Наличие в составе ОС подсистемы обеспечения дополнительной безопасности SELinux (а также использование систем мандатного управления доступом (в отличие от классической дискреционной модели UNIX), таких как PARSEC) приводит к проблемам в функционировании Dr.Web для файловых серверов UNIX при настройках по умолчанию. Для обеспечения корректной работы Dr.Web для файловых серверов UNIX в этом случае необходимо внести дополнительные изменения в настройки подсистемы безопасности и/или Dr.Web для файловых серверов UNIX.
В этом разделе рассматриваются следующие настройки, обеспечивающие корректную работу Dr.Web для файловых серверов UNIX:
•настройка политик безопасности SELinux;
•настройка запуска в режиме замкнутой программной среды (ОС Astra Linux SE, версии 1.6 и 1.7).
|
Настройка разрешений системы мандатного доступа PARSEC для Dr.Web для файловых серверов UNIX позволит обходить его компонентам ограничения установленных политик безопасности и получать доступ к файлам разных уровней привилегий. |
|
Даже если вы не настроите разрешения системы мандатного доступа PARSEC для Dr.Web для файловых серверов UNIX, то вы все равно сможете запускать проверку файлов непосредственно из командной строки. Для этого используйте команду drweb-ctl в автономном режиме работы, указав при запуске параметр --Autonomous. При этом будет возможна проверка файлов, для доступа к которым необходим уровень привилегий не выше уровня, с которым работает пользователь, запустивший сеанс проверки. |
Данный режим имеет особенности:
•для запуска автономной копии необходимо наличие действующего ключевого файла, работа под управлением сервера централизованной защиты не поддерживается (имеется возможность установить ключевой файл, экспортированный с сервера централизованной защиты). При этом, даже если Dr.Web для файловых серверов UNIX подключен к серверу централизованной защиты, автономная копия не сообщает серверу централизованной защиты об угрозах, обнаруженных при запуске в режиме автономной копии;
•все вспомогательные компоненты, обслуживающие работу запущенной автономной копии, будут запущены от имени текущего пользователя и будут работать со специально сформированным файлом конфигурации;
•все временные файлы и сокеты UNIX, используемые для взаимодействия компонентов между собой, будут создаваться только в каталоге с уникальным именем, созданным запущенной автономной копии в каталоге временных файлов (указанном в системной переменной окружения TMPDIR);
•пути к файлам вирусных баз, антивирусного ядра и исполняемым файлам используемых при сканировании компонентов заданы по умолчанию, либо берутся из специальных переменных окружения;
•число одновременно работающих автономных копий не ограничено;
•при завершении работы автономно запущенной копии также завершает работу и комплект обслуживающих ее работу компонентов.