Настройка разрешений PARSEC |
В дистрибутивах Linux, оснащенных подсистемой безопасности PARSEC, доступ приложений к файлам зависит от уровня привилегий. Поэтому по умолчанию SpIDer Guard может перехватывать события доступа к файлам ровно в той мере, в которой это предусмотрено его уровнем привилегий. Кроме того, в случае если пользователь работает на отличном от нуля уровне привилегий, интерфейс пользователя Dr.Web для Linux не может взаимодействовать со SpIDer Guard и сервисными компонентами антивируса, работающими на других уровнях привилегий, в том числе может отсутствовать доступ к консолидированному карантину. Если в ОС используется PARSEC и имеются учетные записи пользователей, работающих на уровнях привилегий, отличных от нулевого, необходимо выполнить специальную настройку Dr.Web для Linux, чтобы обеспечить взаимодействие его компонентов, запускаемых на различных уровнях привилегий. В этом разделе рассматриваются следующие настройки PARSEC, обеспечивающие корректную работу Dr.Web для Linux: •Настройка взаимодействия компонентов, запущенных на разных уровнях привилегий. •Настройка автоматического запуска компонентов Dr.Web для Linux на уровне привилегий пользователя. •Настройка SpIDer Guard для перехвата событий доступа к файлам.
Настройка взаимодействия компонентов, запущенных на разных уровнях привилегий Внесите изменения в системный файл /etc/parsec/privsock.conf, наделив демон управления конфигурацией Dr.Web для Linux (drweb-configd) правом на использование механизма privsock. drweb-configd — сервисный компонент Dr.Web для Linux, обеспечивающий взаимодействие всех антивирусных компонентов между собой. Механизм privsock предназначен для обеспечения функционирования системных сетевых сервисов, не осуществляющих обработку информации с использованием мандатного контекста, но взаимодействующих с процессами, работающими в мандатном контексте субъекта доступа. Для этого выполните следующее: 1.В любом текстовом редакторе откройте файл /etc/parsec/privsock.conf. Добавьте в этот файл указанные строки:
2.Сохраните файл и перезагрузите систему. Внесите изменения в скрипт запуска демона управления конфигурацией Dr.Web для Linux (drweb-configd). Для этого выполните следующее: 1.Совершите вход в систему с использованием учетной записи, обладающей нулевым уровнем привилегий. 2.В любом текстовом редакторе откройте файл скрипта /etc/init.d/drweb-configd. 3.Найдите в этом файле определение функции start_daemon(), в которой замените строку
на строку
4.В некоторых ОС (например, Astra Linux SE 1.3) может потребоваться указать дополнительно зависимость запуска компонента от подсистемы PARSEC. В этом случае также необходимо модифицировать в этом файле строку:
Измените данную строку следующим образом:
5.Сохраните файл и перезапустите систему. Настройка автоматического запуска компонентов на уровне привилегий пользователя Для того, чтобы компоненты Dr.Web для Linux, с которыми взаимодействует пользователь, были доступны в его окружении (при работе пользователя на уровне привилегий, отличном от нулевого), внесите изменения в файлы настроек PAM для автоматического запуска требуемых компонентов Dr.Web для Linux при начале сессии пользователя и их завершения при окончании сессии (используется специальный PAM-модуль pam_drweb_session.so, разработанный Doctor Web, который запускает компонент-посредник drweb-session, связывающий между собой локальные копии компонентов, запущенных в окружении пользователя, с компонентами, работающими на нулевом уровне привилегий и запускающимися автоматически при загрузке ОС). Для внесения изменений в настройки PAM вы можете использовать утилиту конфигурирования drweb-configure, входящую в состав Dr.Web для Linux (рекомендуется), либо внести изменения в необходимые файлы конфигурации вручную. Для удобства настройки некоторых сложных параметров, обеспечивающих работоспособность Dr.Web для Linux, разработана специальная вспомогательная утилита drweb-configure. 1.Для включения или отключения автоматического запуска необходимых компонентов Dr.Web для Linux в окружении пользователя при его работе на уровне привилегий, отличном от нулевого, используйте следующую команду:
где <режим> может принимать одно из следующих значений: •enable — включить режим автоматического запуска нужных компонентов в сессии пользователя на его уровне привилегий. •disable — отключить режим автоматического запуска нужных компонентов в сессии пользователя на его уровне привилегий (при этом ряд функций Dr.Web для Linux окажется недоступным). 2.Перезапустите систему.
1.Чтобы изменить настройки PAM, нужно отредактировать хранящиеся в каталоге каталоге /etc/pam.d конфигурационные файлы, в которых вызывается модуль PAM pam_parsec_mac.so. Для получения полного списка таких файлов выполните команду:
В каждый файл из списка добавьте добавьте следующие записи типа session: •Перед первой записью типа session:
•После последней записи типа session:
2.Сохраните измененные файлы. 3.Создайте символическую ссылку на файл pam_drweb_session.so из системного каталога, содержащего PAM-модули. Файл pam_drweb_session.so располагается в каталоге библиотек Dr.Web для Linux /opt/drweb.com/lib/ (например, для 64-разрядных ОС — в каталоге /opt/drweb.com/lib/x86_64-linux-gnu/pam/). 4.Перезапустите систему. 1.Чтобы изменить настройки PAM, нужно отредактировать хранящиеся в каталоге /etc/pam.d конфигурационные файлы, в которых вызывается модуль PAM pam_namespace.so. Для получения полного списка таких файлов выполните команду:
2.В каждый файл добавьте такие же записи типа session, что и для дистрибутивов, использующих модуль pam_parsec_mac.so (см. предыдущий параграф). Настройка SpIDer Guard для перехвата событий доступа к файлам Для предоставления файловому монитору SpIDer Guard возможности обнаруживать доступ к файлам, имеющим любой уровень привилегий доступа, необходимо перевести SpIDer Guard в режим работы Fanotify. Чтобы перевести SpIDer Guard в режим работы Fanotify, выполните следующую команду:
Для получения дополнительной информации используйте команду:
|