Kaspersky Endpoint Security 10 for Linux スタンドアロン運用時の設定資料 2017 年 12 月 12 日 株式会社カスペルスキー コーポレートビジネス本部
Kaspersky Endpoint Security 10 for Linux (KES10Linux) とは? Kaspersky Endpoint Security 10 for Linux ( 以下 KES10Linux) は Linux OS ( サーバー / ワークステーション ) 向けのカスペルスキーのアンチウイルス製品です 製品には以下のような特長があります Kaspersky Security Network 対応 Kaspersky Security Center による集中管理 ブートセクタースキャン機能 実行中のプロセスメモリスキャン機能 Fanotify サポート 新しいコマンドの追加 システム要件については下記 URL をご参照ください https://support.kaspersky.co.jp/kes10linux#requirements 2
本資料の目的 本資料では 管理サーバー (Kaspersky Security Center) を使用せず KES10Linux を導入した Linux OS を管理 ( スタンドアロン管理 ) する際の設定資料になります 関連ディレクトリ / ファイル コマンドリファレンス KES10Linux ステータス確認 イベント DB 参照 Syslog 設定 タスク タスクスケジュール設定 Tips 3
関連ディレクトリ / ファイル KES10Linux 関連のディレクトリやファイルのリスト 用途 インストールディレクトリ 関連ディレクトリ イベント DB ファイル kesl-control --set-app-settings で書き換えているファイル ディレクトリ / ファイル /opt/kaspersky/kesl/ /var/opt/kaspersky/kesl/ /var/opt/kaspersky/kesl/events.db /var/opt/kaspersky/kesl/appsettings.xml 4
コマンドリファレンス コマンド実行方法 /opt/kaspersky/kesl/bin/kesl-control (option) Command help: [-B] --mass-remove delete files from backup --query <filter> objects filter -B --query <filter> get information about objects in backup --limit <number> maximum number of items --offset <number> starting item [-B] --restore <object-id> restore an object from backup --file <path> target path to restore to -E get application events --query <filter> events filter --limit <number> maximum number of items --offset <number> starting item --db <db-file> database file to use --file <file> save events to file [-L] --install-active-key <key/file> add active key [-L] --install-additional-key <key/file> add additional key [-L] --revoke-active-key remove active key [-L] --revoke-additional-key remove additional key -L --query query key status [-T] --create-task <name> --type <type> create a task <type> is one of: ODS, Update, Retranslate, Rollback, BootScan, MemoryScan --file <file> load settings from file [-S] --app-info get application info [-T] --delete-task <ID/name> delete the task [-T] --get-app-settings get general application settings [-T] --get-task-list get list of all tasks [-T] --get-task-state <task ID/name> get state of the task [-T] --get-settings <ID/name> get settings for the task --file <file> save settings to file [-T] --set-settings <ID/name> set settings for the task --file <file> load settings from file --add-path <path> --del-path <path> --add-exclusion <exclusion> --del-exclusion <exclusion> <key>=<value>... [-T] --set-app-settings set general application settings --file <file> load setting from file <key>=<value>... [-T] --start-task <ID/name> start the task -W wait for the task events --progress display task progress [-T] --stop-task <ID/name> stop the task -W wait for the task events [-T] --suspend-task <ID/name> suspend the task [-T] --resume-task <ID/name> resume the task -W wait for application events --query <filter> events filter [-T] --get-schedule <ID/name> get active schedule for the task --file <file> save schedule to file [-T] --set-schedule <ID/name> set active schedule for the task --file <file> load schedule from file <key>=<value>... [-T] --scan-file <path>... scan specified files or folders --action <action> action for threats <action> is one of: Cure, Remove, Recommended, Skip, Block 5
