На кофе

Поиск

Поиск Яндекс

Вход

Развертывание Kaspersky Security Center 15 на Astra Linux Special Edition

Поделиться статьей

Требования к Серверу администрирования

В связи с импортозамещением, переход с консоли Kaspersky Security Center для Windows на Kaspersky Security Center (далее KSC) для Linux становится все более актуальным вопросом. Но,  KSC  для Windows установить проще, нежели KSC для Linux. По этому была разработана эта статья, для пошагового выполнения четких действий.

В данной статье я буду использовать отечественную операционную систему Astra Linux Special Edition 1.7.5.16 исполнение "Смоленск":

cat /etc/astra/build_version

Сервер администрирования

Минимальные аппаратные требования:

• Процессор с частотой 1 ГГц или выше. При работе с 64-разрядной операционной системой минимальная частота процессора – 1.4 ГГц.
• Оперативная память: 4 ГБ.
• Объем свободного места на диске: 10 ГБ


Поддерживаются следующие серверы баз данных (могут быть установлены на другой машине):
• MariaDB 10.1 (сборка 10.1.30 и выше) 32-разрядная/64-разрядная.
• MariaDB 10.3 (сборка 10.3.22 и выше) 32-разрядная/64-разрядная.
• MariaDB 10.4 (сборка 10.4.26 и выше) 32-разрядная/64-разрядная.
• MariaDB 10.5 (сборка 10.5.17 и выше) 32-разрядная/64-разрядная.
• PostgreSQL 13.х 64-разрядная.
• PostgreSQL 14.х 64-разрядная.
• PostgreSQL 15.х 64-разрядная.

Требования к Web Console:

Сервер Kaspersky Security Center Web Console
Минимальные аппаратные требования:
• Процессор: 4 ядра, частота от 2,5 ГГц.
• Оперативная память: 8 ГБ.
• Объем свободного места на диске: 40 ГБ.
Требования к Агенту администрирования
Минимальные аппаратные требования:
• Процессор с частотой 1 ГГц или выше. При работе с 64-разрядной операционной системой мини-мальная частота процессора – 1.4 ГГц.
• Оперативная память: 512 МБ.
• Объем свободного места на диске: 1 ГБ.


Предварительная подготовка к установке

В моем случае система стоит чистая, нужно настроить репозитории для установки необходимых пакетов работы KSC. Если репозитории у вас подключены, то смело можете пропустить этот пункт и перейти к пункту (Настройка сервера MariaDB x64 для работы с Kaspersky Security Center).

Открываем /etc/apt/sources.list
Вводим команду в терминале

sudo vim /etc/apt/sources.list

Необходимо закомментировать deb cdrom, а все остальные пункты раскомментировать, как на скриншоте ниже. Сохраняем и выходим командой :wq

Теперь необходимо командой sudo apt update обновить списки репозиториев

 

Настройка сервера MariaDB x64 для работы с Kaspersky Security Center

Приступаем к установке базы данных MariaDB

sudo apt install mariadb-server

После успешной установки базы данных, необходимо отредактировать файл my.cnf

sudo vim /etc/mysql/my.cnf

Введите следующие строки в раздел [mysqld] файла my.cnf (если нет раздела [mysqld] допишите его):

sort_buffer_size=10M
join_buffer_size=100M
join_buffer_space_limit=300M
join_cache_level=8
tmp_table_size=512M
max_heap_table_size=512M
key_buffer_size=200M
innodb_buffer_pool_size=ВАШЕ_ЗНАЧЕНИЕ(ПРИМЕР - 2000M)
innodb_thread_concurrency=20
innodb_flush_log_at_trx_commit=0
innodb_lock_wait_timeout=300
max_allowed_packet=32M
max_connections=151
max_prepared_stmt_count=12800
table_open_cache=60000
table_open_cache_instances=4
table_definition_cache=60000

