Berechtigungen von PARSEC (Astra Linux SE) konfigurieren

In Betriebssystemen mit dem integrierten MAC-Sicherheitssystem PARSEC kann der Dateiwächter SpIDer Guard im Standardmodus keine Zugriffe auf die Dateien abfangen, die eine höhere Berechtigungsstufe als SpIDer Guard haben. Wenn sich der Benutzer nicht mit der Null-Berechtigungsstufe eingeloggt hat, kann die grafische Benutzeroberfläche von Dr.Web für Linux nicht mit SpIDer Guard und anderen Dienstkomponenten des Programms interagieren, die mit einer anderen Berechtigungsstufe ausgeführt werden. So kann beispielsweise kein Zugriff auf die System-Quarantäne gewährt werden.

Falls PARSEC im Betriebssystem verwendet wird und es Konten gibt, die eine Nicht-Null-Berechtigungsstufe haben, müssen Sie Dr.Web für Linux entsprechend konfigurieren, damit Komponenten mit unterschiedlichen Berechtigungsstufen miteinander interagieren können.

In diesem Abschnitt finden Sie wichtige Informationen zu den folgenden Einstellungen von PARSEC, welche die Funktionsfähigkeit von Dr.Web für Linux gewährleisten:

Konfiguration der Komponenten mit unterschiedlichen Berechtigungsstufen

Konfiguration des automatischen Starts der Komponenten von Dr.Web für Linux mit der Benutzerberechtigungsstufe

Konfiguration von SpIDer Guard zum Abfangen von Dateizugriffen

Diese Vorgänge erfordern die Rechte des Superusers (root). Um die root-Rechte zu erlangen, verwenden Sie den Befehl zum Benutzerwechsel su oder den Befehl zum Ausführen einzelner Befehle oder Befehlsgruppen als root sudo.

Konfiguration der Komponenten mit unterschiedlichen Berechtigungsstufen

Für Astra Linux SE Version 1.6:

Passen Sie die Systemdatei /etc/parsec/privsock.conf an, indem Sie dem Konfigurationsdämon von Dr.Web für Linux (drweb-configd) die Berechtigung zur Nutzung des Mechanismus privsock erteilen. drweb-configd ist eine Dienstkomponente von Dr.Web für Linux, die für die Interaktion aller Antivirenkomponenten sorgt. Der Mechanismus privsock ermöglicht die Funktion von System-Netzwerkdiensten, die Informationen verarbeiten, ohne mit einem Sicherheitskontext verbunden zu sein, doch mit Prozessen interagieren, denen Sicherheitskontexte zugewiesen sind. Gehen Sie dafür vorgendermaßen vor:

1.Öffnen Sie die Datei /etc/parsec/privsock.conf mit einem Texteditor. Fügen Sie in der Datei folgende Zeilen ein:

/opt/drweb.com/bin/drweb-configd
/opt/drweb.com/bin/drweb-configd.real

2.Speichern Sie die Datei und starten Sie das System neu.

Für Astra Linux SE Version 1.5 und früher:

Ändern Sie das Skript zum Starten des Konfigurationsdämons von Dr.Web für Linux (drweb-configd) ab. Gehen Sie dafür vorgendermaßen vor:

1.Loggen Sie sich mit einem Konto ein, das über die Null-Berechtigungsstufe verfügt.

2.Öffnen Sie die Skriptdatei /etc/init.d/drweb-configd mit einem Texteditor.

3.Finden Sie in dieser Datei die Funktionsdefinition start_daemon() und ersetzen Sie die Zeile

"$DAEMON" -d -p "$PIDFILE" >/dev/null 2>&1

durch

execaps -c 0x100 -- "$DAEMON" -d -p "$PIDFILE" >/dev/null 2>&1

4.In einigen Betriebssystemen (z. B. Astra Linux SE 1.3) müssen Sie eventuell angeben, dass der Start der Komponente vom Subsystem PARSEC abhängig ist. Ändern Sie dafür in dieser Datei die folgende Zeile ab:

# Required-Start: $local_fs $network

Ändern Sie diese Zeile wie folgt ab:

# Required-Start: $local_fs $network parsec

5.Speichern Sie die Datei und starten Sie das System neu.