KES10Linux ステータス確認 コマンド実行でステータスの確認が可能 [root@localhost kesl]# /opt/kaspersky/kesl/bin/kesl-control --app-info Name : Kaspersky Endpoint Security 10 for Linux Version : 10.0.0.3458 Key status : Valid License expiration date : 2018-09-28 Backup state : The oldest object will be deleted after 2018-02-20 17:02:40 Backup space usage : Backup size is unlimited Scan_My_Computer last run date : 2017-11-22 17:06:47 Anti-virus databases loaded : Yes Anti-virus databases date : 2017-11-28 07:52:00 Anti-virus databases records : 11122317 Protection status : OAS enabled KSN state : On コマンドのオプションは [-S] でもステータス表示が可能 下記コマンドでライセンスステータスの表示も可能 [root@localhost kesl]# /opt/kaspersky/kesl/bin/kesl-control -L --query 6
イベント DB 参照 KES10Linux ではローカルログをイベント DB に保存している イベント DB を参照するためには KES10Linux のコマンドを実行する必要がある 参照内容すべてのログを参照すべてのログをファイル出力アップデートログのみ表示 実行コマンド /opt/kaspersky/kesl/bin/kesl-control -E --query /opt/kaspersky/kesl/bin/kesl-control -E --query --file TestLog.txt /opt/kaspersky/kesl/bin/kesl-control -E --query "Tasktype=='Update Update 部分は大文字小文字を一致させる 指定したタスク ID のログのみ表示 /opt/kaspersky/kesl/bin/kesl-control -E --query "TaskId=='1'" フィルタリングしたログのファイル出力 指定したイベント ID 以降のログを参照 ( ログ量が多い場合に有効 ) /opt/kaspersky/kesl/bin/kesl-control -E --query "TaskId=='1'" --file TestLog2.txt /opt/kaspersky/kesl/bin/kesl-control -E --query offset 2000 イベント ID が 2000 以降のログを参照 7
Syslog 設定 監視やログ保存のためにSyslogを設定することが可能 Syslog 設定を行うと /var/log/message にログを出力する スタンドアロン環境では出力するログの選択はできず すべてのログを出力する 管理サーバー (KSC) を利用することでログの選択が可能 用途 Syslog 有効化 Syslog 設定確認 アプリケーションリスタート (RHEL 系 7.x) 実行コマンド /opt/kaspersky/kesl/bin/kesl-control --set-app-setting UseSyslog=yes /opt/kaspersky/kesl/bin/kesl-control --get-app-setting エントリ内で UseSyslog=Yes となっていることを確認 systemctl restart kesl-supervisor.service 設定後 アプリケーションのリスタートが必須です 8
ウイルス検知時のイベント DB/Syslog への出力内容 ( サンプル ) テストウイルスファイルである Eicar.com ファイルを検知しイベント DB/Syslog に出力した内容のサンプル イベント DB EventType=ThreatDetected EventId=3793 Date=2017-11-28 11:52:07 DangerLevel=Critical FileName=/root/eicar.com ObjectName=File TaskName=File_Monitoring RuntimeTaskId=10 TaskId=1 DetectName=EICAR-Test-File TaskType=OAS FileOwner=root FileOwnerId=0 DetectCertainty=Sure DetectType=Virware DetectSource=Local ObjectId=2 AccessUser=root AccessUserId=0 Syslog [root@localhost ~]# tail -1 /var/log/messages Nov 28 11:52:07 localhost kesl: {"EventType": "ThreatDetected","EventId": "3793","DetectName": "EICAR-Test- File","DetectType": "Virware","DetectCertainty": "Sure","DetectSource": "Local","FileName": "/root/eicar.com","objectname": "File","TaskId": "1","RuntimeTaskId": "10","TaskName": "File_Monitoring","TaskType": "OAS","AccessUser": "root","accessuserid": "0","FileOwner": "root","fileownerid": "0"} 9
( 補足 )KSC を利用した Syslog への出力内容の選択 管理サーバー (KSC) を利用した場合 Syslog への出力内容を選択可能 設定可能なログは下記 10
タスク KES10Linux ではリアルタイムスキャンもアップデートもタスクで実行する 最低限必要なタスクはインストール時に作成される /opt/kaspersky/kesl/bin/kesl-control --get-task-list Number of tasks: 10 Name: File_Monitoring ID : 1 Type : OAS State : Started Name: Scan_My_Computer ID : 2 Type : ODS State : Stopped Name: Scan_File ID : 3 Type : ODS State : Stopped Name: Boot_Scan ID : 4 Type : BootScan State : Stopped Name: Memory_Scan ID : 5 Type : MemoryScan State : Stopped Name: Update ID : 6 Type : Update State : Stopped Name: Rollback ID : 7 Type : Rollback State : Stopped Name: Retranslate ID : 8 Type : Retranslate State : Stopped Name: License ID : 9 Type : License State : Started Name: Backup ID : 10 Type : Backup State : Started OAS =オンアクセススキャン ( リアルタイムスキャン ) ODS =オンデマンドスキャン BootScan =ブートセクタースキャン MemoryScan =メモリースキャン 下記のタスクは追加設定が可能 ODS( オンデマンドスキャン ) Update Retranslate Rollback BootScan MemoryScan 11
