A Kaspersky lançou recentemente o sistema de Gerenciamento de Endpoints para sistemas Linux.
Kaspersky Security Center 13 Linux permite que o administrador instale aplicativos de segurança Kaspersky em dispositivos em uma rede corporativa, execute tarefas de verificação e atualização remotamente e gerencie as políticas de segurança de aplicativos gerenciados.
É importante notar que o KSC Linux somente pode gerenciar um ambiente com dispositivos Linux, não sendo possivel gerenciar os demais dispositivos como Windows ou dispositivos móveis como atualmente é possivel no KSC para Windows.
Neste tutorial vou instalar o KSC Linux em uma maquina com o CentOS 8.3.2011 e o DB MariaDB 10.3.28.
Pré-requisitos:
- CPU com 1 GHz ou superior. Para SO 64 bits, a frequência mínima da CPU é 1,4 GHz
- RAM: 4 GB
- Espaço disponível em disco: 10 GB.
Verifique se a versão do sistema Linux que você irá utilizar é compativel com o sistema KSC Linux assim como se o DB também tem a versão compatível.
Recomenda-se utilizar a versão de Banco de Dados MariaDB 10.3.28
Como instalar um Banco de Dados MariaDB no CentOS
Execute todos os comandos sempre com uma conta com privilégios de root.
Link para Download da Solução:
Para sistemas baseados Debian (DEB): Link
Para sistemas baseados Red Hat (RPM): Link
Depois de baixar os arquivos, é preciso disponibiliza-los no Servidor onde será instalado o KSC Linux (caso não tenha sido baixado diretamente no mesmo).
Neste caso utilizamos o WinSCP para realizar a transferencia dos arquivos:
Primeiro passo é realizar a conexão SFTP com o servidor. Localize o endereço IP do servidor com o comando:
# ip ad
E então preencha os dados de IP, Usuario e Senha para realizar a conexão de sua maquina (Windows) para o servidor Linux:
Feita a conexão, localize os arquivos e simplesmente arraste-os para um diretório dentro do seu Linux. No exemplo, os arquivos foram copiados para o diretório /HOME do usuario:
Certifique-se de ter copiado todos os arquivos e que estes estão corretos:
Antes de iniciar a instalação do KSC Linux, é preciso modificar o arquivo de configuração do MariaDB de acordo com o suporte da própria Kaspersky através deste artigo.
Para isto realize uma cópia deste arquivo antes de modifica-lo. Acesse o diretório /etc e dê o seguinte comando:
# cp my.cnf my.cnf.bkpAgora vamos editar o arquivo original “my.cnf” com um editor de texto de sua preferencia (Nano, Vim, etc):
nano my.cnf[mysqld]
basedir=/usr
tmpdir=/tmp
port=3306
bind-address=0.0.0.0
local-infile=0
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
symbolic-links=0
sql_mode = ""
log-error = /var/log/mysql-error.log
sort_buffer_size=10M
join_buffer_size=100M
join_buffer_space_limit=300M
join_cache_level=8
tmp_table_size=512M
max_heap_table_size=512M
key_buffer_size=200M
innodb_buffer_pool_size= 80
innodb_thread_concurrency=20
innodb_flush_log_at_trx_commit=0
innodb_lock_wait_timeout=300
max_allowed_packet=32M
max_connections=151
max_prepared_stmt_count=12800
table_open_cache=60000
table_open_cache_instances=4
table_definition_cache=60000
O arquivo deveria ficar parecido com este:
Reinicie o serviço do MariaDB:
# systemctl restart mariadb.serviceConfirme que o mesmo está rodando sem erros:
Conecte-se no serviço MariaDB:
# mysql -u admin -p
Execute o comando select abaixo para verificar se os add-ons “optimizer” estão habilitados:
SELECT @@optimizer_switch;Na saída do comando você deverá verificar se existem os parametros abaixo:
join_cache_incremental=on
join_cache_hashed=on
join_cache_bka=on
Caso não apareça no resultado, volte ao arquivo “my.cnf” e coloque as linhas abaixo no final do arquivo:
optimizer_switch='join_cache_incremental=on'
optimizer_switch='join_cache_hashed=on'
optimizer_switch='join_cache_bka=on'Feitas as configurações, vamos finalmente iniciar a instalação de nosso KSC Linux.
