ESET File Security
Посібник користувача
Зміст
. Введення.................................................................................................
. Терміни та абревіатури......................................................................
. Інсталяція...............................................................................................
. Огляд внутрішньої будови..............................................................
. File System послуги............................................................................
5.1. Сканування по запиту (On-demand scanner)....................................16
5.2. Сканування за доступом (On-access scanner) реалізоване
завдяки Dazuko.............................................................................................16
5.2.1. Принцип функціонування......................................................................17
5.2.2. Інсталяція та конфігурація....................................................................17
5.2.3. Вказівки.........................................................................................................18
5.3. Сканування за доступом з використанням попередньо
завантаженої бібліотеки LIBC................................................................18
5.3.1. Принципи функціонування...................................................................19
5.3.2. Інсталяція та конфігурація....................................................................19
5.3.3. Поради..........................................................................................................20
. Важливі механізмиESET File Security............................................
6.1. Політика Управління Об’єктами (Handle Object)............................23
6.2. Конфігурація настроєна користувачем (User Specic
Conguration)...............................................................................................23
6.3. Система обробки зразків (Samples Submission System)............24
6.4. Інтерфейс WWW (World Wide Web)......................................................25
6.5. Віддалена Настройка.................................................................................25
. Оновлення системи ESET Security..................................................
7.1. Утиліта оновлення ESETS...........................................................................28
7.2.Опис процесу оновлення ESETS.............................................................28
. Оповіщення.........................................................................................
Доповнення A. Ліцензія PHP................................................................
Copyright © ESET, spol. s r. o.
ESET NOD Antivirus розроблено ESET, spol. s r.o. За більш детальнішою
інформацією звертайьесь до www.eset.com.ua
Всі права захищено. Жодна з частин цього документу не може бути
скопійована, збережена або представлена у будь-якій системі зберігання
даних або передана у будь-якій формі, будь-якими засобами (електронними,
фотокопіювальними, записуючими, скануючими або іншими) та у будь-яких
цілях без спеціальної письмової згоди з автором. Компанія ESET, spol. s r.o.
залишає за собою право змінити будь-яку частину описаної програми без
попередження.
REV.
ESET File Security
Розділ 1:
Введення
Шановний користувач, Ви придбали ESET File Security – найсучаснішу систему
безпеки, яка працює на основі ОС Linux/BSD/Solaris. Як Ви згодом переконаєтесь,
досконалість механізму сканування ESET має неперевершені швидкість сканування
та рівень виявлення загроз у поєднанні з малим розміром, що робить його ідеальним
продуктом для будь-якої Linux/BSD/Solaris серверної ОС.
Основні характеристики системи:
• Алгоритми механізму антивірусного сканування ESET забезпечують
найвищий рівень виявлення загроз за найменший час сканування.
• ESET File Security розроблена для роботи на однопроцесорних та
багатопроцесорних системах.
• Продукт має функцію евристичного аналізу Win на виявлення черв’яків
та обхідних шляхів.
• Встроєні архіватори розпаковують архівовані об’єкти не потребуючи
наявності інших програм.
• Для покращення швидкості та продуктивності системи, її архітектура
основана на процесі (резидентній програмі) якому відсилаються усі
запити на сканування.
• Для підвищення рівня безпеки всі виконуючі процеси (окрім esets_dac)
запускаються під обліковим записом з обмеженими правами доступу.
• Система підтримує настроювану конфігурацію, основану на потребах
користувача або клієнта\сервера.
• Для отримання інформації про активність системи та виявлення
інфільтрацій, можна настроїти шість рівнів ведення журналу.
• Конфігурація, керування та настройки ліцензії забезпечуються за
допомогою легкого у користуванні веб-інтерфейсу
• Система підтримує ESET Remote Administration, для керування продуктом
у великих мережах.
• Інсталяція ESET File Security не потребує зовнішніх бібліотек або
програм за виключенням LIBC.
• У системі можна настроїти оповіщення будь-якого користувача, при
виявленні загрози.
Для продуктивної роботи ESET File Security потрібно лише MB пам’яті на
жорсткому диску та MB ОЗП. Він працює на основі ОС Linux версій ядра ..x, ..x
та ..x та ОС FreeBSD версій ядра .x, .x.
Починаючи з менш потужних серверів для малих офісів і до ISP серверів
на підприємствах з тисячами підключених користувачів, система забезпечує
продуктивність, легкість інтеграції та перенесення, які Ви очікуєте від рішень на
основі Unix, і у додаток забезпечує незрівнянний рівень безпеки.
ESET File Security
Розділ 2:
Терміни та абревіатури
У цьому розділі будуть розглянуті терміни та абревіатури, які
використовуватимуться у документі. Зверніть увагу, що жирним шрифтом будуть
виділені назви компонентів продукту, а також нові терміни та абревіатури. Усі
терміни та абревіатури зазначені у даному розділі будуть описані більш детально
далі у документі.
ESETS
ESET Security стандартне скорочення для усіх продуктів безпеки, розроблених
компанією ESET, для ОС Linux, BSD та Solaris. Також термін використовується, як
назва (або частина назви) пакету програм у якому міститься продукт.
RSR
Абревіатура для ‘RedHat/Novell(SuSE) Ready’. Зверніть увагу, що ми підтримуємо
різні версії продуктів RedHat Ready та Novell(SuSE) Ready. Пакет RSR відрізняється від
«стандартних» версій Linux тим, що він підтримує FHS (File-system Hierarchy Standard
яка є частиною Linux Standard Base) - документ, що потребуються для сертифікації
RedHat Ready та Novell(SuSE) Ready. Це значить, що пакет RSR інсталюється як
програма-доповнення – за замовчуванням інсталюється у папку ’/opt/eset/esets’.
Процес ESETS
Головний процес сканування та контролю системи ESETS : esets_daemon.
Основна папка ESETS
Папка, у якій зберігаються завантаженні модулі ESETS, які містять бази данних
вірусних сигнатур. Надалі абревіатура @BASEDIR@ буде використовуватись для
посилання на дану папку. Значення @BASEDIR@ для різних операційних систем
написане нижче:
Linux: /var/lib/esets
Linux RSR: /var/opt/eset/esets/lib
FreeBSD: /var/lib/esets
NetBSD: /var/lib/esets
Solaris: /var/opt/esets/lib
Папка конфігурацій ESETS
Папка, де зберігаються усі файли конфігурації ESET File Security. Надалі
абревіатура @ETCDIR@ буде використовуватись для посилання на дану папку.
Значення @ETCDIR@ для різних операційних систем написане нижче:
Linux: /etc/esets
Linux RSR: /etc/opt/eset/esets
FreeBSD: /usr/local/etc/esets
NetBSD: /usr/pkg/etc/esets
Solaris: /etc/opt/esets
ESET File Security
Файл конфігурації ESETS
Головний файл конфігурації ESET File Security. Абсолютний шлях файлу
наступний:
@ETCDIR@/esets.cfg
Папка бінарних файлів ESETS
Папка, де зберігаються необхідні бінарні файли ESET File Security. Надалі
абревіатура @BINDIR@ буде використовуватись для посилання на дану папку.
Значення @BINDIR@ для різних операційних систем написане нижче:
Папка системних бінарних файлів ESETS
абревіатура @SBINDIR@ буде використовуватись для посилання на дану папку.
Значення @SBINDIR@ для різних операційних систем написане нижче:
Linux: /usr/bin
Linux RSR: /opt/eset/esets/bin
FreeBSD: /usr/local/bin
NetBSD: /usr/pkg/bin
Solaris: /opt/esets/bin
Папка, де зберігаються системні бінарні файли ESET File Security. Надалі
Linux: /usr/sbin
Linux RSR: /opt/eset/esets/sbin
FreeBSD: /usr/local/sbin
NetBSD: /usr/pkg/sbin
Solaris: /opt/esets/sbin
Папка об’єктних файлів ESETS
Папка, де зберігаються необхідні об’єктні файли та бібліотеки ESET File Security.
Надалі абревіатура @LIBDIR@ буде використовуватись для посилання на данну
папку. Значення @LIBDIR@ для різних операційних систем написане нижче:
Linux: /usr/lib/esets
Linux RSR: /opt/eset/esets/lib
FreeBSD: /usr/local/lib/esets
NetBSD: /usr/pkg/lib/esets
Solaris: /opt/esets/lib
розділ 2 Терміни та абревіатури
Розділ 3:
Інсталяція
Після покупки ESET Gateway Security Ви отримаєте данні для авторизації (Ім’я
користувача \ Пароль та ліцензійний ключ). Вони потрібні для підтвердження того,
що Ви є клієнтом ESET і маєте право завантажувати оновлення для ESET Gateway
Security. Ім’я користувача та Пароль потрібні для завантаження інсталяційного
пакету з нашого веб-сайту. ESET File Security розповсюджується у вигляді бінарного
файлу:
esets.i386.ext.bin
де ‘ext’ це частина назви, яка залежить від версії дистрибутиву ОС Linux/BSD/
Solaris. ‘deb’ означає Debian, ‘rpm’ - RedHat та SuSE, ‘tgz’ означає інші версії продуктів
ОС Linux, ‘s.tgz’ - FreeBSD .xx, ‘s.tgz’ - FreeBSD .xx, ‘nbs.tgz‘ - NetBSD .xx та
‘sol.pkg.gz‘ означає Solaris .
Зверніть увагу, що формат бінарного файлу для Linux RSR:
esets-rsr.i386.rpm.bin
Щоб виконати інсталяцію або оновити компоненти продукту використовуйте
наступну команду:
sh ./esets.i386.ext.bin
У версіях для продукту Linux RSR використовуйте наступну команду:
sh ./esets-rsr.i386.rpm.bin
При цьому на дисплей буде виведено ліцензійну угоду продукту (User License
Acceptance Agreement). Як тільки Ви погодитесь з умовами угоди, інсталяційний
пакет буде скопійовано у поточну директорію і інформація щодо інсталяції пакету,
деінсталяції та оновлення компонентів продукту буде зображена на екрані.
Як тільки пакет установлено, Ви можете впевнитись, що головний процес ESETS
запущено, використовуючи наступну команду:
Linux:
ps -C esets_daemon
BSD:
ps -ax | grep esets_daemon
Solaris:
ps -A | grep esets_daemon
У результаті Ви повинні побачити наступне (або схоже) повідомлення:
ESET File Security
PID TTY TIME CMD
2226 ? 00:00:00 esets_daemon
2229 ? 00:00:00 esets_daemon
де щонайменше два процеси ESETS запущені у фоновому режимі. Перший PID
представляє собою диспетчер контролю процесів та потоків системи. Другий PID є
процесом сканування ESETS.
розділ 3 Інсталяція
Розділ 4:
Огляд внутрішньої будови
Як тільки ESET File Security успішно інстальований, вам потрібно ознайомитись
з його конфігурацією.
Рисунок . Структура ESET File Security.
Структура ESET File Security зображена на рисунку . Система складається з
наступних частин:
Ядро (CORE)
Ядром ESET File Security є процес esets_daemon. Процес використовує ESETS API
бібліотеки libesets.so та ESETS модулі завантаження emX_xx.dat для забезпечення
основних системних задач як, наприклад, сканування, підтримка агентів-процесів,
підтримка Системи обробки зразків (Samples Submission System), підключення до
системи, оповіщення тощо. Щоб отримати більш детальну інформацію перегляньте
інформацію про esets_daemon () на сторінках довідки (man pages).
Агенти (AGENTS)
Призначення модулів агентів ESETS - інтеграція ESETS у серверній середі Linux/
BSD/Solaris.
Утиліти (UTILITIES)
Утиліти забезпечують просте та ефективне керування системою. Вони відпові-
дають за системні задачі такі як: управління ліцензійними файлами, забезпечення
належної роботи функції карантину, оновлення та конфігурацію системи.
Конфігурація (CONFIGURATION)
Належна конфігурація є найважливішим атрибутом продуктивно працюючої
системи безпеки – усе написане нижче у цьому розділі, присвячене більш
розділ 4 Огляд внутрішньої будови
детальному опису компонентів конфігурації. Також рекомендується перечитати
інформацію стосовно esets.cfg () на сторінках довідника, оскільки він містить
важливі параметри конфігурації ESET File Security.
Після успішної інсталяції продукту, усі компоненти конфігурації продукту
знаходитимуться у директорії конфігурацій ESETS, у якій містяться наступні файли.
@ETCDIR@/esets.cfg
Це найважливіший файл конфігурації, оскільки у ньому містяться усі
найнеобхідніші настройки для належного функціонування продукту. Файл esets.
cfg має декілька секцій, у кожній з яких зберігаються різні параметри. Файл містить
одну загальну секцію і декілька секцій конфігурації агентів. Імена секцій написані у
квадратних дужках. Параметри у загальній секції використовуються для визначення
конфігурації процесів ESETS та значень за замовченням для настройки механізму
сканування ESETS. За допомогою параметрів у секціях агентів виконується настройка
конфігурації усіх модулів та агентів ESET File Security. Останні використовуються для
перехоплення різних типів данних та підготовки їх до сканування. Зверніть увагу,
що у придачу до різних параметрів, які використовуються для настройки системи,
також існують правила, які встановлюють організацію файлу. Більш детальну
інформацію про те, як найефективніше настроїти цей файл, Ви можете отримати
на сторінках довідки (man pages) про esets.cfg(5) та esets_daemon(8).
@ETCDIR@/certs
У цій папці зберігаються сертифікати, які використовує веб-інтерфейс ESETS
для аутентифікації. Більш детальну інформацію про esets_wwwi (X) Ви можете
отримати на сторінці довідки (man page).
@ETCDIR@/license
У цій папці зберігаються ліцензійні ключі продукту (продуктів), які Ви отримали
при покупці. Зверніть увагу, якщо параметр ‘license_dir’ у файлі конфігурації ESETS
не змінено, то процес ESETS буде перевіряти тільки дану директорію на наявність
ліцензійного ключа.
@ETCDIR@/scripts/license_warning_script
Якщо активовано параметр ‘license_warn_enabled’ у файлі конфігурації ESETS,
то даний скрипт почне виконуватись за днів до закінченням терміну дії ліцензії,
висилаючи повідомлення про термін дії електронною поштою системному
адміністратору. Скрипт виконуватиметься раз на день.
@ETCDIR@/scripts/daemon_notification_script
Якщо активовано параметр ‘exec_script‘ у файлі конфігурації ESETS, то даний
скрипт буде виконуватись при виявленні загроз антивірусною системою. Він
використовується для надсилання повідомленнь про подію електронною поштою
системному адміністратору.
ESET File Security
Розділ 5:
Послуги
File System
У цьому розділі описуються настройки сканування за вимогою та сканування
по доступу, які надають найефективніший захист від зараження файлової сис-теми
вірусами та черв’яками. Буде розглянуто дві команди: сканування за вимогою -
‘esets_scan’ та сканування по доступу - ‘esets_dac’. Версія ESET File Security для ОС
Linux має також додатковий спосіб сканування по доступу, для якого потрібен
попередньо завантажений модуль бібліотеки libesets_pac.so. Усі зазначені
компоненти описані нижче, у підрозділах.
.. Сканування за вимогою (On-demand scanner)
Сканування за вимогою може запустити лише користувач з необмеженими
правами доступу (зазвичай це системний адміністратор) за допомогою інтерфейсу
командної строки або використовуючи програму автоматичного планування
операційної системи (наприклад, cron ). Саме тому термін «за вимогою» відноситься
до об’єктів файлової системи, які скановано за вимогою користувача або системи.
Сканування за вимогою не потребує спеціальної настройки для запуску. Після
того, як пакет ESETS інстальовано належним чином і ліцензія з придатним терміном
дії переміщена у папку ліцензійних ключів (@ETCDIR@/license) сканування за
вимогою можна негайно запускати використовуючи інтерфейс командної строки
або програму автоматичного планування. Щоб запустити сканування по запиту з
командної строки використовуйте наступний синтаксис:
@SBINDIR@/esets_scan [option(s)] FILES
у якому замість FILES повинен бути список папок і\або файлів для скануваня.
Для використання команди сканування по запиту ESETS доступно багато
параметрів (у вищенаведеному прикладі вони позначені як [option(s)]). Щоб
отримати повний список параметрів команди, перегляньте сторінку довідки (man
page) про esets_scan().
.. Сканування за доступом (On-access scanner) реалізоване
завдяки Dazuko
Сканування за доступом запускається при доступі користувача
(користувачів) та \ або операційної системи до об’єктів файлової системи. Таким
чином моожна пояснити термін «за доступом» - сканування запускається при будьякій спробі доступу до об’єкту файлової системи.
Метод який використовує ESETS при скануванні за доступом реалізований
завдяки модулю ядра Dazuko (da-tzu-ko) і основується на перехопленні посилань
ядра. Проект Dazuko є відкритим, це означає, що його код розповсюджується
безкоштовно. Таким чином користувачі можуть скомпілювати модуль ядра
спеціально для своїх систем. Зверніть увагу, що модуль ядра Dazuko не є частиною
продуктів ESETS і повинен бути скомпільований та інстальований у ядро перед
тим, як використовувати команду сканування за доступом esets_dac. З іншого
боку технологія Dazuko надає можливість виконувати сканування за доступом не
залежно від типу файлової системи. Він також вигідний при управлінні об’єктами
ESET File Security
файлової системи за допомогою Network File System (NFS), Nettalk та Samba.