タスクスケジュール設定 1 デフォルトで作成されるタスクについて下記のタスクはスケジュールが設定されていない ( マニュアルで実行 ) ODS( オンデマンドスキャン ) / MemoryScan / BootScan / RollBack / Retranslate スケジュールを設定する場合はコマンドを実行する RuleType=Hourly StartTime=2017/Nov/28 12:21:29;1 下記から指定する Once / Monthly / Weekly / Daily / Hourly / Minutely / Manual / PS( アプリケーション起動時 ) / BR( 定義 DB アップデート後 ) RuleType により設定が変動する ; のあとは実行間隔を指定 ( 左記の場合は RuleType が Hourly のため 1h ごと ) ExecuteTimeLimit=0 タスクの実行時間のリミット設定 分単位での指定 RunMissedStartRules=No 未実行タスクの実行設定 Yes / No で指定 12
タスクスケジュール設定 2 時間の記載方法 StartTime を記載する場合 引数は以下の構文になっている StartTime=[year/month/month_day] [hh]:[mm]:[ss]; [ ]; [] この引数は設定値を で囲う必要がある 下記はサンプル RuleType は Hourly(6 時間ごとの実行と指定 ) 2017/11/28 16:25:30 スタートと指定 "StartTime=2017/Nov/28 16:25:30;6" スケジュール設定でその他の値も含めたコマンドサンプルは下記 /opt/kaspersky/kesl/bin/kesl-control --set-schedule 2 "RuleType=Hourly" "StartTime=2017/Nov/28 16:25:30;6 "RandomInterval=0" "ExecuteTimeLimit=0" "RunMissedStartRules=No 13
タスクスケジュール設定 3 設定エクスポートとインポート タスクスケジュール設定はファイルにエクスポート / ファイルからインポートが可能 エクスポート インポート /opt/kaspersky/kesl/bin/kesl-control --get-schedule <TaskID> --file <File Name> /opt/kaspersky/kesl/bin/kesl-control --set-schedule <TaskID> --file <File Name> ファイルのサンプルは下記 Daily ( 毎日 ) RuleType=Daily StartTime=12:29:42;1 RandomInterval=0 ExecuteTimeLimit=0 RunMissedStartRules=No Weekly ( 毎週 ) 日曜指定 RuleType=Weekly StartTime=18:00:00;Sun RandomInterval=0 ExecuteTimeLimit=0 RunMissedStartRules=No Minutely (N 分ごと ) RuleType=Minutely StartTime=12:21:29;N RandomInterval=0 ExecuteTimeLimit=0 RunMissedStartRules=No Hourly (N 時間ごと ) RuleType=Hourly StartTime=2017/Nov/28 12:21:29;N RandomInterval=0 ExecuteTimeLimit=0 RunMissedStartRules=No Monthly ( 毎月 ) 10 日指定 RuleType=Monthly StartTime=12:25:08;10 RandomInterval=0 ExecuteTimeLimit=0 RunMissedStartRules=No Tips すでに KSC が管理している KES10Linux がある場合 KSC 上でタスクを作成し KESL に配信後 KES10Linux 上でタスク設定のエクスポートを実行することで簡単にタスク設定ファイルが作成できます 14
除外 スキャンの除外についてコマンドからパスを指定して除外設定することが可能 /root/data/ のディレクトリを除外とする場合のコマンド ( リアルタイムスキャンへの適用 ) /opt/kaspersky/kesl/bin/kesl-control --set-settings 1 --add-exclusion /root/data/ 設定は下記にて確認が可能 /opt/kaspersky/kesl/bin/kesl-control --get-settings 1 コマンド実行後出力される内容 ( 除外部分の抜粋 ) [ExcludedFromScanScope.item_0000] UseScanArea=Yes Path=/root/data/ AreaDesc= AreaMask.item_0000=* 15
オフラインアップデート 1 Kaspersky Update Utility を利用することでインターネット上から定義データベースを取得可能 インターネットに接続可能な端末上にて Kaspersky Update Utility を実行 ダウンロードしたファイルを Linux OS 上にコピーもしくは Linux OS から参照可能な HTTP/FTP サーバー上にファイルを配置し Update タスクにてアップデートを実行 Kaspersky Update Utilityは下記からダウンロード可能 https://support.kaspersky.co.jp/updater3#downloads 使用方法は下記を参照 https://support.kaspersky.co.jp/11705 KES10Linux は Kaspersky Update Utility の最新バージョンであっても アプリケーションのリストに表示されません Kaspersky Update Utility を起動後 設定をせずに 開始 ボタンから実行していただくことでアプリケーションリストに KES10Linux が表示されます 16
オフラインアップデート 2 KES10Linux 上で Update タスクを新規に作成する タスクの設定はファイルインポートで設定できるため 設定ファイルを作成して適用する Kaspersky Update Utility でダウンロードしたファイルをコピーしたあとの手順概要は下記 設定ファイル作成 下記の設定ファイルを作成し LinuxOS 上に配置 SourceType=Custom UseKLServersWhenUnavailable=No IgnoreProxySettingsForKLServers=No IgnoreProxySettingsForCustomSources=No ConnectionTimeout=10 [CustomSources.item_0000] URL=( コピーしたファイル ) Enabled=Yes タスク設定 下記コマンドを実行し Update タスクの新規作成と設定適用 /opt/kaspersky/kesl/bin/kesl-control -- create-task LocalUpdate --type Update 実行結果でタスク ID を確認 /opt/kaspersky/kesl/bin/kesl-control --setsettings ( タスク ID) --file ( 作成したファイル名 ) タスクの実行 下記コマンドを実行し Update タスクを実行 /opt/kaspersky/kesl/bin/kesl-control -- start-task ( タスク ID) 17
Tips ブートセクタースキャンとプロセスメモリスキャン - デフォルトでタスクは作成されていますがスケジュールは設定されていません 利用する場合は別途スケジュールを指定してください リアルタイムスキャンの実行 - リアルタイムスキャンは自動的に起動します - リアルタイムスキャンが実行されない場合は下記点をご確認ください インストール時にリアルタイムスキャンのモジュールがインストールされていたか? インストール後に定義データベースのアップデートが行われているか? 18
Thank you 株式会社カスペルスキー 101-0021 東京都千代田区外神田 3-12-8 住友不動産秋葉原ビル 7F http://www.kaspersky.co.jp