Значение innodb_buffer_pool_size должно быть не менее 80 процентов от ожидаемого размера базы данных KAV. Обратите внимание, что указанная память выделяется при запуске сервера. Если размер базы данных меньше указанного размера буфера, выделяется только необходимая память. Если вы используете MariaDB 10.4.3 или более раннюю версию, фактический размер выделенной памяти примерно на 10 процентов превышает указанный размер буфера. Рекомендуется использовать значение параметра innodb_flush_log_at_trx_commit=0, поскольку значения "1" или "2" отрицательно влияют на скорость работы MariaDB. По умолчанию надстройки оптимизатора join_cache_incremental, join_cache_hashed, join_cache_bka включены. Если эти надстройки не включены, их необходимо включить. Чтобы проверить, включены ли надстройки оптимизатора:

1. В клиентской консоли MariaDB выполните команду:
Запускаем настройку безопасности mariadb

sudo mysql_secure_installation

Придумываем пароль к root для подключения к базе данных mariaDB.

Если ввели неправильный пароль и хотите его изменить, то соглашаемся на смену пароля для root

Соглашаемся y

Соглашаемся y

Соглашаемся y

Соглашаемся y

Настройка MariaDB завершена, можно заходить в базу данных.

Для входа в базу данных, используйте команду ниже

sudo mysql -u root -p

Вводим пароль от root который мы задали при настройке MariaDB.

P.S.: Советую открыть блокнот или записать на листочек все имена учетных записей и паролей, которые дальше будем создавать в статье.

Далее вводим команду ниже в базе данных

SELECT @@optimizer_switch;

2. Убедитесь, что вывод содержит следующие строки:

join_cache_incremental=on
join_cache_hashed=on
join_cache_bka=on

Если эти строки присутствуют и содержат значения on, значит, надстройки оптимизатора включены.

Если эти строки отсутствуют или имеют значения off, вам необходимо выполнить следующее:

a. Откройте файл my.cnf с помощью текстового редактора.

b. Добавьте в файл my.cnf следующие строки:

optimizer_switch='join_cache_incremental=on'
optimizer_switch='join_cache_hashed=on'
optimizer_switch='join_cache_bka=on'

Надстройки join_cache_incremental, join_cache_hash и join_cache_bka включены

Далее создаем базу данных и пользователя
CREATE DATABASE ksc;
CREATE USER 'ksc_bd'@'localhost' IDENTIFIED BY 'Пароль';
GRANT ALL PRIVILEGES ON *.* TO 'ksc_bd'@'localhost';


Установка Kaspersky Security Center

  1. В командной строке выполните команды, представленные в этой инструкции, под учетной записью root или используйте sudo (Рекомендую использовать root, а после выполнения usermod -g... выйти из рута) Перейти в root команда sudo -i а выход exit.
    2. Создайте группу kladmins и непривилегированную учетную запись ksc. Учетная запись должна быть членом группы kladmins. Для этого последовательно выполните следующие команды:

adduser ksc
groupadd kladmins
gpasswd -a ksc kladmins
usermod -g kladmins ksc

Теперь нам нужно скачать дистрибутивы с официального сайта. Для это перейдем на страницу загрузки дистрибутивов Kaspersky

Находим там строчку

и

3. Запустите установку Kaspersky Security Center. Выполните команды: 

если вы загрузили ksc64*.deb в Загрузки, то необходимо указать путь в команде apt install или же перейти сначала в директорию Загрузки. В моем случае пакет в директории /tmp/.

cd /tmp/

sudo apt install ./ksc64_15.1.0-11795_amd64.deb

4. Запустите настройку Kaspersky Security Center:

sudo /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

5. Прочитайте Лицензионное соглашения и Политику конфиденциальности. Текст отображается в окне командной строки. Нажмите пробел, чтобы просмотреть следующий фрагмент текста. При отображении запроса введите следующие значения:

a. Введите y, если вы понимаете и принимаете условия Лицензионного соглашения.


b. Введите y, если вы понимаете и принимаете условия Политики конфиденциальности.


6. При отображении запроса введите следующие параметры:
Выбор установки 1. Standart

a. Введите DNS-имя Сервера администрирования или статический IP-адрес.