Para instalar o Kaspersky Security Center para Linux:
Crie um grupo ‘kladmins’ e uma conta sem privilégios ‘ksc’. A conta deve ser membro do grupo ‘kladmins’. Para fazer isso, execute sequencialmente os seguintes comandos:
# adduser ksc
# groupadd kladmins
# gpasswd -a ksc kladmins
# usermod -g kladmins ksc
Dependendo do seu sistema operacional, retorne ao diretório onde estão os binários de instalação e execute o comando referente de instalação:
# apt install /<path>/ksc64_[version_number]_amd64.deb
# yum install /<path>/ksc64-[version_number].x86_64.rpm -y
Agora é necessário executar o script de configuração (post script):
# /opt/kaspersky/ksc64/lib/bin/setup/postinstall.plA primeira parte são os termos de aceitação, licença de uso. Digite “Y” para aceitar:
Em seguida será solicitado o endereço IP ou nome do seu novo servidor de Administração. Depois serão solicitadas as portas, para utilizar as portas padrão (recomendado) apenas tecle “Enter”:
Enter Administration Server DNS-name or static IP-address:
ksc-linux
Please enter Administration Server port number [14000]:
[Enter]
Enter Administration Server SSL port number [13000]:
[Enter]
Será solicitado a quantidade de dispositivos que serão administrados por este servidor (aproximadamente):
Define the approximate number of devices that you intend to manage:
1) 1 to 100 networked devices
2) 101 to 1 000 networked devices
3) More than 1 000 networked devices
Enter the range number (1, 2, or 3) [1]:
1Depois serão solicitados o grupo e usuario criado para serviços:
Enter the security group name for services:
kladmins
Enter the account name to start the Administration Server service. The
account must be a member of the entered security group:
ksc
Enter the account name to start other services. The account must be a
member of the entered security group:
kscDepois serão solicitadas as informações do Banco de Dados MariaDB:
Enter the database address:
127.0.0.1
Enter the database port:
3306
Please enter the database name:
kav
Enter the database login:
admin
Enter the database password:
<senha>Se tudo estiver correto, o sistema começará a instalar e ativar os serviços:
Add service klnagent_srv...
Add service kladminserver_srv...
Add service klactprx_srv...
Add service klwebsrv_srv...
Starting kladminserver_srv...
Starting klnagent_srv...
Starting klactprx_srv...
Starting klwebsrv_srv...
Wait till the server initialize...Ao final será solicitada a criação de um novo usuario, este que terá permissões de acesso na console Web posteriormente:
It is necessary to create an Administration Server account. This user will
act as an Administration Server administrator. The user password cannot
have less than 8 and more than 16 characters.
Enter the user name:
Administrator
Password:
Repeat password:
User 'Administrator' has been createdPronto, a instalação do Servidor KSC Linux está completa!
Kaspersky Security Center is installed.
Binaries were installed in /opt/kaspersky/ksc64/sbinSe necessário investigar algum problema, os logs ficam disponiveis em /tmp/:
Verifique se todos os seviços estão ativos e em execução:
# systemctl status klnagent_srv.service
# systemctl status kladminserver_srv.service
# systemctl status klactprx_srv.service
# systemctl status klwebsrv_srv.serviceOu então para listar todos os serviços:
# systemctl list-unit-files --type service --allAgora partimos para a instalação do Web Console.
Para começar, precisamos criar um arquivo JSON de configuração conforme abaixo:
{
"address": "127.0.0.1",
"port": 8080,
"trusted": "127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|<nome do Servidor>"
"acceptEula": true
}Altere os endereços IP e Nomes dos Servidores, caminhos do certificado conforme seu ambiente e ao terminar, nomeie o arquivo como “ksc-web-console-setup.json” e coloque-o na raiz do diretório “/etc”.
Caso haja mais de um sevidor para colocar como Trusted, será preciso defini-lo no arquivo de configuração acima depois do <nome do Servidor>. Um exemplo real:
{
"address": "127.0.0.1",
"port": 8080,
"trusted": "127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Linux||192.168.15.100|13299|/var/opt/kaspersky/klserver_WIN.cer|KSC Windows"",
"acceptEula": true
}
Certifique-se de ter o binário correto para a instalação e em seguida inicie a instalação do Web Console:
rpm install ksc-web-console-13.0.10163-1.x86_64.rpm
Certifique-se do servido do Web Console estar em execução:
Caso a pagina da Console não abra, verifique se há alguma porta bloqueada:
# firewall-cmd --list-portsOu permita permanentemente o tráfego na porta TCP 8080:
# firewall-cmd --permanent --add-port=8080/tcp
# firewall-cmd --reloadTeste conectar no seu servidor a partir de outra máquina utilizando o browser:
https://<ip do servidor>:8080/
É isso aí! Agora é só instalar os plugins e começar a gerenciar…