscan_folder или удаления (в
зависимости от значения параметра unscan_folder).
При первой попытке сканирования, в случае возникновения ошибок, не связанных с
самим файлом (например, из-за недоступности антивируса или его агента, истечения
тайм-аута и пр.), этот файл отправляется на сканирование при следующей попытке
сканирования по истечении retry_interval (см. раздел 6.5.7.1). Если значение 0, ошибки
не принимаются во внимание и файлы не перемещаются в каталог unscan_folder.
Значение по умолчанию — 1.
12. Сохраните изменения в файле config.yaml.
Сканер файловых хранилищ настроен в режиме inbox.

См. также
• Контроль файловых хранилищ в режиме inbox (см. раздел 5.3.1)

6.5.7.3. Настройка сканера файловых хранилищ в режиме


слежения
► Чтобы настроить сканер файловых хранилищ в режиме слежения:
1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции entrypoints → files → <имя
экземпляра файловых хранилищ>.
2. В параметре mode установите значение monitor.
3. При помощи параметра max_size задайте максимальный объем сканируемого файла
в байтах.
Файлы, объем которых превышает это ограничение, не отправляются на
сканирование. Значение по умолчанию — 52428800 (50 МБ).
4. В параметре old_age укажите количество часов с момента последнего сканирования
файла, по истечении которых PT MS должен пересчитать хеш-сумму этого файла.

70
Развертывание PT MS

Если параметр отсутствует или имеет пустое или нулевое значение, хеш-сумма не
пересчитывается.
5. Сохраните изменения в файле config.yaml.
Сканер файловых хранилищ настроен в режиме слежения.

См. также
• Контроль файловых хранилищ в режиме слежения (см. раздел 5.3.2)

6.5.7.4. Регулирование нагрузки при сканировании файловых


хранилищ
Вы можете определить, в какие дни и часы сканер файловых хранилищ должен понижать
или повышать количество скачиваемых с хранилища файлов в единицу времени.
Например, вы можете снизить активность сканера файловых хранилищ по будням в
рабочее время, а в остальное время разрешить максимальную нагрузку.

► Чтобы отрегулировать нагрузку на файловые хранилища:


1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции entrypoints → files → <имя
экземпляра файловых хранилищ>.
2. Создайте подсекцию load_control.
3. В созданную подсекцию load_control добавьте следующие параметры:
- rate: 4/m

  range: 9-17

  days:

    - 0

    - 1

    - 2

    - 3

    - 4

4. В параметре rate задайте скорость обработки файлов сканером файловых


хранилищ.
Скорость задается в формате <количество файлов>/<h|m|s>, где количество файлов
— целое число больше нуля, h соответствует часам, m — минутам и s — секундам.
В примере выше (4/m) указана скорость 4 файла в минуту.
5. В параметре range укажите диапазон часов, во время которого должна действовать
скорость, указанная в параметре rate.

71
Развертывание PT MS

Вы можете вводить целые числа от 0 до 23 и только в виде диапазона. Если


параметр отсутствует, указанная скорость будет действовать 24 часа в указанные
дни.
В примере выше (9-17) указан диапазон с 9 утра до 5 вечера.
6. В параметре days перечислите дни, в которые должна действовать скорость,
указанная в параметре rate, где 0 соответствует понедельнику, 1 — вторнику, 2 —
среде и т. д.
Если день один, значение параметра все равно должно быть оформлено в виде
списка (с новой строки и через дефис). Если параметр отсутствует, указанная
скорость будет действовать во все дни.
В примере выше указаны будние дни.
7. Если требуется, задайте другие скорости обработки файлов, действующие в другое
время. Для этого повторите шаги 3—6 желаемое количество раз.
Примечание. При полном или частичном совпадении временных интервалов,
заданных для разных скоростей обработки, сканер файловых хранилищ будет
использовать последнюю скорость в файле. В неуказанные временные интервалы
будет действовать максимально возможная нагрузка.
8. Сохраните изменения в файле config.yaml.
Нагрузка на файловые хранилища отрегулирована.

6.5.8. Настройка развертывания по схеме Portal Edition


Для настройки установки продукта по схеме Portal Edition вам нужно настроить установку
одного или нескольких ICAP-серверов.

► Чтобы настроить установку ICAP-сервера:


1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции entrypoints → icap → <название
экземпляра ICAP-сервера>.
2. Укажите адрес узла, на который вы хотите установить компонент, и порт для приема
входящих соединений от других компонентов. Настройка выполняется при помощи
параметров host и port соответственно (см. раздел 6.5.1).
3. В параметре engines задайте список антивирусов (см. раздел 6.5.1), при помощи
которых должно производиться сканирование файлов, поступающих в продукт через
устанавливаемый ICAP-сервер.
4. В параметре max_requests_size укажите максимальный размер HTTP-запроса в
байтах. Значение по умолчанию — 52428800.
5. В параметре include_file_pattern укажите шаблон разрешенных MIME-типов в
виде регулярного регистронезависимого выражения POSIX.

