Наличие в составе ОС подсистемы обеспечения дополнительной безопасности SELinux (а также использование систем мандатного управления доступом (в отличие от классической дискреционной модели Unix), таких как PARSEC) приводит к проблемам в функционировании Dr.Web Server Security Suite при настройках по умолчанию. Для обеспечения корректной работы Dr.Web Server Security Suite в этом случае необходимо внести дополнительные изменения в настройки подсистемы безопасности и/или Dr.Web Server Security Suite.
В этом разделе рассматриваются следующие настройки, обеспечивающие корректную работу Dr.Web Server Security Suite:
•настройка политик безопасности SELinux;
•настройка запуска в режиме замкнутой программной среды (ОС Astra Linux SE, версии 1.6 и 1.7).
|
Настройка разрешений системы мандатного доступа PARSEC для Dr.Web Server Security Suite позволит обходить его компонентам ограничения установленных политик безопасности и получать доступ к файлам разных уровней привилегий. |
|
Даже если вы не настроите разрешения системы мандатного доступа PARSEC для Dr.Web Server Security Suite, то вы все равно сможете запускать проверку файлов непосредственно из командной строки. Для этого используйте команду drweb-ctl в автономном режиме работы, указав при запуске параметр --Autonomous. При этом будет возможна проверка файлов, для доступа к которым необходим уровень привилегий не выше уровня, с которым работает пользователь, запустивший сеанс проверки. |
Данный режим имеет следующие особенности:
•Для запуска автономного экземпляра необходимо наличие действующего ключевого файла, работа под управлением сервера централизованной защиты не поддерживается (имеется возможность установить ключевой файл, экспортированный с сервера централизованной защиты). При этом, даже если Dr.Web Server Security Suite подключен к серверу централизованной защиты, автономный экземпляр не сообщает серверу централизованной защиты об угрозах, обнаруженных при запуске в режиме автономного экземпляра.
•Все вспомогательные компоненты, обслуживающие работу запущенного автономного экземпляра, будут запущены от имени текущего пользователя и будут работать со специально сформированным файлом конфигурации.
•Все временные файлы и сокеты Unix, используемые для взаимодействия компонентов между собой, будут создаваться только в каталоге с уникальным именем, созданным запущенным автономным экземпляром в каталоге временных файлов (указанном в системной переменной окружения TMPDIR).
•Пути к файлам вирусных баз, антивирусного ядра и исполняемым файлам используемых при сканировании компонентов заданы по умолчанию, либо берутся из специальных переменных окружения.
•Число одновременно работающих автономных экземпляров не ограничено.
•При завершении работы автономно запущенного экземпляра также завершает работу и комплект обслуживающих ее работу компонентов.