Важлива інформація: Перед тим як перейти до детальнішої інформації про
функціонування та конфігурацію сканування за доступом, варто звернути увагу на
те, що метод сканування був розроблений та протестований перед усім для захисту
файлових систем завантажених віддалено. Якщо на вашому комп’ютері присутні
декілька файлових систем, завантажених не віддалено, їх потрібно виключити з
керування доступом до файлів, для попередження зависання системи. Типовим
прикладом папки, яку потрібно виключити з керування доступом до файлів є ‘/dev’
та будь-яка папка, яка використовується для ESETS.
... Принцип функціонування
Сканування за доступом esets_dac (ESETS File Access Controller реалізований
завдяки Dazuko) являється резидентною програмою, яка забезпечує безперервне
прослуховування та контроль файлової системи. Кожний об’єкт файлової системи
сканується відповідно до виду події доступу до файлу, який можна настроїти. Дана
версія підтримує наступні типи подій:
Подія відкриття (Open events)
Цей тип доступу до файлу активується, якщо слово ‘open’ присутнє у параметрі
‘event_mask‘ файлу eset.cfg (секція [dac]). У цьому випадку установлюється біт
ON_OPEN маски доступу Dazuko.
Подія закриття (Close events)
Цей тип доступу до файлу активується, якщо слово ‘close’ присутнє у параметрі
‘event_mask‘ файлу eset.cfg (секція [dac]). У цьому випадку установлюється біт
ON_CLOSE_MODIFIED маски доступу Dazuko.
Зверніть увагу: Деякі версії ядра ОС не підтримують прослуховування подій ON_
CLOSE. У цьому випадку, esets_dac не прослуховуватиме подію закриття.
Подія виконання (Exec events)
Цей тип доступу до файлу активується, якщо слово ‘exec’ присутнє у параметрі
‘event_mask‘ файлу eset.cfg (секція [dac]). У цьому випадку, біт ON_EXEC маски
доступу Dazuko буде включений.
Загалом, сканування за доступом забезпечить сканування на віруси
всіх відкритих, закритих та виконаних файлів за допомогою esets_daemon.
Основуючись на результатах таких сканувань надається або відмовляється у
доступі до перевірених файлів.
... Інсталяція та конфігурація
Як вже було зазначено, модуль ядра Dazuko потрібно скомпілювати та
інсталювати у ядро до того як запускати esets_dac. Щоб скомпілювати та
інсталювати Dazuko, будь ласка зайдіть на http://www.dazuko.org/howto-install.shtml.
розділ 5 Послуги File System
Як тільки Dazuko інстальований, продивіться та редагуйте секції [global] та [dac]
файлу конфігурації ESETS (esets.cfg). Зверніть увагу, що належне функціонування
сканування за доступом залежить від настройки опції ‘agent_enabled’ секції [dac]
файлу конфігурації. У додаток, Ви повинні визначити об’єкти файлової системи
(наприклад, папки та файли), які сканер повинен прослуховувати. Це можна
зробити встановивши параметри опцій ‘ctl_incl’ та ‘ctl_excl’, які також знаходяться у
секції [dac]. Після внесення змін до файлу esets.cfg, при перезавантаженні процесу
ESETS відбудеться перечитування нової конфігурації.
... Вказівки
Щоб забезпечити завантаження модуля Dazuko перед ініціалізацією процесу
esets_dac виконайте наступні кроки:
Скопіюйте модуль Dazuko у будь-яку з наступних папок, які зарезервовані для
модулів ядра:
/lib/modules
або
/modules
Використовуйте утиліти ядра ‘depmod’ та ‘modprobe’ (Для ОС BSD використайте
‘kldcong’ та ‘kldload’) для успішної ініціалізації нового модуля Dazuko. У скрипті
ініціалізації esets_daemon ‘/etc/init.d/esets_daemon’, впишіть наступну строчку
перед оператором ініціалізації процесу:
/sbin/modprobe dazuko
Для ОС BSD:
/sbin/kldcong dazuko
яка повинна бути вписаною у скрипт ‘/usr/local/etc/rc.d/esets_daemon.sh’.
Попередження! Дуже важливо, щоб ці кроки були виконані саме у тому порядку,
у якому вони наведені. Якщо модуль Dazuko не знаходиться у папці модулів ядра
‘modprobe’ (відповідно ‘kldload’ у ОС BSD), він не буде запущений належним чином,
що спричинить зависання системи.
.. Сканування по доступом з використанням попередньо
завантаженої бібліотеки LIBC
У попередньому підрозділі була описана інтеграція сканера, для сканування за
доступом, реалізованого завдяки Dazuko, як послугу файлових систем Linux/BSD. У
цьому підрозділі ми звернемо увагу на те, що використання модуля Dazuko може не
задовольняти системних адміністраторів, які обслуговують критичні системи, де:
ESET File Security
• Файли конфігурації та \ або код поточного ядра не доступні.
• Ядро має цілісну структуру, а не модульну.
• Модуль Dazuko не підтримує дану ОС.
У будь-якому з цих випадків варто використовувати метод сканування за
доступом, оснований на попередньо завантаженій бібліотеці LIBC. Більш детальну
інформацію Ви можете отримати переглянувши секцію нижче (..). Зверніть увагу,
що ця інформація стосується лише користувачів ОС Linux і містить інформацію щодо
функціонування, інсталяції та настройка сканування по доступом використовуючи
попередньо завантажену бібліотеку ‘libesets_pac.so’.
... Принципи функціонування
Сканер за доступом libesets_pac.so (ESETS Preload library-based le Access
Controller) це попередньо завантажена бібліотека з вільним доступом до об’єктів,
що використовується як попередньо завантажена LIBC, яка запускається при
завантаженні системи. Завдяки цьому він підходить для серверів файлових систем,
які використовують посилання LIBC, наприклад, FTP сервер, сервер Samba, тощо.
Кожний обєкт файлової системи сканується, відповідно до типу події доступу, які
можна настроїти. Данна версія підтримує наступні типи подій:
Подія відкриття (Open events)
Цей тип доступу до файлу активується, якщо слово ‘open’ присутнє у параметрі
‘event_mask‘ файлу eset.cfg (секція [pac]).
Подія закриття (Close events)
Цей тип доступу до файлу активується, якщо слово ‘close’ присутнє у параметрі
‘event_mask‘ файлу eset.cfg (секція [pac]). У цьому випадку прослуховуються всі
функції дескриптора файлів та закриття потоку FILE бібліотеки LIBC.
Подія виконання (Exec events)
Цей тип доступу до файлу активується, якщо слово ‘exec’ присутнє у параметрі
‘event_mask‘ файлу eset.cfg (секція [pac]). У цьому випадку прослуховуються усі
виконуючі функції бібліотеки LIBC. Усі відкриті, закриті та виконані файли скануються
на наявність вірусів за допомогою сканера ESETS. Відповідно до результатів таких
сканувань надається або відмовляється у доступі до перевірених файлів.
... Інсталяція та конфігурація.
Модуль бібліотеки libesets_pac.so інсталюється за допомогою стандартного
механізму інсталяції завантажених бібліотек. Потрібно лише визначити параметр
середовища ‘LD_PRELOAD‘ у абсолютному шляху бібліотеки libesets_pac.so. Щоб
отримати більш детальну інформацію, перегляньте пояснення про ld.so(8) на
сторінках довідки (man pages).
розділ 5 Послуги File System
Зверніть увагу: Важливо, щоб змінна ‘LD_PRELOAD‘ була задана лише для процесів
мережі (ftp, Samba тощо), які будуть контролюватись модулем сканування
по доступом. Загалом, завантаження запитів бібліотеки LIBC усім процесам
операційної системи не рекомендоване, оскільки продуктивність системи може
значно знизитись або система може зависнути. У цьому випадку, файл ‘/etc/ld.so.
preload‘ не варто використовувати, а змінну ‘LD_PRELOAD‘ не потрібно експортувати
глобально. В обох випадках запити LIBC, які можуть спричинити зависання системи
під час ініціалізації, не будуть виконані.
Щоб забезпечити перехоплення лише потрібних запитів доступу до файлу
певної файлової системи, командами для виконання можна знехтувати,
використовуючи наступну стрічку:
LD_PRELOAD=/path/to/libesets_pac.so COMMAND COMMAND-ARGUMENTS
де ‘COMMAND COMMAND-ARGUMENTS‘ первісна виконувана команда.
Прогляньте та відредагуйте секції [global] та [pac] конфігураційного файлу
ESETS (esets.cfg). Для належного функціонування сканера за доступом, Вам
потрібно визначити об’єкти файлової системи (наприклад, файли та директорії) які
потрібно контролювати за допомогою завантаженої бібліотеки. Це можна зробити
задавши параметри опцій ‘ctl_incl‘ та ‘ctl_excl‘ у секції [pac] файлу конфігурації esets.
cfg. Після внесення змін до файлу esets.cfg, при перезавантаженні процесу ESETS
відбудеться перечитування нової конфігурації.