72
Развертывание PT MS

Если MIME-тип принятого по ICAP файла разрешен, PT MS отправляет его на


сканирование.
Например:
^application/.*.
6. В параметре exclude_file_pattern укажите шаблон запрещенных MIME-типов в
виде регулярного регистронезависимого выражения POSIX.
Если MIME-тип принятого по ICAP файла запрещен, PT MS не отправляет его на
сканирование.
Например:
/jpeg$|/gif$|/png$

Если заданы оба шаблона (разрешенных и запрещенных типов), PT MS сначала


проверяет файл на соответствие шаблону include_file_pattern, затем —
exclude_file_pattern.
7. В параметре unpack_level укажите максимально допустимый уровень вложенности
архивов, отправляемых на сканирование по ICAP.
Примечание. Если параметр не задан, PT MS использует значение параметра
Распаковывать до, настраиваемого на странице Настройки в блоке параметров
Сканирование. Подробную информацию о настройке этого параметра см. в
Руководстве администратора в разделе "Настройка параметров сканирования".
8. Сохраните изменения в файле config.yaml.
После развертывания PT MS вам нужно выполнить настройку на стороне PT AF (см. раздел
об интеграции с продуктами "Позитив Текнолоджиз" в Руководстве администратора PT AF).

См. также
• Схема развертывания Portal Edition (см. раздел 5.4)

6.5.9. Настройка развертывания по схеме Proxy Edition


Для настройки установки продукта по схеме Proxy Edition вам нужно настроить установку
одного или нескольких ICAP-серверов PT MS.

► Чтобы настроить установку ICAP-сервера:


1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции entrypoints → icap → <название
экземпляра ICAP-сервера>.
2. Укажите адрес узла, на который вы хотите установить компонент, и порт для приема
входящих соединений от других компонентов. Настройка выполняется при помощи
параметров host и port соответственно (см. раздел 6.5.1).

73
Развертывание PT MS

3. В параметре engines задайте список антивирусов (см. раздел 6.5.1), при помощи
которых должно производиться сканирование файлов, поступающих в продукт через
устанавливаемый ICAP-сервер.
4. В параметре max_requests_size укажите максимальный размер HTTP-запроса в
байтах. Значение по умолчанию — 52428800.
5. В параметре include_file_pattern укажите шаблон разрешенных MIME-типов в
виде регулярного регистронезависимого выражения POSIX.
Если MIME-тип принятого по ICAP файла разрешен, PT MS отправляет его на
сканирование.
Например:
^application/.*.
6. В параметре exclude_file_pattern укажите шаблон запрещенных MIME-типов в
виде регулярного регистронезависимого выражения POSIX.
Если MIME-тип принятого по ICAP файла запрещен, PT MS не отправляет его на
сканирование.
Например:
/jpeg$|/gif$|/png$

Если заданы оба шаблона (разрешенных и запрещенных типов), PT MS сначала


проверяет файл на соответствие шаблону include_file_pattern, затем —
exclude_file_pattern.
7. В параметре unpack_level укажите максимально допустимый уровень вложенности
архивов, отправляемых на сканирование по ICAP.
Примечание. Если параметр не задан, PT MS использует значение параметра
Распаковывать до, настраиваемого на странице Настройки в блоке параметров
Сканирование. Подробную информацию о настройке этого параметра см. в
Руководстве администратора в разделе "Настройка параметров сканирования".
8. Сохраните изменения в файле config.yaml.
После развертывания PT MS вам будет нужно настроить сторонний ICAP-клиент, который
будет взаимодействовать с этим ICAP-сервером.

См. также
• Настройка ICAP-клиента в схеме развертывания Proxy Edition (см. раздел 6.9)
• Схема развертывания Proxy Edition (см. раздел 5.5)

6.5.10. Настройка развертывания по схеме Traffic Edition


Для настройки установки продукта по схеме Traffic Edition вам нужно настроить
взаимодействие с модулем захвата трафика. Сам модуль захвата трафика
устанавливается после процедуры установки PT MS.

74
Развертывание PT MS

► Чтобы настроить взаимодействие с модулем захвата трафика:


1. Откройте файл config.yaml.
Дальнейшая настройка выполняется в секции entrypoints → suricata → <имя
экземпляра модуля захвата трафика>.
2. В параметре host укажите IPv4-адрес или имя узла, на который вы будете
устанавливать модуль захвата трафика.
3. В параметре engines задайте список антивирусов (см. раздел 6.5.1), при помощи
которых должно производиться сканирование файлов, захватываемых модулем.
4. В параметре file_directory укажите путь к каталогу для временного хранения
файлов, принятых от модуля захвата трафика. Значение по умолчанию — /opt/
ptsecurity/log/files.
Файлы удаляются из этого каталога сразу после их отправки на сканирование.
5. Сохраните изменения в файле config.yaml.
Взаимодействие с модулем захвата трафика настроено.

См. также
• Схема развертывания Traffic Edition (см. раздел 5.6)
• Установка модуля захвата трафика в схеме развертывания Traffic Edition (см. раздел
6.8)

6.6. Настройка лицензирования PT MS


Для работы PT MS вам нужно настроить лицензирование, то есть подключение выданной
вами лицензии на использование продукта и ее проверка. Лицензирование продукта
осуществляется при помощи службы лицензирования и лицензионного ключа, который
может быть либо аппаратным (USB-ключ), либо программным (с активацией по сети).
Перед настройкой лицензирования нужно убедиться, что на узле, на котором будет
развернута служба лицензирования, открыт TCP-порт 7502. Адрес узла со службой
лицензирования указывался на этапе настройки установки службы лицензирования (см.
раздел 6.5.4.4).

В этом разделе
• Настройка лицензирования PT MS с использованием аппаратного ключа (см. раздел
6.6.1)
• Настройка лицензирования PT MS с использованием программного ключа (см. раздел
6.6.2)

См. также
• Аппаратные и программные требования (см. раздел 3)

75
Развертывание PT MS

6.6.1. Настройка лицензирования PT MS с использованием


аппаратного ключа
► Чтобы настроить лицензирование продукта с использованием аппаратного ключа:
1. Вставьте аппаратный ключ в USB-порт сервера.
2. Подключите этот USB-порт к виртуальной машине, на которой планируется
установить службу лицензирования.
Лицензирование продукта с использованием аппаратного ключа настроено.
Теперь вы можете переходить к развертыванию продукта (см. раздел 6.7). Служба
лицензирования будет установлена в процессе развертывания.

6.6.2. Настройка лицензирования PT MS с использованием


программного ключа
Если лицензия к продукту поставляется в виде программного ключа, вам нужно
активировать лицензию и установить службу лицензирования.

В этом разделе
• Активация программного лицензионного ключа (см. раздел 6.6.2.1)
• Установка службы лицензирования в ОС Windows (см. раздел 6.6.2.2)

6.6.2.1. Активация программного лицензионного ключа


Внимание! Перед активацией на узле, на котором будет развернута служба
лицензирования, нужно установить драйверы электронных ключей. Драйверы можно
найти по ссылке guardant.ru/support/download/drivers. Адрес узла со службой
лицензирования указывался на этапе настройки установки службы лицензирования
(см. раздел 6.5.4.4).
Внимание! В ОС Windows, в которой будет производиться активация, должен быть
установлен Salt Minion (см. раздел 6.2.4).

► Чтобы активировать программный лицензионный ключ:


1. На узле, на котором будет установлена служба лицензирования, запустите утилиту
GuardantActivationWizard.exe, поставляемую вместе с файлом лицензии.
Откроется мастер активации лицензий Guardant (см. рисунок ниже).

76
Развертывание PT MS

Рисунок 25. Активация лицензии при помощи мастера

2. Если в списке лицензий отсутствует лицензия PT MS, нажмите кнопку Указать файл
лицензий, в открывшемся окне выберите файл шаблона (*.grdvd), нажмите кнопку
Открыть и затем кнопку Далее.
Примечание. Флажок Режим offline должен быть снят.
3. Введите уникальный серийный номер ключа и нажмите кнопку Далее (см. рисунок
ниже).

Рисунок 26. Ввод серийного номера программного лицензионного ключа

Дождитесь завершения процесса активации.


Программный лицензионный ключ активирован.

6.6.2.2. Установка службы лицензирования в ОС Windows


При поставке лицензии в виде программного ключа вам нужно установить службу
лицензирования в ОС Windows. Шаги в инструкции ниже выполняются на узле с Salt Master.

77
Развертывание PT MS

► Чтобы установить службу лицензирования в ОС Windows:


1. Сгенерируйте репозиторий Salt Stack для ОС Windows:
sudo salt-run winrepo.genrepo

2. Обновите локальный индекс пакетов:


sudo salt -v -G 'kernel:Windows' pkg.refresh_db

3. Запустите установку службы лицензирования:


sudo salt -v -G 'kernel:Windows' state.highstate --state-output=mixed --timeout=300

Служба лицензирования установлена в ОС Windows.


Теперь вы можете переходить к развертыванию продукта (см. раздел 6.7).

6.7. Процедура развертывания PT MS


Процедура развертывания продукта запускается на узле с Salt Master.

► Чтобы развернуть PT MS:


1. Обновите локальный индекс пакетов:
sudo salt -v -G 'kernel:Linux' pkg.refresh_db

2. Обновите пакеты:
sudo salt -v -G 'kernel:Linux' pkg.upgrade

3. Запустите процесс развертывания:


sudo salt -v -G 'kernel:Linux' state.highstate --state-output=mixed

PT MS развернут.
Примечание. Если был установлен F-Secure Linux Security, после развертывания PT MS
вам нужно запустить этот антивирус командой sudo service ms-fsavd restart.

6.8. Установка модуля захвата трафика в схеме


развертывания Traffic Edition
Для работы продукта в схеме развертывания Traffic Edition вам нужно установить и
настроить модуль захвата трафика.

В этом разделе
• Установка модуля захвата трафика (см. раздел 6.8.1)
• Настройка модуля захвата трафика (см. раздел 6.8.2)
• Настройка правил извлечения файлов (см. раздел 6.8.3)
• Запуск модуля захвата трафика (см. раздел 6.8.4)

78
Развертывание PT MS

См. также
• Настройка развертывания по схеме Traffic Edition (см. раздел 6.5.10)
• Схема развертывания Traffic Edition (см. раздел 5.6)
• Аппаратные и программные требования (см. раздел 3)

6.8.1. Установка модуля захвата трафика


► Чтобы установить модуль захвата трафика:
1. Скопируйте на сервер, на который вы планируете устанавливать модуль, следующие
пакеты из комплекта поставки PT MS:
• libgetos_<версия библиотеки>.deb;
• libstdc++<версия библиотеки>.deb;
• pfring-dkms_<версия пакета>.deb;
• pfring_<версия пакета>.deb;
• ptdpi_<версия модуля>.deb.
2. Перейдите в каталог со скопированными пакетами и установите их:
sudo dpkg -i libstdc++<версия библиотеки>.deb pfring_<версия пакета>.deb pfring-
dkms_<версия пакета>.deb libgetos_<версия библиотеки>.deb ptdpi_<версия модуля>.deb

Примечание. При возникновении проблем с нерешенными зависимостями


выполните команду sudo apt-get -f install.
Модуль захвата трафика установлен.

