Настройка разрешений PARSEC

В дистрибутивах GNU/Linux, оснащенных подсистемой безопасности PARSEC, доступ приложений к файлам зависит от уровня привилегий. Поэтому по умолчанию SpIDer Guard может перехватывать события доступа к файлам ровно в той мере, в которой это предусмотрено его уровнем привилегий.

Кроме того, в случае если пользователь работает на отличном от нуля уровне привилегий, интерфейс пользователя Dr.Web Desktop Security Suite не может взаимодействовать со SpIDer Guard и сервисными компонентами антивируса, работающими на других уровнях привилегий, в том числе может отсутствовать доступ к консолидированному карантину.

Если в ОС используется PARSEC и имеются учетные записи пользователей, работающих на уровнях привилегий, отличных от нулевого, необходимо выполнить специальную настройку Dr.Web Desktop Security Suite, чтобы обеспечить взаимодействие его компонентов, запускаемых на различных уровнях привилегий.

В этом разделе рассматриваются следующие настройки PARSEC, обеспечивающие корректную работу Dr.Web Desktop Security Suite:

•Настройка взаимодействия компонентов, запущенных на разных уровнях привилегий.

•Настройка автоматического запуска компонентов Dr.Web Desktop Security Suite на уровне привилегий пользователя.

•Настройка SpIDer Guard для перехвата событий доступа к файлам.

Настройка взаимодействия компонентов, запущенных на разных уровнях привилегий

Механизм privsock предназначен для обеспечения функционирования системных сетевых сервисов, не осуществляющих обработку информации с использованием мандатного контекста, но взаимодействующих с процессами, работающими в мандатном контексте субъекта доступа. drweb-configd — сервисный компонент Dr.Web Desktop Security Suite, обеспечивающий взаимодействие всех антивирусных компонентов между собой.

Чтобы демон управления конфигурацией Dr.Web Desktop Security Suite (drweb-configd) получил право на использование механизма privsock, необходимо внести изменения в системный файл /etc/parsec/privsock.conf. Для внесения изменений вы можете использовать утилиту конфигурирования drweb-configure, входящую в состав Dr.Web Desktop Security Suite (рекомендуется), либо внести изменения в необходимые файлы конфигурации вручную.

1.Использование утилиты drweb-configure

Требуемые изменения будут внесены автоматически после выполнения следующей команды:

где <режим> может принимать одно из следующих значений:

•enable — использовать механизм privsock;

•disable — не использовать механизм privsock.

2.Изменение файлов конфигурации вручную

Для ОС Astra Linux SE версии 1.6 и более поздней

1.В любом текстовом редакторе откройте файл /etc/parsec/privsock.conf. Добавьте в этот файл указанные строки:

2.Сохраните файл и перезагрузите систему.

Настройка автоматического запуска компонентов на уровне привилегий пользователя

Для того, чтобы компоненты Dr.Web Desktop Security Suite, с которыми взаимодействует пользователь, были доступны в его окружении (при работе пользователя на уровне привилегий, отличном от нулевого), внесите изменения в файлы настроек PAM для автоматического запуска требуемых компонентов Dr.Web Desktop Security Suite при начале сессии пользователя и их завершения при окончании сессии (используется специальный PAM-модуль pam_drweb_session.so, разработанный «Доктор Веб», который запускает компонент-посредник drweb-session, связывающий между собой локальные копии компонентов, запущенных в окружении пользователя, с компонентами, работающими на нулевом уровне привилегий и запускающимися автоматически при загрузке ОС).

Для внесения изменений в настройки PAM вы можете использовать утилиту конфигурирования drweb-configure, входящую в состав Dr.Web Desktop Security Suite (рекомендуется), либо внести изменения в необходимые файлы конфигурации вручную.

1.Использование утилиты drweb-configure

Для удобства настройки некоторых сложных параметров, обеспечивающих работоспособность Dr.Web Desktop Security Suite, разработана специальная вспомогательная утилита drweb-configure.

1.Для включения или отключения автоматического запуска необходимых компонентов Dr.Web Desktop Security Suite в окружении пользователя при его работе на уровне привилегий, отличном от нулевого, используйте следующую команду:

где <режим> может принимать одно из следующих значений:

•enable — включить режим автоматического запуска нужных компонентов в сессии пользователя на его уровне привилегий.

•disable — отключить режим автоматического запуска нужных компонентов в сессии пользователя на его уровне привилегий (при этом ряд функций Dr.Web Desktop Security Suite окажется недоступным).

2.Перезапустите систему.

2.Изменение файлов конфигурации PAM вручную
 
Для Аstra Linux и других дистрибутивов, использующих модуль PAM pam_parsec_mac.so

1.Чтобы изменить настройки PAM, нужно отредактировать хранящиеся в каталоге /etc/pam.d конфигурационные файлы, в которых вызывается модуль PAM pam_parsec_mac.so. Для получения полного списка таких файлов выполните команду:

В каждый файл из списка добавьте следующие записи типа session:

•Перед первой записью типа session:

•После последней записи типа session:

2.Сохраните измененные файлы.

3.Создайте символическую ссылку на файл pam_drweb_session.so из системного каталога, содержащего PAM-модули. Файл pam_drweb_session.so располагается в каталоге библиотек Dr.Web Desktop Security Suite /opt/drweb.com/lib/ (например, для 64-разрядных ОС — в каталоге /opt/drweb.com/lib/x86_64-linux-gnu/pam/).

4.Перезапустите систему.

Настройка SpIDer Guard для перехвата событий доступа к файлам

Для предоставления файловому монитору SpIDer Guard возможности обнаруживать доступ к файлам, имеющим любой уровень привилегий доступа, необходимо перевести SpIDer Guard в режим работы Fanotify.

Чтобы перевести SpIDer Guard в режим работы Fanotify, выполните следующую команду:

Для получения дополнительной информации используйте команду: