Академический Документы
Профессиональный Документы
Культура Документы
KL 013.11.4
Kaspersky
Endpoint
Security для
Linux
Учебный курс
1
KL 013.11.4: Kaspersky Endpoint Security для Linux
Содержание
Глоссарий........................................................................................................................................2
1
KL 013.11.4: Kaspersky Endpoint Security для Linux
Глоссарий
C&C Command and Control, центр управления
БД База данных
ИБ Информационная Безопасность
ИТ Информационные Технологии
ОС Операционная система
2
KL 013.11.4: Kaspersky Endpoint Security для Linux
3
KL 013.11.4: Kaspersky Endpoint Security для Linux 1. Как и зачем защищать Linux
4
KL 013.11.4: Kaspersky Endpoint Security для Linux 1. Как и зачем защищать Linux
Процесс обеспечения безопасности Linux можно разделить на два основных вектора: укрепление
системы и защита системы.
5
KL 013.11.4: Kaspersky Endpoint Security для Linux 1. Как и зачем защищать Linux
6
KL 013.11.4: Kaspersky Endpoint Security для Linux 1. Как и зачем защищать Linux
7
KL 013.11.4: Kaspersky Endpoint Security для Linux 1. Как и зачем защищать Linux
8
KL 013.11.4: Kaspersky Endpoint Security для Linux 1. Как и зачем защищать Linux
В этом курсе мы обсудим решение класса EPP — Kaspersky Endpoint Security для Linux (KESL) и
Kaspersky Security Center для Linux (KSC).
KESL — это решение для защиты узлов под управлением ОС Linux. KESL обеспечивает защиту,
контролирует сетевые соединения, приложения, устройства и обеспечивает видимость того, что
меняется в системе. KESL может функционировать как независимое решение и управляться
напрямую через командную строку. В таком случае нет необходимости использовать консоль
управления.
Для централизованного управления KESL используйте Kaspersky Security Center (KSC). В этом
случае необходимо дополнительно установить на узел с KESL Агент администрирования. Агент
администрирования выполняет функции посредника: передает события от KESL к KSC и получает
от KSC команды и настройки для KESL.
KESL может управляться как Kaspersky Security Center для Windows, так и Kaspersky Security
Center для Linux. В курсе мы будем говорить про Kaspersky Security Center для Linux, называя его
просто KSC. KSC позволяет централизованно управлять продуктами безопасности, собирать
события, строить отчеты и развертывать и удалять продукты безопасности. Для работы с KSC
используется веб-интерфейс.
9
KL 013.11.4: Kaspersky Endpoint Security для Linux 1. Как и зачем защищать Linux
Linux широко распространен в публичных облаках и используется в частном облаке. Защите этих
сред посвящены курсы KL 020. Kaspersky Hybrid Cloud Security. Public cloud & DevOps и KL 031.
Kaspersky Security for Virtualization. Light Agent.
10
KL 013.11.4: Kaspersky Endpoint Security для Linux 1. Как и зачем защищать Linux
11
KL 013.11.4: Kaspersky Endpoint Security для Linux 1. Как и зачем защищать Linux
12
KL 013.11.4: Kaspersky Endpoint Security для Linux 1. Как и зачем защищать Linux
13
KL 013.11.4: Kaspersky Endpoint Security для Linux 1. Как и зачем защищать Linux
Если для управления KESL используется сервер администрирования KSC, связь между KESL и
KSC поддерживает Агент администрирования.
Также Агент слушает порт UDP 15000. На этот порт Сервер администрирования отправляет пакет,
который служит сигналом для Агента администрирования о том, что надо подключиться к Серверу
администрирования немедленно. Такой механизм может использоваться, чтобы оповестить хосты,
что есть изменения в политике или задачах, а также чтобы запустить задачу обновления, когда в
хранилище Сервера администрирования загружаются свежие базы.
14
KL 013.11.4: Kaspersky Endpoint Security для Linux 1. Как и зачем защищать Linux
На текущий момент с KESL могут работать три вида Сервера администрирования KSC: KSC для
Windows, KSC для Linux и KSC Cloud.
KSC Windows и KSC Linux устанавливаются локально в инфраструктуре пользователя. KSC Cloud
находится в облачной инфраструктуре Лаборатории Касперского, которая поддерживается
специалистами Лаборатории Касперского.
В качестве консоли администрирования KSC Windows может использоваться MMC или веб
консоль. Для KSC Linux и KSC Cloud доступна только веб консоль.
Обнаружение устройств для KSC Windows и KSC Cloud доступно по опросу сети Windows, AD, IP
диапазонов и Zeroconf. KSC Linux может обнаруживать устройства в сети только с помощью
опроса IP диапазонов и Zeroconf. Для опроса IP диапазонов требуется наличие DNS сервера.
Защищаемыми устройствами в KSC Windows и KSC Cloud могут быть устройства под управлением
Windows, Linux, MacOS, Android и iOS. KSC Linux поддерживает защиту устройств под
управлением Linux и Windows. Для установки KES Windows с помощью KSC Linux необходимо
наличие точки распространения под управлением ОС Windows. Точкой распространения может
являться любое устройство под управлением Windows с установленным на нем Агентом
администрирования.
Поддержка Open API полностью отсутствует в KSC Cloud. В KSC Windows, кроме связи между
компонентами, OpenAPI позволяет создавать собственные сценарии и автоматизировать задачи
KSC. В KSC Linux поддержка OpenAPI соответствует функционалу Сервера администрирования.
15
KL 013.11.4: Kaspersky Endpoint Security для Linux 1. Как и зачем защищать Linux
16
KL 013.11.4: Kaspersky Endpoint Security для Linux 1. Как и зачем защищать Linux
База данных может находиться на другом сервере, в том числе и Windows, если вы хотите
использовать MySQL в качестве базы.
Поддерживаются дистрибутивы Astra, CentOS, Debian, Oracle, RHEL, SUSE, Ubuntu, Alt и РЕДОС.
17
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
18
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
19
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
Как упоминалось ранее, в качестве базы данных для KSC можно использовать:
— MySQL Community
— MySQL
— MariaDB
— MariaDB Server
— MariaDB Galera Cluster
— PostgreSQL
— Postgres PRO
20
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
21
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
Запустите сервис MariaDB. Сразу после установки вы можете авторизоваться в СУБД с учетной
записью root без пароля. Начните настройку БД с того, чтобы установить пароль на учетную запись
root.
22
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
Создайте пользователя, который будет использоваться для работы KSC с базой данных.
Предоставьте пользователю полные права на управление СУБД.
23
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
24
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
После изменения файла конфигурации запустите сервис PostgreSQL. Войдите в среду управления
базой данных и создайте пользователя с правами CREATEDB.
Перед установкой Сервера администрирования следует изменить режим работы SELinux, так как
некоторые операции, выполняемые при установке, конфликтуют с политикой SELinux. Для
успешного выполнения установки переведите SELinux в режим работы permissive. Далее откройте
необходимые для работы KSC порты на сетевом экране.
25
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
26
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
Далее необходимо создать учетную запись и группу, от имени которых будут запускаться сервисы
KSC. После создания добавьте учетную запись в созданную группу и сделайте группу основной
для учетной записи. Никаких дополнительных прав учетной записи и группе давать не требуется.
Заранее скачайте установочный пакет Сервера администрирования KSC с веб сайта Лаборатории
Касперского. С помощью менеджера пакетов выполните инсталляцию пакета.
27
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
После завершения установки пакета Сервера админстрирования KSC запустите скрипт настройки
сервера. Скрипт находится по адресу /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl.
28
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
6. Укажите имя учетной записи, созданной ранее для запуска сервисов KSC.
7. Укажите тип базы данных, в зависимости от выбранной вами БД.
8. Укажите адрес сервера БД.
9. Укажите порт для подключения к БД.
10. Укажите желаемое имя базы данных, с которой будет работать Сервер
администрирования KSC.
11. Укажите данные учетной записи, которую создавали для работы KSC.
29
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
12. Дождитесь окончания запуска служб KSC и укажите желаемые имя учетной записи и
пароль для управления KSC.
30
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
Перед тем, как начать установку веб консоли, нужно создать файл ответов по адресу /etc/ksc-web-
console-setup.json
Заранее скачайте установочный пакет веб консоли с сайта Лаборатории Касперского. Выполните
установку веб консоли с помощью менеджера пакетов.
31
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
32
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
33
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
При первой авторизации на Сервере администрирования через веб консоль запускается мастер
первоначальной настройки. В процессе работы мастера вы сможете настроить все необходимое
для работы сервера.
Выберите способ подключения сервера к сети интернет. Вы можете выбрать прямое подключение
или подключение через прокси сервер, если он используется в вашей организации. Подключение
Сервера администрирования к интернету требуется для получения обновлений баз, программ и
работы с KSN.
34
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
Укажите тип используемого шифрования: легкий (AES56) или сильный (AES256). Шифрование
используется только в KES Windows.
35
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
Выберите плагины для программ, которые планируете использовать. Плагины позволяют KSC
управлять приложениями: создавать политики и задачи, редактировать свойства инсталляционных
пакетов. Выбор предлагаемых плагинов на этом этапе зависит от выбора областей защиты и
операционных систем, сделанного ранее.
После выбора плагинов вы сможете выбрать установочные пакеты, которые должны быть
загружены на сервер KSC. Для удаленной установки и работы с KSC следует выбрать пакет KESL
36
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
На этом шаге вы можете выбрать способ активации приложения. Вы можете ввести код активации,
указать файл ключа или отложить активацию программы.
Если вы отложите активацию программы, то программа будет работать в пробном режиме. В этом
режиме вы получите доступ ко всем функциям программы на ограниченное время. Добавить файл
ключа или ввести код активации можно позже.
37
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
38
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
На этом шаге укажите настройки почтового сервера для рассылки уведомлений. Если вы не
планируете использовать рассылку уведомлений по почте или планируете настроить ее позже,
можете пропустить этот шаг.
39
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
пользовательского соглашения для каждого из них. Перейдите в раздел Discovery & deployment |
Deployment & assignment | Installation packages и примите пользовательское соглашение
каждого из скачиваемых пакетов. В этом разделе можно добавить установочные пакеты, которые
не были выбраны при первоначальной настройке.
Чтобы получить список доступных устройств необходимо выполнить опрос сети. В KSC Linux
доступно два способа опроса: опрос IP диапазонов и опрос Zeroconf. Чтобы опрос IP диапазонов
дал результат, должны быть разрешены ICMP echo request/echo reply (пинг) между KSC и хостами,
а в DNS были прямые и обратные записи хостов.
40
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
Для выполнения опроса перейдите в раздел Discovery and Deployment | Discovery | IP ranges. В
это разделе вы увидите один добавленный IP диапазон. Диапазон адресов, в котором находится
Сервер администрирования добавляется в список автоматически. Если вы хотите опросить другие
диапазоны, можете добавить новые или удалить существующие из списка.
После того, как вы разрешили опросы, можете запустить опрос сети вручную.
41
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
Результаты опроса можно увидеть в разделе Discovery and Deployment | Unassigned devices.
Сразу после обнаружения устройства помещаются в категорию нераспределённых. На них не
действуют политики безопасности. Когда устройства добавлены на сервер на них можно
выполнять задачи и первая задача, которую нужно выполнить — удаленная установка.
42
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
В первую очередь на новое устройство нужно установить Агент администрирования, так как
именно он отвечает за связь между устройством и Сервером администрирования. Задачу
удаленной установки Агента можно создать из разделов Devices | Tasks или Discovery and
Deployment | Deployment & assignment | Protection Deployment wizard. В первом случае вы
создаете задачу удаленной установки для KSC вручную. Во втором случае запускается мастер
установки защиты. Принципиально эти способы отличаются только тем, что при создании задачи
сначала требуется выбрать для какого компонента создается задача, а затем тип задачи. После
этого этапа процесс создания задачи в обоих способах одинаков.
43
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
44
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
45
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
Укажите учетную запись для загрузки пакета установки и выполнения установки. Требуется
локальная учетная запись узла, на который выполняется установка. Учетная запись должна иметь
права на подключение к узлу по SSH и выполнение sudo без пароля для выполнения установки.
Для учетной записи root не требуется настройка sudo. Для остальных учетных записей могут
потребоваться изменения конфигурационного файла /etc/sudoers с помощью команды visudo: для
учетной записи, с правами которой будет устанавливаться приложение, добавьте параметр
NOPASSWD:ALL, как на слайде.
46
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
47
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
48
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
Выберите Агент администрирования, который был установлен ранее. Если он будет обнаружен
задачей установки, то не будет переустанавливаться.
49
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
Укажите имя задачи, выберите способ загрузки пакета на устройство и выберите перемещать ли
устройства в группу администрирования. По умолчанию доступна только группа Managed devices.
Если требуется использовать разные настройки защиты на разных устройствах, можно создать
дополнительные группы администрирования.
50
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
Так как на устройствах уже установлен Агент администрирования, не требуется указывать учетную
запись для загрузки и установки пакета. Все операции установки будут выполнены Агентом
администрирования.
51
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
52
KL 013.11.4: Kaspersky Endpoint Security для Linux 3. Как настроить защиту
Вы добавили устройства на сервер KSC и установили на них защиту. Теперь нужно научиться
управлять устройствами. Для управления устройствами существуют несколько инструментов.
53
KL 013.11.4: Kaspersky Endpoint Security для Linux 3. Как настроить защиту
54
KL 013.11.4: Kaspersky Endpoint Security для Linux 3. Как настроить защиту
55
KL 013.11.4: Kaspersky Endpoint Security для Linux 3. Как настроить защиту
Самый простой способ добавить устройства в группу — вручную. Однако при большом количестве
устройств и при постоянном появлении новых добавлять устройства вручную становится
проблематично. Процесс добавления можно автоматизировать с помощью правил перемещения.
В правиле перемещения указываются условия, при выполнении которых, устройство будет
перемещено в целевую группу. Для каждой группы нужно создавать отдельное правило. Чтобы
добавить новое правило необходимо перейти в раздел Devices | Moving rules и там нажать кнопку
+ Add.
56
KL 013.11.4: Kaspersky Endpoint Security для Linux 3. Как настроить защиту
На вкладке Rule conditions задаются условия срабатывания правила. Условия также разделены
по вкладкам. Если вы укажете условия на нескольких вкладках, то они будут проверяться с
логическим оператором «И». То есть, устройство будет перемещено только когда выполнены все
указанные условия.
На вкладке Tags условием срабатывания правила является наличие или отсутствие конкретного
тэга устройства. Вы можете выбрать один или несколько тэгов и выбрать принцип срабатывания.
57
KL 013.11.4: Kaspersky Endpoint Security для Linux 3. Как настроить защиту
Apply to devices without the specified tags применяет правило к устройствам, на которых
отсутствует выбранный тэг. Опция Apply if at least one specified tag matches вызывает
срабатывание правила если у устройства находится хотя бы один тэг из выбранных.
58
KL 013.11.4: Kaspersky Endpoint Security для Linux 3. Как настроить защиту
Остальные опции позволяют указать тип, разрядность, номер сборки, релиза и пакета обновлений
(Service Pack) операционной системы.
59
KL 013.11.4: Kaspersky Endpoint Security для Linux 3. Как настроить защиту
Вкладка Virtual machines позволяет отобрать узлы, которые являются виртуальными машинами.
Также отсортировать их по типу гипервизора и по принадлежности к инфраструктуре VDI.
60
KL 013.11.4: Kaspersky Endpoint Security для Linux 3. Как настроить защиту
61
KL 013.11.4: Kaspersky Endpoint Security для Linux 3. Как настроить защиту
62
KL 013.11.4: Kaspersky Endpoint Security для Linux 3. Как настроить защиту
Для того, чтобы создать политику, достаточно ввести ее название, указать статус и настройки
наследования.
По статусу политика может быть активной, неактивной и для автономных пользователей. Активная
политика распространяет настройки на устройства выбранной группы. Неактивная политика не
распространяет свои настройки, пока не станет активной. Политика для автономных
пользователей начинает действовать, когда устройство подключается к сети, отличной от рабочей.
Настройки наследования включают в себя две опции. Первая позволяет наследовать настройки от
политики родительской группы. При ее включении часть настроек политики блокируется и
выставляется в соответствии с политикой родительской группы. Вторая опция принудительно
транслирует настройки политики на политик дочерних групп. При ее использовании часть настроек
политик дочерних групп блокируется и выставляется в соответствии с родительской группой.
63
KL 013.11.4: Kaspersky Endpoint Security для Linux 3. Как настроить защиту
64
KL 013.11.4: Kaspersky Endpoint Security для Linux 3. Как настроить защиту
65
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
Чем же опасны вредоносные файлы? К вредоносным файлам можно отнести все файлы, которые
выполняют несанкционированные действия в системе. Злоумышленники могут преследовать
множество целей, заражая компьютеры. С помощью вредоносных файлов злоумышленники могут
красть или уничтожать важные данные. Одни вредоносные файлы могут использоваться только
для того, чтобы попасть в систему и загрузить другие, которые уже начнут выполнять основные
задачи. Вредоносные файлы могут оказаться шифровальщиками, которые сделают данные
нечитаемыми и будут требовать выкуп за их расшифровку. И наконец они могут устанавливать
майнеры, которые будут использовать ресурсы системы для добычи криптовалюты. Естественно,
это далеко не полный список того, чем могут заниматься подобные файлы на устройствах,
поэтому обнаружение и предотвращение их появления — это одна из первоочередных задач для
систем безопасности.
66
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
Чтобы знать, что происходит на файловой системе, KESL использует API fanotify, который
специально был сделан в т.ч. и для антивирусной проверки. Это часть ядра Linux и присутствует
во многих дистрибутивах по умолчанию. Если же fanotify не поддерживается, установщик KESL
скомпилирует модуль ядра, который будет заниматься перехватом файловых операций,
потребуется ряд дополнительных пакетов, см. системные требования.
67
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
При настройке Защиты от файловых угроз можно выбрать какие действия будет выполнять KESL
при обнаружении угрозы. Настраиваются два действия. При обнаружении угрозы выполняется
первое, если оно не сработало, выполняется второе. Для выбора доступны следующие действия:
— Disinfect — попытка вылечить объект. При этом копия объекта сохраняется в хранилище
на случай ложноположительного срабатывания. Если объект не удается вылечить — он
остается неизменным
— Remove — удаление объекта. Перед тем, как удалить объект, KESL сохраняет его
резервную копию.
— Block — блокировка доступа к объекту и создание записи в журнале. В этом случае
администратор оповещается об обнаружении при помощи события, а объект остается
заблокированным для всех до того, как администратор не выполнит с ним необходимых
действий
— Perform recommended action — автоматический выбор действия в зависимости от типа
угрозы. В большинстве случаев выполняется попытка лечения объекта. В некоторых
случаях рекомендованным действием является удаление. Например, при обнаружении
вредоносного объекта типа троянский конь, рекомендуемым действием является
удаление объекта, так как вылечить его невозможно.
68
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
По умолчанию Защита от файловых угроз защищает всю файловую систему1. Это не всегда
целесообразно на нагруженных системах. На таких системах стоит рассмотреть возможность
исключения некоторых областей из защиты.
— Папки с файлами логов. Например, /var/log/. При мониторинге журналов Защите от
файловых угроз приходится постоянно проверять файлы, так как запись в файлы
журналов ведется практически непрерывно.
— Базы данных. Объемные базы данных требуют большое количество ресурсов для
проверки, а частое обращение к файлам базы данных приводит к частым проверкам.
— Файлы, с которыми работают ресурсоемкие процессы. Проверки таких файлов будут
замедлять работу процессов, обращающихся к ним и повышать их требования к ресурсам.
