Настройка разрешений PARSEC

В этом разделе

•Настройка взаимодействия компонентов, запущенных на разных уровнях привилегий

oИспользование утилиты drweb-configure

oИзменение файлов конфигурации вручную

•Настройка автоматического запуска компонентов на уровне привилегий пользователя

oИспользование утилиты drweb-configure

oИзменение файлов конфигурации PAM вручную

•Настройка SpIDer Guard для перехвата событий доступа к файлам

В дистрибутивах GNU/Linux, оснащенных подсистемой безопасности PARSEC, доступ приложений к файлам зависит от уровня привилегий. Поэтому по умолчанию SpIDer Guard может перехватывать события доступа к файлам ровно в той мере, в которой это предусмотрено его уровнем привилегий.

Кроме того, в случае если пользователь работает на отличном от нуля уровне привилегий, интерфейс пользователя Dr.Web Desktop Security Suite не может взаимодействовать со SpIDer Guard и сервисными компонентами антивируса, работающими на других уровнях привилегий, в том числе может отсутствовать доступ к консолидированному карантину.

Если в ОС используется PARSEC и имеются учетные записи пользователей, работающих на уровнях привилегий, отличных от нулевого, необходимо выполнить специальную настройку Dr.Web Desktop Security Suite, чтобы обеспечить взаимодействие его компонентов, запускаемых на различных уровнях привилегий.

Настройка взаимодействия компонентов, запущенных на разных уровнях привилегий

Механизм privsock предназначен для обеспечения функционирования системных сетевых сервисов, не осуществляющих обработку информации с использованием мандатного контекста, но взаимодействующих с процессами, работающими в мандатном контексте субъекта доступа. drweb-configd — сервисный компонент Dr.Web Desktop Security Suite, обеспечивающий взаимодействие всех антивирусных компонентов между собой.

Чтобы демон управления конфигурацией Dr.Web Desktop Security Suite (drweb-configd) получил право на использование механизма privsock, необходимо внести изменения в системный файл /etc/parsec/privsock.conf. Для внесения изменений вы можете использовать утилиту конфигурирования drweb-configure, входящую в состав Dr.Web Desktop Security Suite (рекомендуется), либо внести изменения в необходимые файлы конфигурации вручную.

1.Использование утилиты drweb-configure

Требуемые изменения будут внесены автоматически после выполнения следующей команды:

где <режим> может принимать одно из следующих значений:

•enable — использовать механизм privsock;

•disable — не использовать механизм privsock.

2.Изменение файлов конфигурации вручную

Для ОС Astra Linux SE версии 1.6 и более поздней

1.В любом текстовом редакторе откройте файл /etc/parsec/privsock.conf. Добавьте в этот файл указанные строки:

2.Сохраните файл и перезагрузите систему.

Настройка автоматического запуска компонентов на уровне привилегий пользователя

Для того, чтобы компоненты Dr.Web Desktop Security Suite, с которыми взаимодействует пользователь, были доступны в его окружении (при работе пользователя на уровне привилегий, отличном от нулевого), внесите изменения в файлы настроек PAM для автоматического запуска требуемых компонентов Dr.Web Desktop Security Suite при начале сессии пользователя и их завершения при окончании сессии (используется специальный PAM-модуль pam_drweb_session.so, разработанный «Доктор Веб», который запускает компонент-посредник drweb-session, связывающий между собой компоненты, запущенные в окружении пользователя, с компонентами, работающими на нулевом уровне привилегий и запускающимися автоматически при загрузке ОС).

Для внесения изменений в настройки PAM вы можете использовать утилиту конфигурирования drweb-configure, входящую в состав Dr.Web Desktop Security Suite (рекомендуется), либо внести изменения в необходимые файлы конфигурации вручную.

1.Использование утилиты drweb-configure

Для удобства настройки некоторых сложных параметров, обеспечивающих работоспособность Dr.Web Desktop Security Suite, разработана специальная вспомогательная утилита drweb-configure.

1.Для включения или отключения автоматического запуска необходимых компонентов Dr.Web Desktop Security Suite в окружении пользователя при его работе на уровне привилегий, отличном от нулевого, используйте следующую команду:

где <режим> может принимать одно из следующих значений:

•enable — включить режим автоматического запуска нужных компонентов в сессии пользователя на его уровне привилегий.

•disable — отключить режим автоматического запуска нужных компонентов в сессии пользователя на его уровне привилегий (при этом ряд функций Dr.Web Desktop Security Suite окажется недоступным).

2.Перезапустите систему.

2.Изменение файлов конфигурации PAM вручную
 
Для Аstra Linux и других дистрибутивов, использующих модуль PAM pam_parsec_mac.so

1.Чтобы изменить настройки PAM, нужно отредактировать хранящиеся в каталоге /etc/pam.d конфигурационные файлы, в которых вызывается модуль PAM pam_parsec_mac.so. Для получения полного списка таких файлов выполните команду:

В каждый файл из списка добавьте следующие записи типа session:

•Перед первой записью типа session:

•После последней записи типа session:

2.Сохраните измененные файлы.

3.Создайте символическую ссылку на файл pam_drweb_session.so из системного каталога, содержащего PAM-модули. Файл pam_drweb_session.so располагается в каталоге библиотек Dr.Web Desktop Security Suite /opt/drweb.com/lib/ (например, для 64-разрядных ОС — в каталоге /opt/drweb.com/lib/x86_64-linux-gnu/pam/).

4.Перезапустите систему.

Настройка SpIDer Guard для перехвата событий доступа к файлам

Для предоставления файловому монитору SpIDer Guard возможности обнаруживать доступ к файлам, имеющим любой уровень привилегий доступа, необходимо перевести SpIDer Guard в режим работы Fanotify.

Чтобы перевести SpIDer Guard в режим работы Fanotify, выполните следующую команду:

Для получения дополнительной информации используйте команду: