Настройка подсистем безопасности

Наличие в составе ОС подсистемы обеспечения дополнительной безопасности SELinux, а также использование систем мандатного управления доступом (в отличие от классической дискреционной модели UNIX), таких как PARSEC, приводит к проблемам в функционировании Dr.Web для Linux при настройках по умолчанию. Для обеспечения корректной работы Dr.Web для Linux в этом случае необходимо внести дополнительные изменения в настройки подсистемы безопасности и/или Dr.Web для Linux.

В этом разделе рассматриваются следующие настройки, обеспечивающие корректную работу Dr.Web для Linux:

Настройка политик безопасности SELinux.

Настройка разрешений для системы мандатного доступа PARSEC (ОС Astra Linux SE).

Настройка Альт 8 CП и других ОС, использующих pam_namespace.

Настройка запуска в режиме ЗПС (замкнутой программной среды) (ОС Astra Linux SE, версии 1.6 и 1.7).

Настройка разрешений системы мандатного доступа PARSEC для Dr.Web для Linux позволит компонентам антивируса обходить ограничения установленных политик безопасности и получать доступ к файлам разных уровней привилегий.

Обратите внимание, что даже если вы не настроите разрешения системы мандатного доступа PARSEC для компонентов Dr.Web для Linux, то вы все равно сможете запускать проверку файлов, используя графический интерфейс Dr.Web для Linux в режиме автономной копии. Для этого используйте команду drweb-gui с параметром --Autonomous. Также вы можете запускать проверку файлов непосредственно из командной строки. Для этого используйте команду drweb-ctl с этим же параметром (--Autonomous). При этом будет возможна проверка файлов, для доступа к которым необходим уровень привилегий не выше уровня, с которым работает пользователь, запустивший сеанс проверки. Данный режим имеет следующие особенности:

Для запуска в режиме автономной копии необходимо наличие действующего ключевого файла, работа под управлением сервера централизованной защиты не поддерживается (имеется возможность установить ключевой файл, экспортированный с сервера централизованной защиты). При этом, даже если Dr.Web для Linux подключен к серверу централизованной защиты, автономная копия не сообщает серверу централизованной защиты об угрозах, обнаруженных при запуске в режиме автономной копии.

Все вспомогательные компоненты, обслуживающие работу автономной копии, будут запущены от имени текущего пользователя и будут работать со специально сформированным файлом конфигурации.

Все временные файлы и сокеты UNIX, используемые для взаимодействия компонентов между собой, будут создаваться только в каталоге с уникальным именем. Этот каталог создается запущенной автономной копией в каталоге временных файлов (указанном в системной переменной окружения TMPDIR).

Автономно запущенная копия графического интерфейса управления не запускает мониторы SpIDer Guard и SpIDer Gate, работают только функции проверки файлов и управления карантином, поддерживаемые Сканером.

Пути к файлам вирусных баз, антивирусного ядра и исполняемым файлам сервисных компонентов заданы по умолчанию, либо берутся из специальных переменных окружения.

Число одновременно работающих автономных копий не ограничено.

При завершении работы автономно запущенной копии комплект обслуживающих ее сервисных компонентов также завершает работу.