1 Из-за технических ограничений fanotify не проверяются autofs, binfmt_misc, cgroup, configfs, debugfs, devpts, devtmpfs,
fuse, fuse.gvfsd-fuse, gvfs, hugetlbfs, mqueue, nfsd, proc, parsecfs, pipefs, pstore, usbfs, rpc_pipefs, securityfs, selinuxfs, sysfs,
tracefs
69
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
Ограничить проверку конкретными областями можно двумя способами. Первый способ — удалить
область сканирования по умолчанию, которая указывает на корневую папку файловой системы.
Затем создать новые области сканирования с указанием на те директории, которые следует
сканировать.
При создании новых областей сканирования можно указать тип файловой системы, путь к
директории и маску имени файлов.
70
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
При создании новой области сканирования можно указать следующие типы файловой системы:
— Local — локальная файловая система. Указывается путь к директории, находящейся на
локальной файловой системе
— Mounted — все ресурсы, смонтированные по одному из доступных протоколов или по
имени. При выборе этого типа появляется выпадающее меню с выбором SMB, NFS и
Custom. Первые две опции добавят в область проверки все смонтированные ресурсы,
подключенные по выбранному протоколу. При выборе опции Custom вы можете указать
название смонтированного ресурса, как он отображается в выводе команды mount
— Shared — все ресурсы, доступ к которым предоставляется по одному из протоколов. Эта
опция добавляет в область все ресурсы, которые раздаются с этого устройства либо по
SMB, либо по NFS
— All remote mounted добавляет все смонтированные удаленные ресурсы
— All shared добавляет все общие ресурсы, вне зависимости от протокола
71
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
При настройке исключений можно использовать маски для выбора файлов и директорий по
определенному принципу. Для указания маски можно использовать три символа:
— Символ ? заменяет любой единичный символ в имени файла или пути. Например, маска
file? будет подходить файлам file1, file2, file3 и так далее, но не файлу file10, так как после
file следует два символа
— Символ * заменяет последовательность любых символов любой длинны, кроме символа /.
То есть маска /var/log/* выберет все файлы в директории /var/log, но не выберет
вложенные директории, так как в их пути будет присутствовать символ /.
— Символ ** заменяет последовательность любых символов любой длины без ограничений.
Маска /tmp/** выберет все содержимое директории /tmp/, включая вложенные директории
72
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
Вредоносные файлы могут попасть на устройство по разным каналам. Например, через интернет,
при посещении подозрительных сайтов и скачивания файлов. Через съемные носители, которые
непреднамеренно или специально были заражены. С других компьютеров, которые уже заражены
и теперь распространяют вредоносные объекты на другие устройства. Через почту, при открытии
ссылок и вложений, которые маскируются под обычные, но в действительности ведут на опасные
сайты или содержат в себе вредоносный код.
73
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
Для защиты устройства от зараженных носителей применяется задача Проверка съемных дисков.
Проверка съемных дисков выполняет сканирование подключаемых носителей информации, в том
числе и оптических приводов, на наличие угроз. Сканированию подвергаются как файлы,
находящиеся на носителе, так и его загрузочные области. Проверка выполняется при каждом
подключении внешнего носителя. Проверяются CD/DVD и Blu-ray приводы, флеш-накопители
(включая USB модемы), внешние жесткие диски и дискеты. Выбрать тип проверки можно отдельно
для оптических приводов и отдельно для остальных типов носителей. При быстрой проверке
проверяются только определенные типы файлов, например exe, sys, bat, cmd, bin, dll. При
детальной проверке сканируются все файлы. Также администратор может заблокировать доступ к
съемному носителю, пока проверка не будет завершена. Это позволит избежать запуска
вредоносного файла пользователем до его обнаружения.
74
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
Для того, чтобы защитить устройство от попадания вредоносных файлов через интернет, следует
воспользоваться Защитой от веб-угроз. Защита от веб-угроз проверяет весь входящий трафик на
признаки вредоносных файлов и блокирует доступ к фишинговым и опасным сайтам на основании
баз, эвристического анализа и информации из KSN.
Защита от веб-угроз проверяет входящий трафик по протоколам HTTP, HTTPS и FTP. При
обнаружении попытки загрузить вредоносный файл Защита от веб-угроз в зависимости от
настроек политики либо прерывает процесс загрузки, либо позволяет загрузить файл, но
оповещает администратора.
При открытии вебсайта Защита от веб-угроз проверяет его по базам KESL, проводит
эвристический анализ, если эта опция включена и проверяет репутацию сайта по базам KSN. Если
на любом из этапов выясняется, что сайт относится к категории опасных или фишинговых, KESL
блокирует доступ к сайту и показывает страницу с предупреждением об опасности. При этом
пользователь все равно может перейти на сайт, если нажмет на соответствующую ссылку на
странице с предупреждением.
75
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
76
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
Если вам необходимо скачать файл, который определяется Защитой от веб-угроз как
вредоносный, вы можете добавить сайт в список доверенных. Весь трафик с доверенных сайтов
исключается из проверки Защитой от веб-угроз. При добавлении сайта в список доверенных
можно использовать маску, для исключения доменов третьего и так далее уровней.
