Sicherheitssubsysteme konfigurieren

Unter Betriebssystemen mit dem integrierten Schutzsystem SELinux oder mit anderen MAC-Sicherheitssystemen wie PARSEC kann Dr.Web für Linux (im Unterschied zum klassischen UNIX-Sicherheitskonzept der Discretionary Access Control) in der Standardkonfiguration nicht immer ordnungsgemäß funktionieren. Damit Dr.Web für Linux funktionsfähig ist, müssen Sie einige Änderungen an Ihrem Sicherheitssystem und/oder an Dr.Web für Linux vornehmen.

In diesem Abschnitt finden Sie wichtige Informationen über folgende Einstellungen, die die Funktionsfähigkeit von Dr.Web für Linux gewährleisten:

Konfiguration von SELinux-Richtlinien.

Konfiguration von Berechtigungen für das MAC-Sicherheitssystem PARSEC (Astra Linux SE).

Konfiguration der Ausführung im Modus der geschlossenen Softwareumgebung (Astra Linux SE 1.6 und 1.7).

Nach der Anpassung des MAC-Sicherheitssystems PARSEC für Dr.Web für Linux können die Antivirenkomponenten die Einschränkungen der festgelegten Richtlinie umgehen und den Zugriff auf Dateien mit verschiedenen Berechtigungsstufen erlangen.

Selbst wenn Sie das MAC-Sicherheitssystem PARSEC für die Komponenten von Dr.Web für Linux nicht anpassen, können Sie den Scan über die grafische Oberfläche von Dr.Web für Linux im Modus der autonomen Kopie durchführen. Führen Sie dazu den Befehl drweb-gui mit der Option --Autonomous aus. Der Scan kann auch über die Befehlszeile gestartet werden. Führen Sie dazu den Befehl drweb-ctl mit der Option --Autonomous aus. Dabei werden Dateien gescannt, die für den Zugriff eine Berechtigungsstufe erfordern, die nicht höher als die Stufe des Benutzers ist, der den Scan gestartet hat. Dieser Modus hat folgende Besonderheiten:

Für den Start der autonomen Instanz ist eine gültige Schlüsseldatei erforderlich. Beachten Sie, dass der Zentralschutz-Modus die autonome Instanz generell nicht unterstützt (Sie können aber die vom Zentralschutz-Server exportierte Schlüsseldatei installieren). Selbst wenn Dr.Web für Linux mit dem Zentralschutz-Server verbunden ist, meldet die autonome Instanz dem Zentralschutz-Server keine Bedrohungen, die im Modus der autonomen Instanz erkannt werden.

Alle Dienstkomponenten, die für die korrekte Funktion der autonomen Instanz erforderlich sind, werden unter dem Account des aktuellen Benutzers gestartet und mithilfe einer speziell generierten Konfigurationsdatei verwaltet.

Alle temporären Dateien und UNIX-Sockets, die für die Interaktion zwischen Komponenten sorgen, werden nur in einem Verzeichnis unter einem eindeutigen Namen erstellt. Das Verzeichnis wird von der gestarteten autonomen Instanz im Verzeichnis für temporäre Dateien (es wird mit der Umgebungsvariable TMPDIR definiert) erstellt.

Die autonome Instanz der grafischen Verwaltungsoberfläche hat einen eingeschränkten Funktionsumfang, da SpIDer Guard und SpIDer Gate nicht verfügbar sind. Zur Verfügung stehen nur vom Scanner unterstützte Funktionen wie Scan von Dateien und Quarantäne-Management.

Die Pfade der Virendatenbanken, der Antivirus-Engine und der ausführbaren Dateien der Dienstkomponenten sind auf die Standardwerte gesetzt oder werden anhand spezieller Umgebungsvariablen definiert.

Die Anzahl parallel ausgeführter autonomer Instanzen ist nicht begrenzt.

Sobald die autonome Instanz beendet wird, werden auch ihre Dienstkomponenten beendet.