Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
В контексте современных угроз и тенденции перехода организаций на отечественные операционные системы всё чаще у системных администраторов возникают вопросы о сложности такой миграции, о возможностях, которые будут доступны или недоступны, и множестве прочих нюансов. В связи с этим одной из немаловажных тем становится миграция средств защиты узлов сети и несомненно одним из лидеров рынка в этой области является Лаборатория Касперского.
Линейка продуктов Kaspersky Security для бизнеса защищает вашу организацию от угроз всех типов, в том числе от шифровальщиков и бесфайловых атак. Благодаря большому числу продуктов, входящих в линейку, каждая организация может выбрать подходящий для себя уровень защиты и легко перейти на следующий уровень по мере роста и развития компании и процессов информационной безопасности
Центральным компонентом, с помощью которого осуществляется управление целым набором программных продуктов, является Kaspersky Security Center.
Kaspersky Security Center упрощает управление безопасностью и администрирование IT-систем, а также удовлетворяет потребности в защите, которые изменяются вместе с вашей компанией. Единая универсальная консоль позволяет управлять всеми IT-системами, а также облегчает разделение обязанностей между администраторами.
В рамках этой статьи мы поговорим о развертывании Kaspersky Security Center 14.2 на Astra Linux Special Edition 1.7.2. В качестве базы данных будет использоваться последняя версия PostgreSQL 14, поддерживаемая операционной системой, и Kaspersky Security Center на данный момент.
Для установки потребуются базовые навыки работы с консолью и редактором текста nano.
Развертывание ОС Astra Linux Special Edition 1.7.2
Kaspersky Security Center 14 Linux поддерживает большое количество различных дистрибутивов Linux:
Debian GNU/Linux 9.х (Stretch) 32-разрядная/64-разрядная;
Debian GNU/Linux 10.х (Buster) 32-разрядная/64-разрядная;
Debian GNU/Linux 11.х (Bullseye) 32-разрядная/64-разрядная;
Ubuntu Server 18.04 LTS (Bionic Beaver) 64-разрядная;
Ubuntu Server 20.04 LTS (Focal Fossa) 64-разрядная;
Ubuntu Server 22.04 LTS (Jammy Jellyfish) 64-разрядная;
CentOS 7.x 64-разрядная;
Red Hat Enterprise Linux Server 7.x 64-разрядная;
Red Hat Enterprise Linux Server 8.x 64-разрядная;
Red Hat Enterprise Linux Server 9.x 64-разрядная;
SUSE Linux Enterprise Server 12 (все пакеты обновлений) 64-разрядная;
SUSE Linux Enterprise Server 15 (все пакеты обновлений) 64-разрядная;
Astra Linux Special Edition, версия 1.6 (включая режим замкнутой программной среды и обязательный режим) 64-разрядная;
Astra Linux Special Edition 1.7.2 (включая режим замкнутой программной среды и мандатный режим) 64-разрядная;
Astra Linux Common Edition 2.12 64-разрядная;
Альт Сервер 9.2 64-разрядная;
Альт Сервер 10 64-разрядная;
Альт 8 СП Сервер (ЛКНВ.11100-01) 64-разрядная;
Альт 8 СП Сервер (ЛКНВ.11100-02) 64-разрядная;
Альт 8 СП Сервер (ЛКНВ.11100-03) 64-разрядная;
Oracle Linux 7 64-разрядная;
Oracle Linux 8 64-разрядная;
Oracle Linux 9 64-разрядная;
РЕД ОС 7.3 Сервер 64-разрядная;
РЕД ОС 7.3 Сертифицированная редакция 64-разрядная.
В качестве базовой операционной системы для Kaspersky Security Center 14 мы рассмотрим один из наиболее популярных отечественных дистрибутивов Linux – Astra Linux Special Edition 1.7 от компании «РусБИТех-Астра».
Мы будем использовать поддерживаемую технической поддержкой Kaspersky Astra Linux Special Edition 1.7.2 с максимальным уровнем защищенности «Смоленск». Однако возможно использование и других уровней защищенности – «Орел» или «Воронеж». Параметры дополнительных настроек безопасности соответствуют редакции «Орел».