77
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
пропускается без проверки. Список формируется для каждого компьютера отдельно, хранится
локально и не передается на Kaspersky Security Center. Содержимое списка websites with scan
errors можно посмотреть с помощью команды kesl-control -N query auto.
При необходимости, можно сбросить локальные списки websites with scan errors. Для этого
выполните kesl-control -N clear-web-auto-excluded.
78
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
Для борьбы с такими атаками в KESL присутствует компонент Защита от сетевых угроз. Этот
компонент проверяет входящий трафик, в том числе на разрешенных для соединения портах.
Проверка проводится независимо от сетевого экрана. Защита от сетевых угроз анализирует
последовательность пакетов, передаваемых на порт на наличие в ней признаков сетевой атаки. В
случае обнаружения подобных признаков, все сетевые соединения от атакующего устройства
блокируются на определённое время.
79
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
80
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
81
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
Для защиты от шифрования данных по сети существует компонент Защита от шифрования. Этот
компонент проверяет обращения удаленных компьютеров к файлам на сетевых ресурсах
устройства. Если действия удаленного компьютера расцениваются как попытка шифрования,
операции с файлами прерываются, а атакующий компьютер блокируется на указанное в
настройках задачи время. Чтобы защитить сетевой ресурс от шифрования нужно указать его в
настройках задачи.
82
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
Новые угрозы не сразу попадают в базы систем защиты. Проходит некоторое время, прежде чем
новая угроза будет обнаружена, исследована и добавлена в базы. В этот промежуток времени
новая угроза представляет наибольшую опасность, так как не может быть обнаружена
стандартными средствами защиты. На этот случай в KESL имеется компонент Анализ поведения.
Анализ поведения контролирует действия программ (открытие файлов, установку соединений,
обращение к сетевым функциям и так далее) и сравнивает эти действия с шаблонами опасного
поведения. Если действия программы соответствуют таким шаблонам, то программа
останавливается, а все ее действия откатываются.
83
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
Во введении мы говорили о том, как важно укрепить сервер — закрыть как можно больше векторов
атак, чтобы у злоумышленника было меньше шансов на успех. Как правило, многие
администраторы ограничиваются базовыми мерами — пароли чуть сложнее простейших,
отключают ненужные службы, время от времени обновляют систему. Но у самой операционной
системы гораздо больше возможностей, для внедрения которых требуется время и квалификация
персонала. Важно знать, что происходит в системе, чтобы выдать ровно те права и разрешения,
которые нужны системе и приложениям на ней. Причем со временем конфигурация меняется, что
влечет за собой подстройку системы безопасности.
84
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
85
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
Для того, чтобы эффективно использовать Контроль приложений, следует разобраться в режимах
его работы.
При работе в режиме список разрешенных в системе запрещено запускать любые программы,
кроме тех, которые добавлены в список разрешенных. Этот режим следует использовать, когда вы
хотите запретить запуск любых новых программ без предварительного одобрения
администратором.
Список запрещенных разрешает запуск всех программ, кроме тех, которые добавлены в список
запрещенных. Это ваш выбор, когда вы хотите запретить запуск конкретных программ.
Создать категорию программ для Контроля приложений можно либо в настройках Контроля
приложений при создании нового правила, либо в разделе Third party applications | Application
categories. В обоих случаях процесс создания категории будет идентичен.
86
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
Для создания категории нужно добавить в нее программы. Сделать это можно двумя способами:
— Добавить программы вручную. Это можно сделать, указав:
— Путь
При указании пути можно использовать маску. Например, пусть /usr/bin/* добавит в
категорию все исполняемые файлы в директории /usr/bin
— Хеш файла
В версии KESL 11.4 поддерживается только MD5
— Метаданные
Из-за того, что на Linux исполняемые файлы обычно не содержат метаданных,
единственный вариант — указать имя файла
— Создать категорию при выполнении задачи Инвентаризация.
Задача Инвентаризация позволяет создать категорию Golden image, содержащую все
найденные программы. Эта категория создается и хранится локально на каждом из узлов, где
была запущена задача. Ее нельзя использовать в правилах в политике, категорию Golden
image можно использовать только в правиле, созданном локально с помощью kesl-control.
Подробнее задачу Инвентаризация мы рассмотрим дальше.
87
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
88
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
5.3 Инвентаризация
89
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
Инвентаризация — это задача, которая выполняется по расписанию. При настройке задачи вам
доступны следующие опции:
— Task prioroty указывает какую часть доступных ресурсов может использовать задача при
выполнении. Эта опция позволяет выделить задаче 10, 50 или 100% доступных ресурсов
— Опция Create golden image создает категорию программ для Контроля программ
— Scan all executables добавляет в список инвентаризации все файлы с исполняемым
битом
— Scan binaries добавляет к списку все бинарные файлы
— Scan scripts добавляет в список скрипты
— Inventory scan scope задает директории, в которых будет проводиться инвентаризация
90
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
91
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
Важным элементом защиты любой ОС является сетевой экран. Сетевой экран контролирует
входящие и исходящие подключения и разрешает или запрещает их на основании правил. На
поддерживаемых системах Linux в качестве сетевого экрана доступен iptables/netfilter. Задача
Управление сетевым экраном позволяет создавать правила для iptables в графическом
интерфейсе, а также контролирует изменения правил.