Для локальной установки – 127.0.0.1.


b. Введите номер SSL-порта Сервера администрирования. По умолчанию номер порта – 13000.


c. Оцените примерное количество устройств, которыми вы планируете управлять:

• Если у вас от 1 до 100 сетевых устройств, введите 1.
• Если у вас от 101 до 1000 сетевых устройств, введите 2.
• Если у вас более 1000 сетевых устройств, введите 3.

d. Введите имя группы безопасности для служб. По умолчанию используется группа kladmins.


e. Введите имя учетной записи для запуска службы Сервера администрирования. Учетная запись должна быть членом указанной группы безопасности. По умолчанию используется учетная запись ksc.

f. Введите имя учетной записи, чтобы запустить другие службы. Учетная запись должна быть членом указанной группы безопасности. По умолчанию используется учетная запись ksc.


g. Выберите СУБД, которую вы установили для работы с Kaspersky Security Center:

• Если вы установили MySQL или MariaDB, введите 1.
• Если вы установили PostgreSQL или Postgres Pro SQL, введите 2.

h. Введите DNS-имя или IP-адрес устройства, на котором установлена база данных. Для локальной установки (Если база установлена на этом же сервере) – 127.0.0.1.


i. Введите номер порта базы данных. Этот порт используется для связи с Сервером администрирования. По умолчанию используются следующие порты:

• порт 3306 для MySQL или MariaDB;
• порт 5432 для PostgreSQL или Postgres Pro.

j. Введите имя базы данных. По умолчанию используется БД ksc.


k. Введите имя учетной записи root базы данных, которая используется для доступа к базе данных. По умолчанию используется учетная запись ksc_bd.


l. Введите пароль учетной записи root базы данных, которая используется для доступа к базе данных. По умолчанию используется учетная запись ksc_bd, соответственно пароль к этой учетной записи.


Подождите, пока службы добавятся и запустятся автоматически:

• klnagent_srv
• kladminserver_srv
• klactprx_srv
• klwebsrv_srv

При возникновении ошибок проверьте корректность созданной базы данных, права пользователя для доступа к БД и его пароль.

m. Создайте учетную запись, которая будет выполнять роль администратора Сервера администрирования. Введите имя пользователя и пароль.
Пароль должен соответствовать следующим правилам:

• Пароль пользователя не может содержать менее 8 или более 16 символов.
• Пароль должен содержать символы как минимум трех групп списка ниже:
верхний регистр (A-Z); • числа (0-9);
• специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

Пользователь добавлен, и Kaspersky Security Center установлен.

Проверка служб
Используйте следующие команды, чтобы проверить, запущена ли служба:

systemctl status klnagent_srv.service
systemctl status kladminserver_srv.service
systemctl status klactprx_srv.service
systemctl status klwebsrv_srv.service

Чтобы включить данные службы в автозагрузку, пропишем:

systemctl enable klnagent_srv.service
systemctl enable kladminserver_srv.service
systemctl enable klactprx_srv.service
systemctl enable klwebsrv_srv.service


Установка Веб - консоли Касперский на Астра Линукс

Создаем файл: /etc/ksc-web-console-setup.json

с содержимым:

{
"address": "127.0.0.1",
"port": 8080,
"defaultLangId": 1049,
"trusted":"127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Server ",
"acceptEula": true
}

sudo vim /etc/ksc-web-console-setup.json

Устанавливаем web-console

Если из директории вы не уходили, то пишем команду ниже.

sudo dpkg -i ksc-web-console-15.1.523.x86_64.deb

после успешной установки перезапускаем все необходимые службы.

sudo systemctl restart KSC*

Если возникли ошибки при установке, значит некорректно создан файл /etc/ksc-web-console-setup.json.

 

НЕОБХОДИМО проверить наличие лишних переносов и символов, прав на файл.

 


Вход на сервер администрирования:

Установка Kaspersky Security Center на Astra Linux завершена. Давайте узнаем, какой адрес сервера и перейдем в браузер.

В адресной строке браузера ввести : https://<веб-адрес Сервера администрирования>:8080

Как установить бесплатный ssl сертификат расписано тут

Принять в исключение недоверенный сертификат.