... Поради
Для активації сканування за доступом відразу ж після запуску файлової
системи, потрібно задати змінну ‘LD_PRELOAD‘ у відповідному скрипті ініціалізації
файлового сервера у мережі.
ПРИКЛАД: Припустимо, що нам потрібно провести моніторинг усіх подій доступу
одразу ж після запуску серверу Samba. Тоді у скрипті ініціалізації процесу Samba
(/etc/init.d/smb) ми замінемо наступний код:
daemon /usr/sbin/smbd $SMBDOPTIONS
наступною стрічкою, яка відповідає за ініціалізацію процесу smbd:
LD_PRELOAD=/path/to/libesets_pac.so daemon /usr/sbin/smbd
$SMBDOPTIONS
Таким чином, вибраний об’єкт файлової системи, який контролює Samba, буде
скановано при запуску системи.
ESET File Security
Розділ 6:
Важливі механізми
ESET File Security
.. Політика обробки об’єктів (Handle Object Policy)
Політика обробки об’єктів (дивитись рисунок 6-1) – це механізм, що забезпечує
фільтрацію сканованих об’єктів відповідно до їх статусу. Ця функціональність
основана на опціях настройки дій: ‘action_av‘, ‘action_av_infected‘, ‘action_av_
notscanned‘, ‘action_av_deleted‘. Щоб отримати детальнішу інформацію про ці опції,
продивіться на сторінку довідки (man page) esets.cfg(5).
Рисунок 6. Схема механізмів політики обробки об’єктами.
action_av
accept
action_av_infected
action _av_notscanned
action_av_deleted
accept
object accepted
При проведенні операцій над об’єктом спочатку виконуються дії, відповідно до
настройок опції ‘action_av‘. Якщо значення цієї опції ‘accept‘ (відповідно або ‘defer‘,
‘discard‘, ‘reject‘) об’єкт приймається (відповідно або відкладається, відкладається,
відкида-ється). Якщо значення опції настроєне на ‘scan‘, об’єкт сканується на
наявність вірусних інфільтрації, а якщо значення опції ‘av_clean_mode‘ настроєне на
‘yes’, то при скануванні об’єкт очищається. У придачу, перед подальшими діями з
об’єктом ураховуються значення опцій ‘action_av_infected‘, ‘action_av_notscanned‘ та
‘action_av_deleted‘. Якщо дія ‘accept‘ прийнята, як результат цих трьох опцій, об’єкт
приймається. У іншому випадку об’єкт блокується.
defer, discard, rejectscan
defer, discard, reject
object not accepted
object not accepted
6.. Настройки користувача (User Specific Configuration)
Ціль механізму Настройки користувача – забезпечити най вищий рівень
функціональності та настройки конфігурації відповідно до потреб користувача.
Що дозволяє системному адміністратору настроїти параметри антивірусного
сканування ESETS відповідно до користувачів, які намагаються отримати доступ до
об’єктів файлової системи.
Більш детальну інформацію про цю функцію Ви можете знайти на сторінці
довідки (man pages) esets.cfg(5). У цьому розділі будуть описані лише малі приклади
конфігурації, настроєної для певного кола користувачів.
У наступному прикладі, основною метою було використання модуля esets_dac для
контролю подій доступу ON_OPEN та ON_EXEC до зовнішнього диску, завантаженого
розділ 6 Важливі механізми ESET File Security
у директорію ”/home”. Модуль настроюється у секції [dac] файлу конфігурації ESETS:
[dac]
agent_enabled = yes
event_mask = ”open”
ctl_incl = ”/home”
action_av = ”scan”
Щоб задати настройки сканування індивідуально для певного користувача,
потрібно настроїти параметр ‘user_cong’ – задати шлях та ім’я файлу конфігурації,
де будуть збережені настройки. В наступному прикладі файл конфігурації має ім’я
‘esets_dac_spec.cfg’ і збережений у директорії конфігурації ESETS (Де знаходитиметься
ця директорія, залежить від операційної системи, яку ви використовуєте. Будь-
ласка продивіться сторінку 6 довідки (man pages)).
[dac]
agent_enabled = yes
event_mask = ”open”
ctl_incl = ”/home”
action_av = ”scan”
user_cong = ”esets_dac_spec.cfg”
Як тільки параметр файлу ‘user_cong’ у секції [dac] буде настроєно, файл
‘esets_dac_spec.cfg’ повинен бути створеним у директорії конфігурації ESETS. Потім
додайте потрібні параметри сканування.