6.8.2. Настройка модуля захвата трафика


► Чтобы настроить модуль захвата трафика:
1. Скопируйте файл ptdpi.ms.yaml.template из комплекта поставки на сервер с
установленным модулем захвата трафика и замените им файл /opt/ptsecurity/
etc/default/ptdpi.yaml.template:
sudo cp ptdpi.ms.yaml.template /opt/ptsecurity/etc/default/ptdpi.yaml.template

2. Откройте файл /opt/ptsecurity/etc/ptdpi.settings.yaml:


sudo nano /opt/ptsecurity/etc/ptdpi.settings.yaml

3. В параметре broker_type установите значение remote.


4. В параметре workers установите значение "".
5. В параметре capture_if задайте имя сетевого интерфейса, трафик с которого вы
хотите захватывать. Например:

79
Развертывание PT MS

capture_if: eth2

6. В параметре log-dir в секции outputs → file-store укажите путь к каталогу для


временного хранения файлов, захваченных модулем. Значение по умолчанию — /
opt/ptsecurity/log/files.
Внимание! Значение этого параметра должно совпадать со значением параметра
file_directory в конфигурационном файле с параметрами разворачивания
продукта (см. раздел 6.5.10).
7. Удалите или оставьте закомментированным остальное содержимое файла /opt/
ptsecurity/etc/ptdpi.settings.yaml.
8. Сохраните изменения в файле /opt/ptsecurity/etc/ptdpi.settings.yaml.
9. Примените внесенные изменения:
sudo /opt/ptsecurity/dpi/sync_configs.py

Модуль захвата трафика настроен.

6.8.3. Настройка правил извлечения файлов


Вы можете задать, какие файлы и из каких протоколов вы хотите захватывать из сетевого
трафика и отправлять на сканирование в PT MS. Для этого используются правила
извлечения файлов.

► Чтобы настроить правила извлечения файлов:


1. Откройте файл /opt/ptsecurity/data/dpi/rules/ptdpi.files.rules:
sudo nano /opt/ptsecurity/data/dpi/rules/ptdpi.files.rules

2. Задайте список правил (каждая строка в файле — отдельное правило) в следующем


формате:
alert <Протокол> <IP-адрес отправителя> <Порт отправителя> -> <IP-адрес получателя> <Порт
получателя> (msg:"<Произвольное сообщение>"; fileext:"<Расширение файла>"; filestore;
noalert; gid:2; sid:<Уникальный идентификатор правила>; rev:1;)

Вместо <Протокол> можно указать http, smtp,  imap,  pop3,  ftp-data и  tftp. Вместо
указания конкретных IP-адресов или портов можно использовать слово any (любой
IP-адрес или порт).
Например:
alert http any any -> any any (msg:"FILE store all"; filestore; sid:1; rev:1;)

Это правило будет использоваться для извлечения файлов из всего HTTP-трафика.


Вы также можете задать форматы файлов для извлечения при помощи параметра
filemagic.

80
Развертывание PT MS

Например:
alert http any any -> any any (msg:"FILE pdf detected"; filemagic:"PDF document";
filestore; sid:2; rev:1;)

Это правило будет использоваться для извлечения только PDF-файлов, полученных


по HTTP.
Примечание. Вы можете получить полный список поддерживаемых типов файлов,
выполнив команду file -l.
Вы также можете задать MIME-типы файлов для извлечения при помощи параметра
filemime.
Например:
alert ip any any -> any any (msg:"FILE store sharedlib"; filemime:"application/zip";
filestore; noalert; gid:2; sid:8; rev:1;)

Это правило будет использоваться для извлечения только ZIP-архивов.


Примечание. Вы можете получить полный список MIME-типов, выполнив команду
cat /etc/mime.types.
3. Сохраните изменения в файле /opt/ptsecurity/data/dpi/rules/
ptdpi.files.rules.
Правила извлечения файлов настроены.

6.8.4. Запуск модуля захвата трафика


После установки и настройки модуля захвата трафика вы можете запустить его.

► Чтобы запустить модуль захвата трафика,


выполните команду:
sudo /opt/ptsecurity/dpi/sensorctl start-all

Модуль захвата трафика запущен.

6.9. Настройка ICAP-клиента в схеме развертывания Proxy


Edition
Для того чтобы обеспечить взаимодействие стороннего ICAP-клиента с ICAP-сервером PT
MS в схеме развертывания Proxy Edition, в параметрах ICAP-клиента вам нужно настроить:
• доступ к ICAP-службам PT MS;
• URI для отправки запросов на ICAP-сервер PT MS и получения ответов от него;

81
Развертывание PT MS

• отправку поля заголовка X-Client-IP с IP-адресом пользователя, который получил


контент или отправил HTTP-запрос (при необходимости записи этой информации в
результаты сканирования);
• отправку поля заголовка X-Client-Username с именем пользователя, который получил
контент или отправил HTTP-запрос (при необходимости записи этой информации в
результаты сканирования).
Примечание. Для отправки имени пользователя в PT MS в ICAP-клиенте должна
быть настроена аутентификация пользователей.
Ниже приводится инструкция по настройке ICAP-клиента на примере прокси-сервера Squid
без описания настройки аутентификации пользователей. Более подробную информацию о
настройке Squid вы можете получить на сайте производителя.