Выполните установку ОС Astra Linux согласно требованиям вашей организации.
Используя графический интерфейс, зададим параметры для сетевого интерфейса на сервере. Мы будем использовать внутренний IP-адрес 10.10.30.232/24.
Далее для удобства все команды будут выполняться в командной строке через SSH подключение программой PuTTY.
Внимание! При установке KSC 14 необходимо использовать компонент astra-ce расширенного репозитория для установки СУБД PostgreSQL 14. В данной редакции СУБД PostgreSQL не поддерживает МРД. Редакция СУБД PostgreSQL 11 (с поддержкой МРД) не поддерживается KSC 14.
Пакеты, содержащиеся в расширенном репозитории, не дорабатываются для применения в Astra Linux Special Edition и не проходят сертификационные испытания, но технически могут обновлять (заменять) пакеты, находящиеся в базовом репозитории, и доработанные для применения с КСЗ Astra Linux Special Edition.
Работа ПО, установленного из расширенного репозитория, как и любого другого ПО, контролируется общими правилами МРД и МКЦ, действующими в ОС. При этом ОС может работать в любом режиме защиты, однако взаимодействие КСЗ и ПО может быть ограничено. При замене пакета PostgreSQL отключается возможность использования мандатного управления доступом для записей базы данных PostgreSQL. Для обозначения того, что Astra Linux Special Edition работает с использованием таких заменяющих пакетов, используется технический термин "состояние совместимости с Astra Linux Common Edition". Пакеты с таким заменяющим ПО объединены в специальном компоненте расширенного репозитория - компоненте astra-ce.
Файл с указанием адресов репозиториев в качестве источников хранится в разделе /etc/apt/sources.list. Для его редактирования необходимо выполнить команду, а затем внести адреса репозиториев
sudo nano /etc/apt/sources.list
Внимание! Для использования репозиториев по протоколу HTTPS, установить пакеты apt-transport-https и ca-certificates. Проверьте корректность установленного времени на ПК. Если установить пакеты невозможно, измените адрес репозиториев с https на http
# Основной репозиторий (установочный диск)deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/ 1.7_x86-64 main contrib non-free
# Актуальное обновление основного репозитория
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-update/ 1.7_x86-64 main contrib non-free
# Базовый репозиторий
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free
# Расширенный репозиторий
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/ 1.7_x86-64 main contrib non-free
# astra-ce
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/ 1.7_x86-64 astra-ce
Интернет-репозитории являются актуальными для Astra Linux Special Edition x.7 на момент написания статьи. Актуальные репозитории можно узнать из Wiki.
Включение компoнента astra-ce:
sudo astra-ce https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/
sudo astra-update -A -r
Установка и настройка PostgreSQL 14
После добавления всех необходимых репозиториев можно приступать к установке СУБД. Для начала проверим какие версии PostgreSQL нам доступны:
sudo apt policy postgresql
Доступны версии 11 с поддержкой МРД и версия 14 без поддержки МРД, но только PostgreSQL 14 подходит под требования к Kaspersky Security Center, поэтому её и установим.
sudo apt install postgresql-14
Установка не занимает много времени. После установки нам необходимо изменить параметры в конфигурационном файле postgres.conf для того, чтобы они соответствовали рекомендованным Лабораторией Касперского. Откроем файл на редактирование:
sudo nano /etc/postgresql/14/main/postgresql.conf
Параметры выставляются в соответствии со следующими рекомендациями:
shared_buffers = 25% от объема оперативной памяти устройства, на котором установлена СУБД. Если оперативной памяти меньше 1 ГБ, то оставьте значение по умолчанию.
huge_pages = try
max_stack_depth = максимальный размер стека (например, вы можете получить это значение, выполнив команду 'ulimit -s' ) минус 1 МБ. Учитывайте, что команда 'ulimit -s' выдает значение в килобайтах.
temp_buffers = 24MB
max_prepared_transactions = 0
work_mem = 16MB
temp_file_limit = -1
max_connections = 151
fsync = on
Сохраняем файл и закрываем.
Следующим этапом нам необходимо отредактировать конфигурационный файл pg_hba.conf, который отвечает за безопасность доступа к СУБД. Мы будем использовать для доступа к БД специально созданную учетную запись с именем kscdbowner, её нам и необходимо задать в файле. Вы можете выбрать другое имя учетной записи, но тогда измените имя при создании УЗ на следующем этапе.
Откроем файл на редактирование:
sudo nano /etc/postgresql/14/main/pg_hba.conf
Добавим следующую строку в раздел “Database administrative login by Unix domain socket”
local all kscdbowner md5
Сохраняем файл и закрываем.
Перезапускаем службу postgresql:
sudo systemctl restart postgresql
Войдем под пользователем postgres в консоли:
sudo su - postgres
Создадим пользователя базы данных kscdbowner и базу данных kscdb. Владельцем базы будет созданный нами пользователь. Установим пользователю пароль для доступа в базу, пароль необходимо использовать более надежный, но мы для примера возьмем «P@SSWORD».
createuser kscdbowner
createdb kscdb -O kscdbowner
psql -c "alter user kscdbowner with password «P@SSW0RD»
Проверим возможность входа в базу под новым пользователем:
psql -U kscdbowner -d kscdb
Если вход выполнен успешно, то у нас откроется консоль для работы с базой.
Выйдем из консоли базы данных:
exit
И выйдем из консоли пользователя postgres:
exit
Теперь, когда база данных подготовлена, можно приступать к этапам развертывания KSC.
Установка Kaspersky Security Center 14.2
Подготовка пользователей и групп
Для корректной работы служб KSC необходимо создать пользователя в операционной системе. Назовем его ksc.
sudo adduser ksc
Та же создадим группу для администраторов будущей KSC, называться она будет kladmins. Добавим пользователя ksc в новую группу и позволим ему управлять членством:
sudo groupadd kladmins
sudo gpasswd -a ksc kladmins
sudo usermod -g kladmins ksc
При создании пользователя система запросит различные данные о нем, все они необязательные. В нашем случае, так как запись служебная, просто нажмем Enter несколько раз и оставим все поля пустыми.
Скачивание и установка дистрибутива
Вы можете использовать графический интерфейс Astra Linux или программу для доступа к файловой системе по SSH, если такой способ был разрешен при установке. Для загрузки файлов дистрибутивов KSC и веб-консоли на сервер возможно использование приложений с поддержкой протоколов FTP/SFTP, например, WinSCP или MobaXterm. Файлы доступны публично на сайте Лаборатории Касперского. Для Astra Linux, установленной на процессор x64-86, мы используем пакеты deb 64-разрядной версии.
Перейдем в каталог загрузок и запустим установку дистрибутива:
sudo dpkg –i ksc64_14.2.0-23324_amd64.deb
В конце нас извещают об успешной установке и просят запустить скрипт для корректной настройки сервера перед началом использования.
Выполнение скрипта настройки
После выполнения установки нам необходимо задать некоторые параметры. Для этого мы должны запустить скрипт, который в интерактивном режиме внесет необходимые изменения.
Выполним команду:
sudo /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl
В начале нас попросят принять два соглашения, а далее по порядку будут уточняться вид сервера, адрес сервера, номер порта SSL для подключения агентов, планируемое количество устройств, группа безопасности для служб, имя служебной записи для запуска служб, вид базы данных, адрес и порт для доступа к базе, а также учетные данные для доступа. Заполните это в соответствии с данными по вашей инфраструктуре. Так как СУБД располагается на этом же сервере, то его адрес будет 127.0.0.1. Важно отметить, что здесь не принимается localhost в качестве корректного значения.
После ввода пароля для доступа к базе данных, скрипт начнет производить необходимые изменения с базой данных и службами. Дождемся окончания. В конце скрипт попросит вас указать имя главного администратора системы и пароль, позже он понадобится для доступа в веб-консоль. Мы укажем имя Administrator.
На этом установка и настройка сервера Kaspersky Security Center успешно завершена. Вы можете запустить следующие команды, чтобы проверить статус служб:
sudo systemctl status klnagent_srv.service
sudo systemctl status kladminserver_srv.service
sudo systemctl status klactprx_srv.service
sudo systemctl status klwebsrv_srv.service
Все службы должны быть в статусе active (running).
