Налаштування дозволів PARSEC (Astra Linux SE) |
В системах, оснащених підсистемою безпеки PARSEC (система управління мандатним доступом) через різні рівні привілеїв, необхідні для доступу до файлів, за замовчуванням SpIDer Guard не може перехоплювати події про доступ до файлів з більш високими рівнями привілеїв, ніж рівень привілеїв, на якому запущений SpIDer Guard. Окрім того, якщо користувач працює не на нульовому рівні привілеїв, інтерфейс користувача Dr.Web для Linux не може взаємодіяти з SpIDer Guard та сервісними компонентами антивірусу, що працюють на інших рівнях привілеїв, у тому числі може бути відсутнім доступ до консолідованого карантину. Якщо в ОС використовується PARSEC та наявні облікві дані користувачів, які працюють не на нульовому рівні, необхідно провести спеціальне налаштування Dr.Web для Linux, щоб забезпечити взаємодію його компонентів, які запускаються на різних рівнях привілеїв. В цьому розділі розглядаються такі налаштування PARSEC, що забезпечують коректну роботу Dr.Web для Linux: •Налаштування взаємодії компонентів, запущених на різних рівнях привілеїв. •Налаштування автоматичного запуску компонентів Dr.Web для Linux на рівні привілеїв користувача. •Налаштування SpIDer Guard для перехоплення подій доступу до файлів.
Налаштування взаємодії компонентів, запущених на різних рівнях привілеїв Для ОС Astra Linux SE версії 1.6: Внесіть змінення в системний файл /etc/parsec/privsock.conf, надавши демону управління конфігурацієюDr.Web для Linux (drweb-configd) право на використання механізму privsock. drweb-configd — сервісний компонент продукту, що забезпечує взаємодію всіх антивірусних компонентів між собою. Механізм privsock призначений для забезпечення функціонування системних мережних сервісів, що не проводять обробку інформації з використанням мандатного контексту, але взаємодіють з процесами, що працюють в мандатному контексті суб'єкта доступу. Для цього виконайте такі дії: 1.В будь-якому текстовому редакторі відкрийте файл /etc/parsec/privsock.conf. Додайте в цей файл вказані рядки:
2.Збережіть файл та перезавантажте систему. Для ОС Astra Linux SE версії 1.5 та нижче: Внесіть змінення в сценарій запуску демона управління конфігурацією Dr.Web для Linux (drweb-configd). Для цього виконайте такі дії: 1.Ввійдіть в систему під обліковим записом з нульовим рівнем привілеїв. 2.В будь-якому текстовому редакторі відкрийте файл сценарію /etc/init.d/drweb-configd. 3.Знайдіть в цьому файлі визначення функції start_daemon(), в якому замініть рядок
на рядок
4.В деяких ОС (наприклад, Astra Linux SE 1.3) може знадобитися вказати додатково залежність запуску компонента від підсистеми PARSEC. В такому випадку також необхідно модифікувати в цьому файлі рядок:
Змініть даний рядок таким чином:
5.Збережіть файл та перезавантажте систему. Налаштування автоматичного запуску компонентів на рівні привілеїв користувача Щоб компоненти Dr.Web для Linux, з якими взаємодіє користувач, були доступні в його оточенні (при роботі користувача не на нульовому рівні привілеїв), внесіть змінення в файли налаштувань PAM, щоб забезпечити автоматичний запуск необхідних компонентів Dr.Web для Linux на початку сесії користувача та їх завершення при завершенні сесії (використовується спеціальний PAM-модуль pam_drweb_session.so, розроблений «Доктор Веб», що запускає компонент-посередник drweb-session, який пов'язує між собою локальні копії компонентів, запущених в оточенні користувача, з компонентами, що працюють на нульовому рівні привілеїв та запускаються автоматично при завантаженні ОС). Щоб внести змінення в налаштування PAM, скористайтеся утилітою конфігурування drweb-configure, яка входить да складу Dr.Web для Linux (рекомендується), або внесіть змінення в необхідні файли конфігурації вручну. 1. Використання утиліти drweb-configure Для зручності налаштування деяких складних параметрів, що забезпечують працездатність Dr.Web для Linux, розроблена спеціальна допоміжна утиліта drweb-configure. 1.Щоб включити або відключити автоматичний запуск необхідних компонентів Dr.Web для Linux в оточенні користувача при його роботі не на нульовому рівні привилеїв, скористайтеся такою командою:
де <режим> може приймати одне з таких значень: •enable — включити режим автоматичного запуску необхідних компонентів в сесії користувача на його рівні привілеїв. •disable — відключити режим автоматичного запуску необхідних компонентів в сесії користувача на його рівні привілеїв (при цьому ряд функцій Dr.Web для Linux виявиться недоступним). 2.Перезавантажте систему.
2. Змінення файлів конфігурації PAM вручну 1.В файли конфігурації PAM (розташовані в каталозі /etc/pam.d), в яких викликається модуль PAM pam_parsec_mac.so, додайте такі записи типу session: •Перед першим записом типу session:
•Після останнього запису типу session:
2.Збережіть змінені файли. 3.Створіть символічне посилання на файл pam_drweb_session.so з системного каталогу, що містить PAM-модулі. Файл pam_drweb_session.so розташовується в каталозі бібліотек Dr.Web для Linux /opt/drweb.com/lib/(наприклад, для 64-розрядних ОС — в каталозі /opt/drweb.com/lib/x86_64-linux-gnu/pam/). 4.Перезавантажте систему. Налаштування SpIDer Guard для перехоплення подій доступу до файлів Щоб надати файловому монітору SpIDer Guard можливість виявляти доступ до файлів з будь-яким рівнем привілеїв доступу, необхідно перевести SpIDer Guard в режим роботи Fanotify. Щоб перевести SpIDer Guard в режим роботи Fanotify, виконайте таку команду:
Щоб отримати додаткову інформацію використовуйте команду:
|