► Чтобы настроить прокси-сервер Squid:


1. В любом редакторе простых текстовых файлов откройте файл /etc/squid3/
squid.conf, расположенный на сервере или виртуальной машине с установленным
прокси-сервером Squid.
Например:
sudo nano /etc/squid3/squid.conf

Внимание! Перед изменением файла сделайте его резервную копию.


Примечание. В некоторых версиях Squid файл squid.conf может находиться в
каталоге /etc/squid или /usr/local/squid/etc.
2. Включите модуль ICAP. Для этого добавьте в любое место в файле следующую
строку:
icap_enable on

3. Настройте подключение к ICAP-серверу PT MS:


• Чтобы на ICAP-сервер поступал трафик, который передается от пользователя на
внешний ресурс за прокси-сервером Squid, добавьте в любое место в файле
следующую строку:
icap_service <Произвольное название ICAP-службы> reqmod_precache <URI>

• Чтобы на ICAP-сервер поступал трафик, который передается от внешнего ресурса


пользователю за прокси-сервером Squid, добавьте в любое место в файле
следующую строку:
icap_service <Произвольное название ICAP-службы> respmod_precache <URI>

Вместо <URI> в обеих строках укажите URI в определенном формате (см. приложение
Б).

82
Развертывание PT MS

Например:
icap_service ptms_req reqmod_precache icap://127.0.0.1:1344/reqrespmod?
timeout=60&dangerous=3&suspicious=2&pass_on_error=y

icap_service ptms_resp respmod_precache icap://127.0.0.1:1344/reqrespmod?


timeout=60&dangerous=3&suspicious=2&pass_on_error=y

4. Настройте доступ к ICAP-службам, указанным на предыдущем шаге. Для этого


добавьте в любое место в файле строки в следующем формате:
adaptation_access <Название ICAP-службы> <Параметры доступа>

Например:
adaptation_access ptms_req allow all

adaptation_access ptms_resp allow all

5. Чтобы Squid отправлял поле заголовка X-Client-IP с IP-адресом пользователя,


скачавшего файл, добавьте в любое место в файле строку:
adaptation_send_client_ip on

6. Чтобы Squid отправлял поле заголовка X-Client-Username с именем пользователя,


скачавшего файл, добавьте в любое место в файле две следующие строки:
adaptation_send_username on

icap_client_username_header X-Client-Username

7. Сохраните изменения в файле squid.conf.


8. Чтобы изменения вступили в силу, перезапустите процесс прокси-сервера Squid:
sudo service squid3 reload

Примечание. В некоторых версиях Squid перезапуск процесса осуществляется


командой sudo service squid reload.
Прокси-сервер Squid настроен.

См. также
• Формат URI для сообщений ICAP-клиента (см. приложение Б)
• Схема развертывания Proxy Edition (см. раздел 5.5)

83
Обновление продукта

7. Обновление продукта
► Чтобы обновить PT MS:
1. Создайте резервную копию файла /srv/pillar/multiscanner/config.yaml. Это
можно сделать, например, при помощи следующей команды:
sudo cp -b /srv/pillar/multiscanner/config.yaml /home/username/backup

Внимание! Резервная копия файла не должна находиться в том же каталоге, что и


оригинал, иначе при обновлении она будет удалена.
2. Если лицензия была обновлена (например, был получен новый USB-ключ),
перенастройте лицензирование (см. раздел 6.6).
3. Разверните новую версию продукта (см. раздел 6.7).
PT MS обновлен.

84
Диагностика и устранение неисправностей

8. Диагностика и устранение неисправностей


В этом разделе описываются возможные проблемы в работе PT MS, варианты их решения,
а также приводится инструкция по сбору файлов журналов для их отправки в службу
технической поддержки.

В этом разделе
• Устранение возможных проблем в работе антивирусов (см. раздел 8.1)
• Сбор файлов журналов для отправки в техническую поддержку (см. раздел 8.2)

8.1. Устранение возможных проблем в работе антивирусов


В этом разделе приводятся инструкции по устранению возможных проблем в работе
антивирусов, работающих с PT MS.

В этом разделе
• Устранение возможных проблем ESET Gateway Security (см. раздел 8.1.1)
• Устранение возможных проблем Kaspersky Anti-Virus SDK (см. раздел 8.1.2)

8.1.1. Устранение возможных проблем ESET Gateway Security


Проблема
Антивирус не обновляется или при его работе возникает ошибка "group 'esets' already exists".

Решение
Удалите группу esets при помощи команды sudo groupdel esets.

8.1.2. Устранение возможных проблем Kaspersky Anti-Virus


SDK
Проблема
Kaspersky Anti-Virus SDK не запускается, выдавая ошибку:
Exception() Cannot create semaphore:No space left on device:28
Ipc::ShmLocker::ShmLocker() at /tmp/automate-temp.1340121837.9568/kavicapserver/libs/
common_files/include/common_files/ipc/memory.h:126 Backtrace: [0x81d7937] [0x81d8221]
[0x81d01e5] [0x81dc802] [0x81e3199] [0xf74aaa83] [0x8155441]

85
Диагностика и устранение неисправностей

Решение
► Чтобы решить проблему:
1. В любом редакторе простых текстовых файлов откройте файл /etc/sysctl.conf.
Например:
sudo nano /etc/sysctl.conf

2. Добавьте в него две следующие строки:


kernel.msgmni = 1024

kernel.sem = 250 256000 32 1024

3. Сохраните изменения в файле /etc/sysctl.conf.


4. Примените внесенные изменения:
sudo sysctl -p

5. Перезапустите антивирус:
sudo /etc/init.d/kav4proxy restart

8.2. Сбор файлов журналов для отправки в техническую


поддержку
Если вам не удалось решить проблему в работе продукта самостоятельно, вы можете
собрать файлы журналов PT MS и отправить их в службу технической поддержки
"Позитив Текнолоджиз" для дальнейшего анализа.
Файлы журналов PT MS хранятся в каталоге /opt/multiscanner/log на каждой
виртуальной машине или сервере с компонентами PT MS. Вы можете собрать файлы
журналов удаленно, используя команды SaltStack.

► Чтобы собрать файлы журналов,


на узле с Salt Master выполните команду:
sudo salt '<имя узла (hostname)>' archive.tar cvzf <путь к архиву .tgz с собранными
журнальными файлами> /opt/multiscanner/log

Например:
sudo salt 'multiscanner-web' archive.tar cvzf /tmp/ms_log.tgz /opt/multiscanner/log

В рабочем каталоге будет создан архив archive.tar с файлами журналов.


Файлы журналов собраны.

86
Обращение в службу технической поддержки

9. Обращение в службу технической поддержки


Техническая поддержка продукта включает в себя следующие услуги:
• решение вопросов эксплуатации продукта, помощь в использовании его
функциональных возможностей;
• диагностику сбоев продукта, включая поиск причины сбоя и информирование
клиента о найденных проблемах;
• разрешение проблем с продуктом, предоставление решений или возможностей
обойти проблему с сохранением всей необходимой производительности;
• устранение ошибок в продукте (в рамках выпуска обновлений к продукту).
Вы можете получать техническую поддержку на портале support.ptsecurity.com или по
телефону. Заявки на портале — основной способ обращений за технической поддержкой.
Этот раздел содержит информацию о способах и условиях получения технической
поддержки.

В этом разделе
• Техническая поддержка на портале (см. раздел 9.1)
• Техническая поддержка по телефону (см. раздел 9.2)
• Время работы технической поддержки (см. раздел 9.3)
• Как служба технической поддержки работает с заявками (см. раздел 9.4)

9.1. Техническая поддержка на портале


Портал support.ptsecurity.com предоставляет вам возможность создавать заявки на
техническую поддержку.
Вы можете создать учетную запись на портале, используя адреса электронной почты,
расположенные на официальном домене вашей организации. Вы также можете указывать
другие адреса электронной почты для учетной записи в качестве дополнительных. Для
оперативной связи укажите в профиле учетной записи название вашей организации и
контактный телефон.
Портал support.ptsecurity.com содержит статьи базы знаний, новости обновлений продуктов
"Позитив Текнолоджиз", ответы на часто задаваемые вопросы пользователей. Для доступа
к базе знаний и всем новостям нужно создать учетную запись на портале.
Портал технической поддержки доступен на русском, английском, немецком и
итальянском языках.

87
Обращение в службу технической поддержки

9.2. Техническая поддержка по телефону


Вы можете связаться со службой технической поддержки по следующим телефонам:
• Великобритания +44 20 3769 3606.
• США +1 857 208 7273.
• Италия +39 0 697631532.
• Швеция +46 8 121 111 86.
• Южная Корея +82 264 108 582.
• Россия +7 495 744 01 44.
• Казахстан +7 727 350 52 92.
Техническая поддержка по телефону предоставляется на русском и английском языке.
Сотрудники технической поддержки по телефону могут выполнить оперативную
диагностику, ответить на простые вопросы или уточнить текущий статус работ по ранее
созданной заявке.
Если решить вопрос по телефону в разумное время (15—20 минут) невозможно, создайте
заявку на портале support.ptsecurity.com. Заявка на портале, созданная и обновляемая по
рекомендациям специалиста технической поддержки, гарантирует дальнейшие работы по
вашему обращению.

9.3. Время работы технической поддержки


На портале технической поддержки вы можете круглосуточно создавать и обновлять
заявки, читать новости продуктов и пользоваться базой знаний. Сотрудники технической
поддержки работают по имеющимся заявкам и принимают обращения по телефону с
понедельника по пятницу с 9:00 до 19:00 UTC+3.

9.4. Как служба технической поддержки работает с заявками


При получении вашей заявки специалист службы технической поддержки классифицирует
инцидент, указанный в заявке (присваивает инциденту тип и уровень значимости) и
выполняет дальнейшие шаги по разрешению инцидента.

В этом разделе
• Предоставление информации для технической поддержки (см. раздел 9.4.1)
• Типы инцидентов (см. раздел 9.4.2)
• Время реакции на обращение и приоритизация инцидентов (см. раздел 9.4.3)
• Выполнение работ по заявке (см. раздел 9.4.4)

88
Обращение в службу технической поддержки

9.4.1. Предоставление информации для технической


поддержки
При обращении за технической поддержкой по первому требованию специалиста
"Позитив Текнолоджиз" нужно предоставить:
• номер лицензии на использование продукта;
• файлы журналов и другие наборы диагностических данных, хранящихся в продукте;
• снимки экрана;
• результаты выполнения рекомендаций специалиста технической поддержки;
• каналы для удаленного доступа к продукту (по взаимному согласованию
оптимального канала диагностики).
"Позитив  Текнолоджиз" не несет обязательств по оказанию технической поддержки в
случае отказа предоставить указанную выше информацию.
Если информация по обращению не предоставлена в течение значительного времени (от
двух недель с момента последней активности), специалист технической поддержки имеет
право считать ваше обращение неактуальным и, уведомив вас, закрыть заявку.

9.4.2. Типы инцидентов


Специалист технической поддержки относит инцидент в вашей заявке к одному из
следующих типов.

Вопросы по установке, повторной установке и предстартовой


настройке продукта
Подразумевается помощь в подготовке продукта к работе, ответы на вопросы на данном
этапе эксплуатации продукта. Техническая поддержка по этим вопросам доступна в
течение 30 дней с момента активации продукта.

Вопросы по администрированию и настройке продукта


Включают в себя вопросы, возникающие в процессе эксплуатации продукта, рекомендации
по оптимизации и настройке параметров продукта.

Восстановление работоспособности продукта


В случае критического сбоя и потери доступа к основной функциональности продукта
специалист "Позитив  Текнолоджиз" оказывает помощь в восстановлении
работоспособности продукта. Восстановление заключается либо в помощи по установке
продукта заново с потенциальной потерей накопленных до сбоя данных, либо в откате

89
Обращение в службу технической поддержки

продукта на доступную резервную копию (резервное копирование должно быть настроено


заблаговременно). "Позитив  Текнолоджиз" не несет ответственность за потерю данных в
случае неверно настроенного резервного копирования.

Обновление продукта
"Позитив Текнолоджиз" поставляет пакеты обновления продукта в течение срока действия
лицензии на продукт.
"Позитив Текнолоджиз" не несет ответственности за инциденты, возникшие при нарушении
регламентированного процесса обновления.

Устранение дефектов продукта


Если по результатам диагностики обнаружен дефект продукта, "Позитив  Текнолоджиз"
обязуется предпринять разумные усилия по предоставлению обходного решения (если
возможно), а также включить исправление дефекта в ближайшие возможные обновления
продукта.

9.4.3. Время реакции на обращение и приоритизация


инцидентов
Время реакции на ваше обращение рассчитывается как время с момента получения от вас
информации по обращению до ответа специалиста технической поддержки с описанием
дальнейших шагов по разрешению инцидента. Время реакции зависит от указанного вами
уровня значимости инцидента (см. таблицу 4).
Время решения инцидента рассчитывается как время с момента регистрации обращения
до ответа специалиста технической поддержки, ведущего к одному из вариантов решения
инцидента (см. раздел 9.4.4).
Специалист технической поддержки может переопределять уровень значимости инцидента
по приведенным ниже критериям. Значения сроков являются целевыми и подразумевают
стремление и разумные усилия специалистов "Позитив  Текнолоджиз" для их соблюдения,
но возможны отклонения от данных сроков по объективным причинам.

Таблица 4. Время реакции технической поддержки на обращение и решения инцидента

Уровень значимости Критерии значимо- Время реакции на Время решения ин-


инцидента сти инцидента обращение по инци- цидента
денту
Критический Аварийные сбои, До 2 часов До 2 рабочих дней
полностью препят-
ствующие штатной
работе продукта
(исключая первона-
чальную установку)

90
Обращение в службу технической поддержки

Уровень значимости Критерии значимо- Время реакции на Время решения ин-


инцидента сти инцидента обращение по инци- цидента
денту
либо оказывающие
критическое влия-
ние на бизнес
Высокий Сбои, затрагиваю- До 4 часов До 3 рабочих дней
щие часть функцио-
нальности продукта
и проявляющиеся в
любых условиях
эксплуатации либо
оказывающие зна-
чительное влияние
на бизнес
Обычный Сбои, проявляющи- До 8 часов До 6 рабочих дней
еся в специфиче-
ских условиях экс-
плуатации продукта
либо не оказываю-
щие значительное
влияние на бизнес
Низкий Вопросы информа- До 24 часов До 10 рабочих дней
ционного характера
либо сбои, не влия-
ющие на эксплуата-
цию продукта

Указанные часы относятся только к рабочему времени специалистов технической


поддержки (времени обработки обращений).

9.4.4. Выполнение работ по заявке


По мере выполнения работ по вашей заявке специалист технической поддержки сообщает
вам:
• о диагностике инцидента и ее результатах,
• поиске решения или возможности обойти причины возникновения инцидента,
• планировании и выпуске обновления продукта (если требуется для разрешения
инцидента).
Если по итогам решения инцидента необходимо внести изменения в продукт,
"Позитив  Текнолоджиз" включает работы по исправлению в ближайшее возможное
плановое обновление продукта (в зависимости от сложности изменений).