Для режима «запретить все по умолчанию» очень полезно включить опцию политики Always add
allowing rules for the Network Agent ports, которая позволит всегда иметь соединение с Агентом
администрирования, даже если администратор неправильно настроит Сетевой экран и случайно
запретит все подключения.
92
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
На слайде выше показано, как умолчания для входящих соединений и пакетов транслируются в
правила iptables. Когда политика применяется к хосту, параметр Incoming connections становится
парой правил, одно из которых отвечает за новые потоки (ctstate NEW), другое — за пакеты,
которые являются частью уже установленного потока (ctstate ESTABLISHED), и которые отправил
инициатор потока (ctdir ORIGINAL). Обратите внимание, что эта пара правил относится к пакетам
из потоков, для которых нет явных разрешений, т.е. при обходе правил сверху вниз netfilter не
нашел подходящего.
Параметр Incoming packets влияет на действие по умолчанию для входящих пакетов. Если для
пакета в цепочке INPUT не нашлось вообще никакого подходящего правила, то применяется
именно это действие.
Также на слайде показаны разрешения для портов Агента администрирования в цепочках INPUT
(входящие) и OUTPUT (исходящие пакеты).
93
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
При создании правил для сетевого экрана мы можем указывать тип сети, на адреса которой будет
срабатывать правило. По умолчанию все три типа сетей пусты. Что означают эти типы сетей? Это
просто удобные обозначения для групп подсетей и/или отдельных IP-адресов, которые можно
использовать в правилах, не вводя каждый раз одно и то же.
94
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
После создания правила его можно увидеть в списке правил iptables в операционной системе.
Важно помнить, что расположение правил в интерфейсе Управления сетевым экраном влияет на
их приоритет друг относительно друга. Если пакет удовлетворяет условиям двух или более
правил, применяться будет правило с более высоким приоритетом.
95
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
96
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
Для полноты картины создадим запрещающее правило. Это правило будет ограничивать боковое
перемещение с серверов. Идея в том, что после компрометации сервера злоумышленники будут
пытаться проникнуть на другие хосты сети, используя, например, перебор паролей или
имеющиеся на хосте ключи для аутентификации по SSH без пароля. В обычной ситуации
администратор вряд ли будет использовать сервер в качестве рабочей станции и подключаться к
другим хостам сети, поэтому имеет смысл заблокировать исходящие подключения по SSH.
Подключаемые к компьютеру устройства могут нести в себе опасность. Это могут быть не только
носители информации с вредоносными файлами, но и безобидные с виду сетевые адаптеры и
модемы, которые позволят злоумышленнику получить удаленный доступ к устройству. Чтобы
контролировать, какие устройства пользователь может подключить к компьютеру, используйте
компонент Контроль устройств.
97
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
Приоритет настроек ограничения по типу устройства выше настроек по шине. То есть, вы можете
запретить подключение всех устройств по USB, но если для типа CD/DVD привод будет разрешено
подключение, то USB DVD привод будет подключен к компьютеру.
98
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
Что делать, если вам нужно разрешить подключение одного конкретного устройства? Например,
безопасного корпоративного флеш накопителя. Вы можете добавить конкретное устройство в
исключения. Для добавления устройства в исключения есть два способа. Первый способ —
добавить устройство по идентификатору устройства. Узнать идентификатор можно, например,
подключив устройство к компьютеру, на котором стоит запрет на подключение этого типа
устройств. В событиях KSC вы увидите сообщение о попытке подключения, которое будет
содержать идентификатор устройства. Второй способ — выбрать устройства из списка
подключенных, который доступен при выборе соответствующей опции. После добавления
устройства в доверенные оно может быть подключено к компьютеру не смотря на политику
Контроля устройств.
99
KL 013.11.4: Kaspersky Endpoint Security для Linux 6. Управление KESL через командную строку
KESL может управляться через командную строку. С помощью утилиты kesl-control вы можете
управлять всеми компонентами, задачами и настройками KESL. Использование утилиты
командной строки позволит управлять KESL без использования KSC или графического
интерфейса и автоматизировать задачи KESL.
100
KL 013.11.4: Kaspersky Endpoint Security для Linux 6. Управление KESL через командную строку
Первое, с чего обычно начинается устранение неполадок — это проверить общий статус
приложения, чтобы исключить очевидные неисправности: политика не применилась,
лицензионный ключ не установлен или установлен, но неправильный и т.д. Утилита kesl-control с
флагом --app-info как раз выводит эту ключевую информацию о приложении. Также из вывода
можно узнать, какие компоненты не работают и доступны ли они с текущей лицензией, режим
работы KSN, загружены ли обновления модулей, которые требуют перезагрузки приложения.
Команду kesl-control с флагом --app-info можно выполнить от имени обычного пользователя.