И ввести логин пароль учетной записи администратора сервера, созданной на последнем этапе установки сервера администрирования.

При первом запуске необходимо пройти первоначальную настройку.

 

 

Первоначальную настройку завершили. Дальше вам необходимо прикрепить лицензию и произвести настройку сервера уже в веб-интерфейсе. Давайте просто посмотрим, как он выглядит.

 


Замена сертификата для Kaspersky Security Center Web Console

По умолчанию при установке Сервера Kaspersky Security Center Web Console (далее также Kaspersky Security Center Web Console Server) сертификат браузера для программы генерируется автоматически. Вы можете заменить автоматически сгенерированный сертификат на пользовательский.

Чтобы заменить сертификат для Kaspersky Security Center Web Console после получения сертификата, разместите его в локальной директории сервера например /var/opt/kaspersky/ssl_cert/.

1. Создайте новый файл ответов, необходимый для установки Kaspersky Security Center Web Console.
2. В файле ответов укажите путь к файлу пользовательского сертификата и файлу ключа с помощью параметра CertPath и параметра keyPath.

{
"address": "127.0.0.1",
"port": 8080,
"defaultLangId": 1049,
"trusted":"127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Server ",
"certPath":" /var/opt/kaspersky/ssl_cert/entnet-kasl-01.cer",
"keyPath ":"/var/opt/kaspersky/ssl_cert/entnet-kasl-01.pem",
"acceptEula": true
}

3. Переустановите Kaspersky Security Center Web Console, указав новый файл ответов.
Удалите Kaspersky Security Center Web Console и установите ту же версию Kaspersky Security Center Web Console. Kaspersky Security Center Web Console работает с указанным сертификатом

 


Исправление ошибок

Если при выполнении команды sudo systemctl status kladminserver_srv.service видим ошибку 'Конфигурация MySQL: неверное значение переменной: 'table_open_cache'='16293';

То необходимо выполнить следующее.
Останавливаем службы KSC
systemctl stop klnagent_srv.service
systemctl stop kladminserver_srv.service
systemctl stop klactprx_srv.service
systemctl stop klwebsrv_srv.service

По формуле определяем какое количество кэша необходимо указать для LimitNOFILE

В настройках сервера MariaDB x64 в файле /etc/mysql/my.cnf мы указывали значение параметра 

table_open_cache=60000, поэтому

((60000-400)*2)+1310=120510

В терминале пишем
sudo systemctl edit mariadb

Откроется пустой файл, в него вставляем:

[Service]
LimitNOFILE=120510

Сохраняем и выполняем следующее:
sudo systemctl daemon-reload
sudo systemctl stop mariadb
sudo systemctl start mariadb

Стартуем службы KSC
systemctl start klnagent_srv.service
systemctl start kladminserver_srv.service
systemctl start klactprx_srv.service
systemctl start klwebsrv_srv.service
Проверяем table_open_cache в mariadb SHOW VARIABLES LIKE 'table_open_cache'; либо командой SHOW VARIABLES LIKE '%open_cache%'; VALUE должно быть = 60000

 

 


Восстановление из backup

!!!

Если снимали бэкап, а после переустанавливали веб-консоль, то по восстановлению из backup-а вам необходимо снова переустановить web-console, так как сертификат https восстановится из backup и вы не сможете войти.

Команда для восстановления из бэкапа:

sudo /opt/kaspersky/ksc64/sbin/klbackup -path /var/backup_ksc/klbackup2024-07-09#14-32-39 -logfile /tmp/ksc_b.log -restore -password 'Пароль от бэкапа'

-path /var/backup_ksc/klbackup2024-07-09#14-32-39 - указываем где директорию с бэкапом.
-logfile /tmp/ksc_b.log - указываем куда писать лог выполнения восстановления из бэкапа
-password 'Пароль от бэкапа' - Указываем пароль от бэкапа. Если бэкап был без пароля то оставляем только -password '' две одинарные кавычки (апострофа) без пробела между ними.

Директория и файлы, если располагаются не по умолчанию, должны иметь полные права для учетной записи ksc и группы kladmins.