91
Обращение в службу технической поддержки

Работы по заявке считаются выполненными, если:


• предоставлено решение или возможность обойти проблему, не влияющая на
производительность и критически важную функцию продукта;
• инцидент диагностирован как дефект продукта, собрана техническая информация о
дефекте и условиях его воспроизведения; исправление дефекта запланировано к
выходу в рамках планового обновления продукта;
• инцидент идентифицирован как вызванный программными продуктами или
оборудованием сторонних производителей и не подпадающий под гарантийные
обязательства по продукту;
• инцидент классифицирован как неподдерживаемый.

92
Приложение А. Список поддерживаемых
антивирусов

Приложение А. Список поддерживаемых


антивирусов
Для интеграции с PT MS каждый из поддерживаемых антивирусов должен быть
определенной версии, которая указана в столбце "Поддерживаемая версия". Кодовые
имена антивирусов используются при установке антивирусных агентов (см. раздел
6.5.4.11), а также при задании списка антивирусов для сканирования файлов, поступающих
на точки входа в продукт (см. раздел 6.5.1).

Таблица 5. Поддерживаемые антивирусы

Название Поддерживае- Способ уста- Кодовое имя


мая версия новки
Avast Core Security 2.1.2 Ручной avast
Avira SAVAPI 4.4 Автоматиче- avira
ский
Bitdefender GravityZone 6.2 Ручной bitdefender
ClamAV 0.99.2 Автоматиче- clam_av
ский
Comodo Antivirus for Linux 1.1.2 Ручной comodo
Dr.Web Server Security Suite 11.1 Автоматиче- drweb
ский
ESET Gateway Security 4.5.6 Автоматиче- eset
ский
F-Secure Linux Security 11.10 Ручной f_secure
Kaspersky Anti-Virus SDK 8.5.1.102 Автоматиче- kaspersky
ский
Sophos Anti-Virus for Linux 9.8-9.12 Ручной1 sophos
Symantec Protection Engine for 7.5, 7.9 Ручной symantec
Network Attached Storage

1
Вместе с антивирусом должен быть установлен Sophos Anti-Virus Dynamic Interface (SAVDI) версии 2.3.

93
Приложение Б. Формат URI для сообщений ICAP-
клиента

Приложение Б. Формат URI для сообщений ICAP-


клиента
Чтобы сторонний ICAP-клиент мог отправлять запросы на ICAP-сервер PT MS и получать от
него ответы, в конфигурации этого ICAP-клиента вам нужно правильно настроить URI.
Поддерживаемые методы запросов:
• OPTIONS;
• REQMOD;
• RESPMOD.
URI должен иметь следующий формат:
icap://<IP-адрес узла с ICAP-сервером>:<порт ICAP>/reqrespmod

Например:
icap://198.51.100.32:1344/reqrespmod

В таблице ниже приводится список параметров, которые могут присутствовать в URI. При
отсутствии параметра используется его значение по умолчанию.

Таблица 6. Допустимые параметры URI

Параметр Описание Значение по


умолчанию
scan_only Если включен (y), то ICAP-сервер ответит ICAP-клиенту n
сообщением 204, не дожидаясь результатов сканирова-
ния
pass_on_erro Если включен (y), то при возникновении внутренних n
r ошибок (не связанных с ошибками в протоколе, нехват-
кой памяти и пр.) ICAP-сервер ответит ICAP-клиенту со-
общением 204, и PT MS не будет создавать отчет о ска-
нировании
no_modify Если включен (y), то при нахождении угрозы ICAP-сер- n
вер не будет модифицировать ответ 204, только доба-
вив в его заголовок поля X-Virus-ID и X-Infection-Found.
Параметр имеет смысл только при выключенном пара-
метре scan_only
timeout Количество секунд ожидания результатов сканирова- 120
ния, не включая время на получение запроса, сохране-
ния файла на диск и запись в БД. Параметр имеет
смысл только при выключенном параметре scan_only
dangerous Количество результатов "опасный", необходимое для 1
блокировки. Параметр имеет смысл только при выклю-
ченном параметре scan_only

94
Приложение Б. Формат URI для сообщений ICAP-
клиента

Параметр Описание Значение по


умолчанию
suspicious Количество результатов "подозрительный", необходи- 1
мое для блокировки. Параметр имеет смысл только при
выключенном параметре scan_only

Пример URI с измененными параметрами:


icap://10.43.0.16:1344/reqrespmod?scan_only=y&timeout=10&dangerous=3

URI вида
icap://<IP-адрес узла с ICAP-сервером>:<порт ICAP>/reqrespmod?
pass_on_error=y&scan_only=y

может быть сокращен до


icap://<IP-адрес узла с ICAP-сервером>:<порт ICAP>/bypass

См. также
• Настройка ICAP-клиента в схеме развертывания Proxy Edition (см. раздел 6.9)

95
О компании

"Позитив  Текнолоджиз" — один из лидеров европейского рынка систем анализа


защищенности и соответствия стандартам, а также защиты веб-приложений. Организации во
многих странах мира используют решения "Позитив  Текнолоджиз" для оценки уровня
безопасности своих сетей и приложений, для выполнения требований регулирующих
организаций и блокирования атак в режиме реального времени. Благодаря многолетним
исследованиям специалисты "Позитив  Текнолоджиз" заслужили репутацию экспертов
международного уровня в вопросах защиты SCADA- и ERP-систем, крупнейших банков и
телеком-операторов. Деятельность компании лицензирована Минобороны России, ФСБ
России и ФСТЭК России, продукция сертифицирована Минобороны России и ФСТЭК России.

pt@ptsecurity.com ptsecurity.com