Установка Kaspersky Endpoint Security

Платформа IVA MCU, начиная с версии 18.0, установленная на физический сервер, поддерживает установку антивирусного программного обеспечения Kaspersky Endpoint Security, а также Агента администрирования, обеспечивающего взаимодействие между сервером администрирования Kaspersky Security Center и Kaspersky Endpoint Security.

Установка Kaspersky Endpoint Security и Агента администрирования выполняется исходя из требований проекта или заказчика к информационной безопасности

Перед установкой программного обеспечения рекомендуется ознакомиться со следующей документацией от производителя:

официальная документация Kaspersky Endpoint Security для Linux
требования к портам, используемым в Kaspersky Security Center
сетевые параметры для взаимодействия с внешними службами

Установка Kaspersky Endpoint Security

Если Платформа установлена на сервер с ОС Astra Linux, то действия, описанные ниже выполнять не нужно. Установка Kaspersky Endpoint Security в этом случае выполняется в соответствии с рекомендациями производителя

Для установки Kaspersky Endpoint Security необходимо в командной строке (консоли) сервера, на котором установлена Платформа IVA MCU, выполнить следующие действия:

загрузить инсталлятор kesl_<версия>_amd64.deb на сервер через scp, где <версия> — версия соответствующего программного компонента

Загружать файл инсталлятора рекомендуется с официального сайта Kaspersky
разрешить установку, выполнив команду:
```
sudo iva-cli kesl prepare
```

выполнить установку пакета kesl с помощью команды:
```
sudo dpkg -i kesl_<версия>_amd64.deb
```

выполнить первоначальную настройку командой:
```
sudo /opt/kaspersky/kesl/bin/kesl-setup.pl
```
В процессе первоначальной настройки необходимо:
- принять лицензионное соглашение
- указать адрес сервера для загрузки обновлений (опционально)
- выполнить первоначальную загрузку обновлений (рекомендуется для обеспечения полнофункциональной защиты)
- включить автоматическую загрузку обновлений (опционально)
- указать ключ лицензии (опционально, по умолчанию будет использоваться временный ключ (trial key)
сохранить изменения, выполнив команду:
```
sudo iva-cli live save-changes -q
```

Ошибка загрузки обновлений при первоначальной настройке Kaspersky Endpoint Security

После запуска скрипта первоначальной настройки Kaspersky Endpoint Security kesl-setup.pl в консоли отображается следующее предупреждение:

Downloading the latest application databases
Task progress:
[##################################################]100%
Warning: Failed to update.

Данное предупреждение наблюдается при установке Kaspersky Endpoint Security версии 11.4.0–1096 и связано с преждевременной проверкой ключа лицензии. Проблему можно игнорировать, но после завершения первоначальной настройки требуется вручную запустить задачу на загрузку антивирусных баз командой:

sudo kesl-control --start-task 6

Установка Агента администрирования

Установка Агента администрирования выполняется при необходимости интеграции Kaspersky Endpoint Security с Kaspersky Security Center

Для установки Агента администрирования необходимо в командной строке (консоли) сервера, на котором установлен Kaspersky Endpoint Security, выполнить следующие действия:

загрузить инсталлятор klnagent64_<версия>_amd64.deb на сервер через scp, где <версия> — версия соответствующего программного компонента
разрешить установку, выполнив команду:
```
sudo iva-cli kesl prepare
```
выполнить установку пакета klnagent64 с помощью команды:
```
sudo dpkg -i klnagent64_<версия>_amd64.deb
```

выполнить первоначальную настройку командой:

sudo /opt/kaspersky/klnagent64/lib/bin/setup/postinstall.pl

В процессе первоначальной настройки необходимо принять лицензионное соглашение и указать адрес Kaspersky Security Center — хост, порт и т. д.

сохранить изменения, выполнив команду:
```
sudo iva-cli live save-changes -q
```

Настройка исключений Kaspersky Endpoint Security

Для осуществления настройки исключений необходимо обновить Kaspersky Endpoint Security до версии 12.3 и выше

Для каждого сервера Платформы IVA MCU необходимо настроить следующие исключения Kaspersky Endpoint Security:

отключить Эвристический анализатор
отключить задачу Защита от сетевых угроз (NTP)
отключить задачу Защита от Web-фильтраций

внести точки монтирования в глобальные исключения:

Точка монтирования

Головной сервер Платформы

Медиасервер Платформы

Сервер базы данных

Примечания

/mnt/filestorage/conversion

—

/mnt/filestorage/ivcs-server

—

/mnt/filestorage/media

Для медиасервера, установленного на ОС Astra Linux, не требуется

/var/filestorage/

—

исключить из проверки процессы. Исключения по процессам настраиваются в рамках задачи Защита от файловых угроз в разделе Исключения по процессам, в который необходимо добавить пути к исполняемым файлам