Установка веб-консоли KSC Web Console
Для управления сервером KSC на Astra Linux используется веб-консоль. Служба веб-консоли может располагаться как на отдельном сервере, так и совместно с сервером KSC. Мы установим веб-консоль на сервер KSC для простоты.
Первым делом нам необходимо сформировать так называемый файл ответов. В нем должны быть заданы все необходимые параметры для автоматизированной установки службы веб-консоли. Создадим файл и откроем его на редактирование:
sudo nano /etc/ksc-web-console-setup.json
Внесем туда следующий текст:
{
"address": "10.10.30.232",
"port": 8080,
"trusted": "127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Server",
"acceptEula": true
}
Расшифровка полей:
address – адрес, по которому будет осуществляться доступ к консоли
port – порт, по которому будет осуществляться доступ к консоли
trusted – параметры подключения к серверу KSC, путь к сертификату KSC, имя сервера
acceptEula – принятие лицензионного соглашения
Лицензионное соглашение может быть загружено с сайта Лаборатории Касперского, там же ранее мы скачивали дистрибутивы.
Сохраним файл и закроем.
Запустим установку веб-консоли:
sudo dpkg –i ksc-web-console-14.2.10359.x86_64.deb
От нас не потребуется никаких действий до окончания установки. После её завершения необходимо перезапустить все службы KSC:
sudo systemctl restart KSC*
Проверим работу веб-консоли, перейдя в браузере по адресу https://10.10.30.232:8080. Если вы получили страницу входа, значит веб-консоль успешно работает.
Используйте логин и пароль администратора, указанный при установке KSC, для доступа к инструментам администрирования, в нашем случае это Administrator. После входа запустится мастер первоначальной настройки, с его помощью вы сможете настроить основные политики, задачи, активировать программу и прочее.
Сравнение KSC на базе Linux и Windows
К сожалению, на текущий момент, Kaspersky Security Center на базе Linux уступает по функциональным возможностям своей версии для платформы Windows, но Лаборатория Касперского постоянно работает над улучшением обоих продуктов.
В релизе 14.2 Kaspersky Security Center на базе Linux получил поддержку клиентов Kaspersky Endpoint Security на базе ОС Windows, что открывает дополнительные возможности по миграции существующих инфраструктур. Ниже представлена таблица сравнения отличий в функциональных возможностях KSC 14.2 на базе Windows и на базе Linux.
Функция или свойство | Kaspersky Security Center Решение на базе Windows | Kaspersky Security Center Решение на базе Linux |
|---|---|---|
Операционная система для установки Сервера администрирования | Windows | Linux |
Тип Консоли администрирования | Локальная и веб-интерфейс | Веб-интерфейс |
Опрос сети | + | + (только по IP-диапазонам) |
Максимальное количество управляемых устройств | 100 000 | 20 000 |
Защита устройств под управлением Windows, macOS и Linux | + | + (защита устройств только с операционными системами Linux и Windows) |
Защита мобильных устройств | + | - |
Защита виртуальных машин | + | - |
Защита публичной облачной инфраструктуры | + | - |
Установка обновлений программ сторонних производителей и поиск уязвимостей в программах сторонних производителей | + | - (только с помощью задачи удаленной установки) |
Использование SNMP для отправки статистики Сервера администрирования программам сторонних производителей | + | - |
Удаленная диагностика клиентских устройств | + | - |
Удаленное подключение к рабочему столу клиентского устройства | + | - |
Автоматическое обновление программ "Лаборатории Касперского" | + | - |
Развертывание операционных систем на клиентских устройствах | + | - |
Веб-сервер для публикации инсталляционных пакетов и других файлов | + | - |
Управление сторонними лицензиями | + | - |
Полное сравнение вы можете посмотреть в онлайн справке на сайте Лаборатории Касперского: Сравнение версий Kaspersky Security Center: на базе Windows и на базе Linux
Авторы: Папазов Илья и Кобяков Антон, инженеры TS Solution
Для более подробного знакомства с продуктами Лаборатории Касперского, рекомендуем посмотреть вебинар с наглядным обсуждением платформы против целенаправленных атак Kaspersky Anti Targeted Attack Platform (KATA): Применение Kaspersky KATA & KEDR в контексте актуальных угроз
