PARSEC(Astra Linux SE)パーミッションの設定

PARSEC セキュリティサブシステム(強制アクセス制御システム)の備わったOSでは、アクセスするために必要な権限のレベルがファイルによって異なるため、デフォルトモード(AUTO)で動作しているSpIDer Guardは、SpIDer Guardを起動した権限よりも高いアクセス権限が求められるファイルへのアクセスを監視できません。また、ユーザーがzeroth以外の権限レベルで操作している場合、Dr.Web for Linux のグラフィカルインターフェースはSpIDer Guardならびにアンチウイルスサービスコンポーネントと連携できません(これらが異なる権限レベルで動作している場合)。統合された 隔離 へもアクセスできない場合があります。

OSでPARSECが使用され、0以外の特権レベルで操作を実行しているユーザーアカウントが存在する場合は、コンポーネントが異なる特権レベルで実行されるようにDr.Web for Linuxをカスタマイズする必要があります。

このセクションでは、Dr.Web for Linux正しく動作させるための PARSEC の設定について説明します。

異なる複数の特権レベルで実行されるコンポーネントの連携をカスタマイズする

ユーザー権限でコンポーネントの自動起動をカスタマイズする

ファイルアクセスイベントを監視するようSpIDer Guardを設定する

これらの手順を実行するには、スーパーユーザー権限(root ユーザーの権限)が必要です。権限を昇格するには、su コマンド(カレントユーザーを変更する)または sudo コマンド(指定されたコマンドを別のユーザーの権限で実行する)を使用します。

異なる複数の特権レベルで実行されるコンポーネントの連携をカスタマイズする

バージョン1.6のOS Astra Linux SEの場合:

システムファイル/etc/parsec/privsock.confを修正し、Dr.Web for Linux設定デーモン(drweb-configd)がprivsockメカニズムを使用することを承認します。drweb-configdは、全てのアンチウイルスコンポーネント間の連携を担うDr.Web for Linuxのサービスコンポーネントです。privsockメカニズムは、必須コンテキストを使用して情報を処理するのではなく、アクセスサブジェクトの必須コンテキストで動作するプロセスと連携してシステムネットワークサービスを操作するためのものです。

1.いずれかのテキストエディターで/etc/parsec/privsock.confファイルを開きます。次の行を追加します。

/opt/drweb.com/bin/drweb-configd
/opt/drweb.com/bin/drweb-configd.real

2.ファイルを保存し、OSを再起動します。

バージョン1.5より前のOS Astra Linux SEの場合:

Dr.Web for Linux(drweb-configd)設定デーモン起動スクリプトを変更します。これを行うには、以下の手順に従ってください。

1.権限レベル0を使用してシステムにログインします。

2.いずれかのテキストエディターで、/etc/init.d/drweb-configdスクリプトファイルを開きます。

3.このファイル内で start_daemon() の機能の定義を見つけ、以下のラインを置き換えます。

"$DAEMON" -d -p "$PIDFILE" >/dev/null 2>&1

次のラインと置き換えます。

execaps -c 0x100 -- "$DAEMON" -d -p "$PIDFILE" >/dev/null 2>&1

4.一部のOS(Astra Linux SE 1.3など)では、PARSECサブシステムからのコンポーネントの起動依存の追加表示が必要になる場合があります。この場合は、ファイル内の文字列も変更する必要があります。

# Required-Start: $local_fs $network

この文字列を次のように変更します。

# Required-Start: $local_fs $network parsec

5.ファイルを保存し、OSを再起動します。

ユーザー権限でコンポーネントの自動起動をカスタマイズする

ユーザーが対話するDr.Web for Linuxコンポーネントをユーザー環境で使用できるようにするには(ユーザーが0以外の特権レベルで操作を実行している場合)、PAM設定を含むファイルを変更して、必要なDr.Web for Linuxコンポーネントがユーザーセッションの開始時に自動的に起動し、セッションの終了時に終了するようにする必要があります。このモジュール(Doctor Webによって設計された特別なpam_drweb_session.so PAMモジュール)は、drweb-sessionメディエーションコンポーネントを起動します。 これは、ユーザー環境で実行されるコンポーネントのローカルコピーと、0レベルの特権で動作しOSの起動時に自動実行されるコンポーネントを接続します。

PAM設定を変更するには、Dr.Web for Linuxに含まれている drweb-configure 設定ユーティリティを使用することをお勧めします。または、必要な設定ファイルに手動で変更を加えることも可能です。

1.drweb-configureユーティリティを使用する

drweb-configure は、Dr.Web for Linux の複雑なパラメータの設定を簡易化するために開発された特別な補助ユーティリティです。

1.必要なDr.Web for Linuxコンポーネントが0以外の特権レベルで実行されている場合に、ユーザーの環境でそれらコンポーネントの自動起動を有効または無効にするには、次のコマンドを使用します。

$ sudo drweb-configure session <mode>

<mode>には次のいずれかの値を指定することができます。

enable - ユーザーセッション中の、必要なコンポーネントの適切な権限での自動起動を有効にします。

disable - ユーザーセッション中の、必要なコンポーネントの適切な権限での自動起動を無効にします(これにより、Dr.Web for Linux の一部の機能が使用できなくなります)。

2.システムを再起動させてください。

drweb-configure を使用したPAM設定の方法についてヘルプを参照するには、次のコマンドを使用します。

$ drweb-configure --help session

2.PAM設定を手動で変更する

1.pam_parsec_mac.so PAMモジュールを起動するPAM設定ファイル/etc/pam.dディレクトリ内)に、以下のセッションタイプのレコードを追加します。

セッションタイプの最初のレコードの前に:

session optional pam_drweb_session.so type=close

セッションタイプの最後のレコードの後に:

session optional pam_drweb_session.so type=open

2.変更したファイルを保存します。

3.PAMモジュールを含むシステムディレクトリからpam_drweb_session.soファイルへのシンボリックリンクを作成します。pam_drweb_session.soファイルは、Dr.Web for Linuxライブラリディレクトリ(/opt/drweb.com/lib/)にあります。 たとえば、64ビットオペレーティングシステムではモジュールへのパスは/opt/drweb.com/lib/x86_64-linux-gnu/pam/です。

4.OSを再起動します。

ファイルアクセスイベントを監視するようSpIDer Guardを設定する

SpIDer Guardファイルモニターが、あらゆるレベルのアクセス権限を持つファイルへのアクセス試行を検出することができるようにするには、SpIDer Guardの動作モードをFanotifyに切り替える必要があります。

SpIDer GuardをFanotify動作モードに切り替えるには、以下のコマンドを実行します。

# drweb-ctl cfset LinuxSpider.Mode Fanotify

追加の情報を取得するには、次のコマンドを使用します。

$ man drweb-spider