Процесс / служба

Путь к исполняемому файлу

Головной сервер Платформы

Медиасервер Платформы

Сервер базы данных

Примечания

audiodecoder

/usr/lib/imp/libexec/audiodecoder

—

audioencoder

/usr/lib/imp/libexec/audioencoder

—

audiomixer2

/usr/lib/imp/libexec/audiomixer2

—

auditbeat

/usr/share/auditbeat/bin/auditbeat

—

automount

/usr/sbin/automount

—

corosync

/usr/sbin/corosync

Применимо для следующих типов кластера:

Active / Active / DBStandBy + ExternalFS
Active / Active / DBStandBy + InternalClusterFS (DRBD)
Active / Active / ExternalDB + InternalClusterFS (DRBD)

dtmfgenerator

/usr/lib/imp/libexec/dtmfgenerator

—

exim4

/usr/sbin/exim4

—

fail2ban-server

/usr/bin/fail2ban-server

—

filebeat

/usr/bin/filebeat

—

filesink

/usr/lib/imp/libexec/filesink

—

filesource

/usr/lib/imp/libexec/filesource

—

imagesource

/usr/lib/imp/libexec/imagesource

—

imp

/usr/sbin/imp/imp

—

keepalived

/usr/sbin/keepalived

Применимо только для кластера типа Active / Active / NoDB + ExternalFS

logger

/usr/bin/logger

—

nginx

/usr/sbin/nginx

—

ntpd

/usr/sbin/ntpd

—

pacemakerd

/usr/sbin/pacemakerd

Применимо для следующих типов кластера:

Active / Active / DBStandBy + ExternalFS
Active / Active / DBStandBy + InternalClusterFS (DRBD)
Active / Active / ExternalDB + InternalClusterFS (DRBD)

dtmfgenerator

/usr/lib/imp/libexec/dtmfgenerator

—

exim4

/usr/sbin/exim4

—

fail2ban-server

/usr/bin/fail2ban-server

—

filebeat

/usr/bin/filebeat

—

filesink

/usr/lib/imp/libexec/filesink

—

filesource

/usr/lib/imp/libexec/filesource

—

imagesource

/usr/lib/imp/libexec/imagesource

—

imp

/usr/sbin/imp/imp

—

keepalived

/usr/sbin/keepalived

Применимо только для кластера типа Active / Active / NoDB + ExternalFS

logger

/usr/bin/logger

—

nginx

/usr/sbin/nginx

—

ntpd

/usr/sbin/ntpd

—

pacemakerd

/usr/sbin/pacemakerd

Применимо для следующих типов кластера:

Active / Active / DBStandBy + ExternalFS
Active / Active / DBStandBy + InternalClusterFS (DRBD)
Active / Active / ExternalDB + InternalClusterFS (DRBD)

pdf2image

/usr/bin/pdf2image

—

prometheus-node-exporter

/usr/bin/prometheus-node-exporter

—

rtmpsink

/usr/lib/imp/libexec/rtmpsink

—

rtmpsource

/usr/lib/imp/libexec/rtmpsource

—

scvideodecoder

/usr/lib/imp/libexec/scvideodecoder

—

scvideoencoder

/usr/lib/imp/libexec/scvideoencoder

—

smbd

/usr/sbin/smbd

—

soffice

/usr/lib/libreoffice/program/soffice

—

streamgen

/usr/lib/imp/libexec/streamgen

—

victoria-metrics

/usr/bin/victoria-metrics

—

videocomposer

/usr/lib/imp/libexec/videocomposer

—

videoconverter

/usr/lib/imp/libexec/videoconverter

—

videoencoder

/usr/lib/imp/libexec/scvideoencoder

—

vmalert

/usr/bin/vmalert

—

vncsink

/usr/lib/imp/libexec/vncsink

—

vncsource

/usr/lib/imp/libexec/vncsource

—

vvoip_rtpgw

/usr/lib/imp/libexec/vvoip_rtpgw

—

webrtc_rtpgw2

/usr/lib/imp/libexec/webrtc_rtpgw2

—

conversion

/usr/share/conversion/conversion.jar

/usr/share/ivcs-server/ivcs-server.jar

/usr/share/media/media.jar

/usr/share/monitoring/monitoring.jar

/usr/share/nginx-media/nginx-media.jar

/usr/share/registry/registry.jar

/usr/share/voip-signalling-gateway/voip-signalling-gateway.jar

/usr/bin/systemd-service-launch

Исключения по процессам настраиваются в рамках задачи Защита от файловых угроз в разделе Исключения по процессам, в который необходимо добавить конкретные запускающие файлы, например:

/usr/bin/systemd-service-launch /usr/share/nginx-media/nginx-media.jar

Для каждого из них включить опцию Применять к дочерним процессам, что обеспечит исключение только тех дочерних процессов, которые запускаются непосредственно из этих файлов, и не отключит защиту для других скриптов, запускаемых через python3.11 или java.
Такой подход позволяет точно настроить исключения, сохранив защиту для остальных процессов, запускаемых через python3.11 или java

ivcs-server

media

monitoring

nginx-media

registry

voip-signalling-gateway

Для копирования

/usr/lib/imp/libexec/audiodecoder

/usr/lib/imp/libexec/audioencoder

/usr/lib/imp/libexec/audiomixer2

/usr/share/auditbeat/bin/auditbeat

/usr/sbin/automount

/usr/sbin/corosync

/usr/lib/imp/libexec/dtmfgenerator

/usr/sbin/exim4

/usr/bin/fail2ban-server

/usr/bin/filebeat

/usr/lib/imp/libexec/filesink

/usr/lib/imp/libexec/filesource

/usr/lib/imp/libexec/imagesource

/usr/sbin/imp/imp

/usr/sbin/keepalived

/usr/bin/logger

/usr/sbin/nginx

/usr/sbin/ntpd

/usr/sbin/pacemakerd

/usr/bin/pdf2image

/usr/bin/prometheus-node-exporter

/usr/lib/imp/libexec/rtmpsink

/usr/lib/imp/libexec/rtmpsource

/usr/lib/imp/libexec/scvideodecoder

/usr/lib/imp/libexec/scvideoencoder

/usr/sbin/smbd

/usr/lib/libreoffice/program/soffice

/usr/lib/imp/libexec/streamgen

/usr/bin/victoria-metrics

/usr/lib/imp/libexec/videocomposer

/usr/lib/imp/libexec/videoconverter

/usr/lib/imp/libexec/scvideoencoder

/usr/bin/vmalert

/usr/lib/imp/libexec/vncsink

/usr/lib/imp/libexec/vncsource

/usr/lib/imp/libexec/vvoip_rtpgw

/usr/lib/imp/libexec/webrtc_rtpgw2

/usr/share/conversion/conversion.jar

/usr/share/ivcs-server/ivcs-server.jar

/usr/share/media/media.jar

/usr/share/monitoring/monitoring.jar

/usr/share/nginx-media/nginx-media.jar

/usr/share/registry/registry.jar

/usr/share/voip-signalling-gateway/voip-signalling-gateway.jar

/usr/bin/systemd-service-launch

Мониторинг

Команды для мониторинга выполняются в командной строке (консоли) сервера, на котором установлена Платформа IVA MCU с Kaspersky Endpoint Security.

Команды мониторинга Kaspersky Endpoint Security относятся к использованию антивируса в режиме standalone (без использования Kaspersky Security Center и Агента администрирования)

Мониторинг событий

Для отслеживания событий, происходящих в Kaspersky Endpoint Security, необходимо выполнить команду:

sudo kesl-control -W

Сканирование директории

Для проверки файла или директории на наличие вредоносного программного обеспечения необходимо выполнить команду:

sudo kesl-control --scan-file <путь к файлу>

Общая информация о состоянии Kaspersky Endpoint Security

Для просмотра общей информации о состоянии Kaspersky Endpoint Security необходимо выполнить команду:

sudo kesl-control --app-info

Удаление Kaspersky Endpoint Security и Агента администрирования

Для удаления Kaspersky Endpoint Security и Агента администрирования необходимо в командной строке (консоли) сервера, на котором установлено данное программное обеспечение, выполнить следующий скрипт:

sudo systemctl stop kesl
sudo systemctl disable kesl
sudo systemctl stop klnagent64
sudo systemctl disable klnagent64
sudo rm -rf /opt/kaspersky/* \
     /var/opt/kaspersky/* \
     /etc/opt/kaspersky/* \
     /etc/init.d/klnagent64 \
     /usr/lib/systemd/system/kesl.service \
     /etc/rc0.d/K01klnagent64 \
     /etc/rc1.d/K01klnagent64 \
     /etc/rc2.d/S01klnagent64 \
     /etc/rc3.d/S01klnagent64 \
     /etc/rc4.d/S01klnagent64 \
     /etc/rc5.d/S01klnagent64 \
     /etc/rc6.d/K01klnagent64 \
     /etc/ssl/certs/Kaspersky_Anti_Virus_Personal_Root_Certificate_*.pem \
     /etc/systemd/system/kesl.service \
     /etc/systemd/system/multi-user.target.wants/kesl.service \
     /usr/lib/systemd/system/kesl.service \
     /usr/local/share/ca-certificate
     /Kaspersky_Anti_Virus_Personal_Root_Certificate_*.crt