Configuration des permissions PARSEC (Astra Linux SE)

Dans les systèmes possédant le sous-système de sécurité PARSEC (système de gestion de l’accès obligatoire), les niveaux de privilèges nécessaires pour accéder aux fichiers sont différents. C’est pourquoi SpIDer Guard ne peut pas intercepter les événements d’accès aux fichiers possédant les niveaux de privilèges supérieurs au niveau sur lequel SpIDer Guard est lancé. De plus, si l’utilisateur travaille sur le niveau de privilèges différent de zéro, l’interface d’utilisateur Dr.Web pour Linux ne peut pas interagir avec SpIDer Guard et les composants service de l’antivirus fonctionnant sur les autres niveaux de privilèges. L’accès à la quarantaine consolidée peut faire défaut.

Si l’OS utilise PARSEC et qu’il y a des comptes utilisateurs fonctionnant aux niveaux de privilèges différents de zéro, il faut effectuer une configuration spéciale de Dr.Web pour Linux pour assurer l’interaction de ses composants lancés aux niveaux de privilèges différents.

Dans cette rubrique, on examine les paramètres PARSEC assurant le fonctionnement correct de Dr.Web pour Linux :

Configuration de l’interaction des composants lancés aux niveaux différents de privilèges.

Configuration du lancement automatique de composants de Dr.Web pour Linux au niveau de privilèges de l’utilisateur.

Configuration de SpIDer Guard pour intercepter les événements d’accès aux fichiers.

Ces procédures peuvent être effectuées uniquement par un utilisateur possédant les privilèges de super-utilisateur (utilisateur root). Pour élever les privilèges, utilisez la commande de changement d’utilisateur su ou la commande d’exécution au nom d’un autre utilisateur sudo.

Configuration de l’interaction des composants lancés aux niveaux différents de privilèges

Sous Astra Linux SE en version 1.6 :

Modifiez le fichier système /etc/parsec/privsock.conf en dotant le démon de gestion de la configuration Dr.Web pour Linux (drweb-configd) du droit d’utiliser le mécanisme privsock. drweb-configd : le composant service de Dr.Web pour Linux qui assure l’interaction de tous les composants antivirus. Le mécanisme privsock est destiné à assurer le fonctionnement des services réseau système qui ne traitent pas les informations avec le contexte obligatoire mais qui interagissent avec les processus fonctionnant dans le contexte obligatoire du sujet d’accès. Pour cela, faites le suivant :

1.Ouvrez le fichier /etc/parsec/privsock.conf dans un éditeur de texte. Ajoutez les lignes indiquées dans ce fichier :

/opt/drweb.com/bin/drweb-configd
/opt/drweb.com/bin/drweb-configd.real

2.Enregistrez le fichier et redémarrez le système.

Sous Astra Linux SE en version 1.5 ou antérieure :

Modifiez le script de lancement du démon de gestion de la configuration Dr.Web pour Linux (drweb-configd). Pour ce faire, faites le suivant :

1.Entrez dans le système avec le compte ayant le niveau zéro de privilèges.

2.Ouvrez le fichier de script /etc/init.d/drweb-configd dans un éditeur de texte.

3.Dans ce fichier, trouvez la description de la fonction start_daemon() et remplacez la ligne

"$DAEMON" -d -p "$PIDFILE" > /dev/null 2>&1

par la ligne

execaps -c 0x100 -- "$DAEMON" -d -p "$PIDFILE" > /dev/null 2>&1

4.Dans certains OS (par exemple, Astra Linux SE 1.3), il peut être nécessaire d’indiquer la dépendance du lancement du composant à l’égard du sous-système PARSEC. Dans ce cas, il faut également modifier la ligne suivante dans ce fichier :

# Required-Start: $local_fs $network

Modifiez cette ligne de la manière suivante :

# Required-Start: $local_fs $network parsec

5.Enregistrez le fichier modifié et redémarrez le système.

Configuration du lancement automatique de composants au niveau de privilèges de l’utilisateur

Pour que les composants de Dr.Web pour Linux, avec lesquels l’utilisateur interagit, soient disponibles dans son environnement (en cas de travail au niveau de privilèges différent de zéro), modifiez les fichiers de paramètres de PAM pourle lancement automatique des composants nécessaires de Dr.Web pour Linux au début de la session et leur arrêt à la fin de la session (le module PAM spécial pam_drweb_session.so est utilisé. Ce module est crée par Doctor Web et il lance le composant intermédiaire drweb-session reliant les copies locales des composants lancés dans l’environnement de l’utilisateur aux composants fonctionnant au niveau de privilèges différent de zéro et démarrant automatiquement lors du chargement de l’OS).

Pour modifier les paramètres de PAM, vous pouvez utiliser l’utilitaire de configuration drweb-configure inclus à Dr.Web pour Linux (recommandé) ou modifier les fichiers de configuration nécessaires manuellement.

1. Utilisation de l’utilitaire drweb-configure

Pour faciliter la configuration de certains paramètres compliqués assurant le fonctionnement de Dr.Web pour Linux, on a créé l’utilitaire spécial drweb-configure.

1.Pour activer ou désactiver le lancement automatique des composants nécessaires de Dr.Web pour Linux dans l’entourage de l’utilisateur lors de son travail au niveau de privilèges différent de zéro, utilisez la commande suivante :

$ sudo drweb-configure session <mode>

<mode> peut prendre l’une des valeurs suivantes :

enable : activer le mode de lancement automatique des composants nécessaires au cours de la session de l’utilisateur à son niveau de privilèges.

disable : désactiver le mode de lancement automatique des composants nécessaires au cours de la session de l’utilisateur au niveau de privilèges (dans ce cas, les fonctions de Dr.Web pour Linux seront indisponibles).

2.Redémarrez le système.

Pour avoir l’aide d’utilisation de drweb-configure pour la configuration de PAM, utilisez la commande :

$ drweb-configure --help session

2. Modification manuelle des fichiers de la configuration PAM

1.Ajoutez les entrées suivantes de type session dans les fichiers de configuration PAM (se trouvant dans le répertoire /etc/pam.d) pour lesquels le module PAM pam_parsec_mac.so est appelé :

Avant le premier enregistrement de type session :

session optional pam_drweb_session.so type=close

Après le dernier enregistrement de type session :

session optional pam_drweb_session.so type=open

2.Enregistrez les fichier modifiés.

3.Créez un lien symbolique vers le fichier pam_drweb_session.so du répertoire système contenant des modules PAM. Le fichier pam_drweb_session.so se trouve dans le répertoire de bibliothèques Dr.Web pour Linux /opt/drweb.com/lib/(par exemple, pour les OS 64-bits — dans le répertoire /opt/drweb.com/lib/x86_64-linux-gnu/pam/).

4.Redémarrez le système.

Configuration de SpIDer Guard pour intercepter les événements d’accès aux fichiers

Pour accorder au moniteur de fichiers SpIDer Guard, la possibilité de détecter l’accès aux fichiers ayant tout niveau de privilèges d’accès, il est nécessaire de basculer SpIDer Guard en mode Fanotify.

Pour basculer SpIDer Guard en mode Fanotify, exécutez la commande suivante :

# drweb-ctl cfset LinuxSpider.Mode Fanotify

Pour plus d’informations, exécutez la commande suivante :

$ man drweb-spider