Konfiguration des automatischen Starts der Komponenten mit der Benutzerberechtigungsstufe

Damit die Komponenten von Dr.Web für Linux, mit denen der Benutzer interagiert, in seiner Umgebung verfügbar sind (wenn der Benutzer mit einer anderen Berechtigungsstufe als Null arbeitet), müssen Sie die PAM-Einstellungsdateien so ändern, dass die erforderlichen Komponenten von Dr.Web für Linux zu Beginn der Benutzersitzung automatisch gestartet werden und am Ende der Sitzung ebenso automatisch beendet werden. Dazu wird ein spezielles von Doctor Web entwickeltes PAM-Modul pam_drweb_session.so eingesetzt, das die Zwischenkomponente drweb-session startet, die lokale Kopien der in der Benutzerumgebung laufenden Komponenten mit den Komponenten verknüpft, die mit der Null-Berechtigungsstufe ausgeführt werden und beim Systemstart automatisch starten.

Um die erforderlichen Änderungen an den PAM-Einstellungen vorzunehmen, verwenden Sie das mit Dr.Web für Linux mitgelieferte Konfigurationstool drweb-configure (empfohlen) oder passen Sie die entsprechenden Konfigurationsdateien manuell an.

1. Konfiguration mit dem Tool drweb-configure

Das Hilfs-Tool drweb-configure erleichtert die Konfiguration einiger umständlichen Einstellungen, welche die Funktionsfähigkeit von Dr.Web für Linux gewährleisten.

1.Um den automatischen Start der erforderlichen Komponenten von Dr.Web für Linux in der Benutzerumgebung bei der Arbeit des Benutzers mit einer anderen Berechtigungsstufe als Null zu aktivieren oder zu deaktivieren, führen Sie den folgenden Befehl aus:

$ sudo drweb-configure session <Modus>

Im Platzhalter <Modus> können folgende Werte stehen:

enable. Mit diesem Wert aktivieren Sie den automatischen Start der erforderlichen Komponenten in der Sitzung des Benutzers mit seiner Berechtigungsstufe.

disable. Mit diesem Wert deaktivieren Sie den automatischen Start der erforderlichen Komponenten in der Sitzung des Benutzers mit seiner Berechtigungsstufe (einige Funktionen von Dr.Web für Linux werden hierbei nicht verfügbar).

2.Starten Sie das System neu.

Um kurze Hilfe zur PAM-Konfiguration mithilfe von drweb-configure anzuzeigen, führen Sie den folgenden Befehl aus:

$ drweb-configure --help session

2. Manuelle Änderung der PAM-Konfigurationsdateien

1.Fügen Sie in die PAM-Konfigurationsdateien (sie liegen im Verzeichnis /etc/pam.d), in denen das PAM-Modul pam_parsec_mac.so aufgerufen wird, folgende Einträge vom Typ session ein:

Vor dem ersten Eintrag vom Typ session:

session optional pam_drweb_session.so type=close

Nach dem letzten Eintrag vom Typ session:

session optional pam_drweb_session.so type=open

2.Speichern Sie die geänderten Dateien.

3.Erstellen Sie einen symbolischen Link auf die Datei pam_drweb_session.so aus dem Systemverzeichnis, das die PAM-Module enthält. Die Datei pam_drweb_session.so liegt im Verzeichnis der Bibliotheken von Dr.Web für Linux /opt/drweb.com/lib/ (z. B bei 64-Bit-Versionen liegt sie im Verzeichnis /opt/drweb.com/lib/x86_64-linux-gnu/pam/).

4.Starten Sie das System neu.

Konfiguration von SpIDer Guard zum Abfangen von Dateizugriffen

Damit SpIDer Guard sämtliche Zugriffe auf Dateien mit beliebiger Zugriffberechtigungsstufe abfangen kann, versetzen Sie SpIDer Guard in den Funktionsmodus Fanotify.

Um SpIDer Guard in den Funktionsmodus Fanotify zu versetzen, führen Sie den folgenden Befehl aus:

# drweb-ctl cfset LinuxSpider.Mode Fanotify

Weitere Informationen rufen Sie mit dem folgenden Befehl ab:

$ man drweb-spider