PARSEC(Astra Linux SE)パーミッションの設定

PARSECセキュリティサブシステム(強制アクセス制御システム)を備えたOSでは、アクセスするために必要な権限レベルがファイルによって異なるため、SpIDer Guardは、デフォルトでは、SpIDer Guardが実行されている権限レベルよりも高い権限レベルを持つファイルへのアクセスに関するイベントを監視できません。さらに、ユーザーが0番目以外の権限レベルで作業している場合、Dr.Web for UNIX File Serversのグラフィカルインターフェースは、SpIDer Guardや、異なる権限レベルで動作しているアンチウイルスサービスコンポーネントとやり取りできません。統合された隔離にもアクセスできない可能性があります。

PARSECがOSで使用されており、0番目以外の権限レベルで作業しているユーザーアカウントが存在する場合は、Dr.Web for UNIX File Serversをカスタマイズし、そのコンポーネントが異なる権限レベルで実行されるようにする必要があります。

このセクションでは、Dr.Web for UNIX File Servers正しく動作させるための PARSEC の設定について説明します。

ユーザー権限を使用し、Dr.Web for UNIX File Serversコンポーネントの自動起動をカスタマイズする

ファイルアクセスイベントを監視できるようにSpIDer Guardを設定する

これらの手順を実行するには、スーパーユーザー権限(root ユーザーの権限)が必要です。権限を昇格するには、su コマンド(カレントユーザーを変更する)または sudo コマンド(指定されたコマンドを別のユーザーの権限で実行する)を使用します。

ユーザー権限を使用し、Dr.Web for UNIX File Serversコンポーネントの自動起動をカスタマイズする

ユーザーがやり取りするDr.Web for UNIX File Serversコンポーネントをユーザー環境で使用できるようにするには(ユーザーが0以外の権限レベルで作業している場合)、必要なDr.Web for UNIX File Serversコンポーネントがユーザーセッションの開始時に自動起動し、セッションの終了時に終了するように、PAM設定を含むファイルを変更する必要があります。モジュール(Doctor Webによって設計された特別なpam_drweb_session.so PAMモジュール)はdrweb-session仲介コンポーネントを起動します。このコンポーネントは、ユーザー環境で実行されるコンポーネントのローカルコピーと、0番目の権限レベルで動作していて、OSのロード時に自動的に実行されるコンポーネントを結び付けます。

PAM設定を変更するには、Dr.Web for UNIX File Serversに含まれている drweb-configure 設定ユーティリティを使用することをお勧めします。または、必要な設定ファイルに手動で変更を加えることも可能です。

1.drweb-configureユーティリティを使用する

drweb-configure は、Dr.Web for UNIX File Servers の複雑なパラメータの設定を簡易化するために開発された特別な補助ユーティリティです。

1.必要なDr.Web for UNIX File Serversコンポーネントが0以外の特権レベルで実行されている場合に、ユーザーの環境でそれらコンポーネントの自動起動を有効または無効にするには、次のコマンドを使用します。

$ sudo drweb-configure session <mode>

<mode>には次のいずれかの値を指定することができます。

enable - ユーザーセッション中の、必要なコンポーネントの適切な権限での自動起動を有効にします。

disable - ユーザーセッション中の、必要なコンポーネントの適切な権限での自動起動を無効にします(これにより、Dr.Web for UNIX File Servers の一部の機能が使用できなくなります)。

2.システムを再起動させてください。

drweb-configure を使用したPAM設定の方法についてヘルプを参照するには、次のコマンドを使用します。

$ sudo drweb-configure --help session

2.PAM設定ファイルを手動で変更する

1.pam_parsec_mac.so PAMモジュールを起動するPAM設定ファイル/etc/pam.dディレクトリ内)に、以下のセッションタイプのレコードを追加します。

セッションタイプの最初のレコードの前に:

session optional pam_drweb_session.so type=close

セッションタイプの最後のレコードの後に:

session optional pam_drweb_session.so type=open

2.変更したファイルを保存します。

3.PAMモジュールを含むシステムディレクトリからpam_drweb_session.soファイルへのシンボリックリンクを作成します。pam_drweb_session.soファイルは、Dr.Web for UNIX File Serversライブラリディレクトリ(/opt/drweb.com/lib/)にあります。 たとえば、64ビットオペレーティングシステムではモジュールへのパスは/opt/drweb.com/lib/x86_64-linux-gnu/pam/です。

4.OSを再起動します。

 

ファイルアクセスイベントを監視できるようにSpIDer Guardを設定する。

SpIDer Guardファイルモニターが、あらゆるレベルのアクセス権限を持つファイルへのアクセス試行を検出することができるようにするには、SpIDer Guardの動作モードをFanotifyに切り替える必要があります。

SpIDer GuardをFanotify動作モードに切り替えるには、以下のコマンドを実行します。

# drweb-ctl cfset LinuxSpider.Mode Fanotify

追加の情報を取得するには、次のコマンドを使用します。

$ man drweb-spider