101
KL 013.11.4: Kaspersky Endpoint Security для Linux 6. Управление KESL через командную строку
Сначала определимся, что такое задача. С точки зрения KSC есть компоненты приложения, такие
как защита от файловых угроз или защита от веб-угроз и т.д., а есть задачи — задача обновления,
задача поиска вирусов. Компоненты или включены и запускаются с приложением, или выключены.
У задач можно настроить расписание или запускать их вручную, они выполняют какую-то разовую
конечную функцию — обновляют базу или проверяют диск на вирусы. В KESL задачами
называется все: и компоненты, и задачи. Если вывести список задач через kesl-control, то в нем
будут одинаково отображаться обе эти сущности. Отличить их можно по полю Type.
Каждая задача в KESL имеет уникальные имя и цифровой идентификатор. Когда вы создаете
новую задачу, вам потребуется указать для нее уникальное имя, а идентификатор будет присвоен
автоматически. Каждая новая задача получает следующий по счету идентификатор. При работе с
утилитой kesl-control вы можете указывать задачу как по имени, так и по идентификатору.
Например, задача Защита от файловых угроз имеет имя File_Threat_Protection и идентификатор 1.
Остановить задачу можно как командой kesl-control --stop-task File_Threat_Protection так и
командой kesl-control --stop-task 1.
102
KL 013.11.4: Kaspersky Endpoint Security для Linux 6. Управление KESL через командную строку
Часть задач не отображается в выводе kesl-control — это локальные задачи поиска вирусов и
обновления, а также задачи, созданные на KSC. Администратор может разрешить управление
этими задачами и тогда через kesl-control можно будет не только видеть все задачи, но и менять
их состояние (старт/стоп), а для локальных можно будет менять и настройки.
В этой таблице вы видите список задач, находящихся в KESL по умолчанию. Кроме имени и
идентификатора, у каждой задачи имеется тип. Тип описывает какая именно задача находится под
103
KL 013.11.4: Kaspersky Endpoint Security для Linux 6. Управление KESL через командную строку
Просмотр списка задач выполняется командой kesl-control --get-task-list. Команда выводит список
всех задач, с указанием имени, идентификатора, типа и статуса задачи. Запуск и остановка задачи
выполняется с помощью ключей --start-task и --stop-task с указанием имени или идентификатора
нужной задачи.
104
KL 013.11.4: Kaspersky Endpoint Security для Linux 6. Управление KESL через командную строку
Создание новой задачи выполняется командой kesl-control --create-task <название> --type <тип
задачи>. Название задачи должно быть уникальным. Тип должен соответствовать той задаче,
которую вы хотите создать. В случае успешного создания задачи, в выводе команды вы увидите
идентификатор, который был присвоен задаче.
105
KL 013.11.4: Kaspersky Endpoint Security для Linux 6. Управление KESL через командную строку
Для изменения параметров задачи используется команда kesl-control --set-settings <ID | название>
<параметр=значение>. Каждый параметр задает отдельную настройку задачи. Параметры
перечисляются через пробел. В каждой задаче содержатся свои собственные параметры, поэтому
для правильного указания параметров рекомендуется ознакомиться с документацией по KESL.
Для просмотра параметров задачи используйте команду kesl-control --get-settings <ID | значение>.
Вывод команды покажет все параметры, которые заданы для выбранной задачи.
Некоторые задачи в KESL запускаются по расписанию. Для того, чтобы задать расписание для
задачи используйте команду kesl-control --set-schedule <ID | название> <параметр=задача>.
Основными параметрами для расписания задачи являются:
— RuleType задает частоту запуска задачи. Позволяет запускать задачу ежеминутно,
ежечасно, ежедневно и так далее
— StartTime задает точное время запуска задачи. Включает в себя время запуска и
дополнительный параметр, в зависимости от значения RuleType. Для еженедельной
задачи указывается день недели, для ежемесячной — число, для ежеминутной - интервал
в минутах между запусками
— RunMissedStartRules включает или выключает запуск задачи, если он был пропущен.
Например, если устройство было выключено когда задача должна была запуститься по
расписанию
— RandomInterval указывает с каким интервалом в минутах нужно запускать задачу, в
случае одновременного запуска нескольких задач.
106
KL 013.11.4: Kaspersky Endpoint Security для Linux 6. Управление KESL через командную строку
kesl-control --get-app-settings
Чтобы работать с такой базой данных, важно уметь строить фильтры. Если ввести
kesl-control -E
на экране появится все содержимое базы данных событий, что неудобно. Можно ограничить вывод
последними N событиями:
Из формата события, полученного с помощью команды выше, можно вынести поля и возможные
значения этих полей, по которым можно строить фильтр. Например, у всякого события есть поле
EventType. Тогда запрос о событиях об обнаружении будет выглядеть так:
107
KL 013.11.4: Kaspersky Endpoint Security для Linux 6. Управление KESL через командную строку
В целях устранения неполадок, чтобы не делать каждый раз запросы в базу событий, можно
включить дублирование вывода событий KESL в терминал в режиме реального времени:
kesl-control -W
Чтобы получать только нужные события, используйте фильтры. Их формат тот же, что мы
рассмотрели выше:
v1.0
108