[username]
action_av = ”reject”
Зверху в спеціальній секції введіть ім’я користувача, якому призначена
індивідуальна конфігурація. При цьому спроби доступу до файлової системи усіх
інших користувачів будуть оброблятись як звичайно . Наприклад, при спробі доступу
до об’єктів файлової системи усіма користувачами буде виконане сканування
об’єкта, окрім користувача ‘username’, чию спробу доступу буде заблоковано.
.. Система обробки зразків (Samples Submission System)
Система обробки зразків реалізована за допомогою інтелектуальної технології
ThreatSense.NET, яка збирає інфіковані об’єкти, виявлені за допомогою евристичного
аналізу, і відправляє їх на сервер системи обробки зразків ESET. Усі зразки вірусів
зібрані Системою обробки зразків будуть проаналізовані у вірусній лабораторії
ESET і, при потребі, будуть внесені у базу данних вірусних сигнатур ESET.
ЗВЕРНІТЬ УВАГУ: ВІДПОВІДНО ДО НАШОЇ ЛІЦЕНЗІЙНОЇ УГОДИ, ПРИ УВІМКНЕННІ
СИСТЕМИ ОБРОБКИ ЗРАЗКІВ ВИ ПОГОДЖУЄТЕСЬ НА ТЕ, ЩО КОМП’ЮТЕР
ТА\АБО ПЛАТФОРМА, НА ЯКІЙ ІНСТАЛЬОВАНО ESETS_DAEMON, МОЖЕ
ЗБИРАТИ ДАННІ (ЯКІ МОЖУТЬ ВКЛЮЧАТИ ПЕРСОНАЛЬНУ ІНФОРМАЦІЮ
ПРО ВАС ТА\АБО КОРИСТУВАЧА КОМП’ЮТЕРА) ТА ЗРАЗКИ НЕЩОДАВНО
ВИЯВЛЕНИХ ВІРУСІВ, АБО ІНШИХ ЗАГРОЗ ТА ВІДСИЛАТИ ЇХ У НАШІ
ВІРУСНІ ЛАБОРАТОРІЇ. УСЯ ЗІБРАНА ІНФОРМАЦІЯ БУДЕ ВИКОРИСТАНА
ESET File Security
ЛИШЕ ДЛЯ АНАЛІЗУ НОВИХ ЗАГРОЗ І НЕ БУДЕ ВИКОРИСТОВУВАТИСЬ У
ІНШИХ ЦІЛЯХ. ЗА ЗАМОВЧУВАННЯМ, ЦЯ ФУНКЦІЯ ВИМКНЕНА.
Щоб активувати Систему обробки зразків, спочатку треба ініціювати
кешування. Це можна зробити увімкнувши опцію ‘samples_enabled’ секції [global] у
файлі конфігурації ESETS. Щоб увімкнути відправлення зразків до серверів вірусних
лабораторій ESET, у тій же секції задайте параметр ‘samples_send_period’.
У додаток, користувач може забезпечити команду дослідників вірусних
лабораторій ESET інформацією опцій ‘user_mail’ та \ або ‘user_country’. Ця інформація
надасть команді ESET загальні данні про інфільтрацію, яка, можливо, поширюється
через Інтернет.
Більш детальну інформацію про Систему обробки зразків можна знайти на
сторінці esets_daemon() довідки (man pages).
.. Веб-Інтерфейс
Веб-інтерфейс забезпечує легкі у користуванні настройку конфігурації,
адміністрування та управління ліцензією Систем безпеки ESET.
Цей модуль являється окремим агентом і потребує детальної настройки. Щоб
швидко настроїти веб-інтерфейс задайте наступні опції файлу конфігурації ESETS, а
потім перезапустіть процес ESETS:
[wwwi]
agent_enabled = yes
listen_addr = адреса
listen_port = порт
username = ім’я користувача
password = пароль
Введіть свої власні параметри замість тих, що надруковано курсивним
шрифтом, та настройте свій браузер на ’https://адреса: порт’ (зверніть увагу на https).
Увійдіть у систему за допомогою ’ім’я користувача/пароль’. Основні пояснення про
користування можна знайти на сторінці help, а технічні деталі esets_wwwi можна
знайти на сторінці esets_wwwi(1) довідки (man pages).
.. Віддалена настройка
ESETS підтримує ESET Remote Administration для управління безпекою
файлових систем у великих комп’ютерних мережах. Більш детальну інформацію
можна знайти у Посібнику користувача ESET Remote Administrator, який можна
знайти на нашому веб-сайті:
http://eset.com.ua/download/manual
ESETS Remote Administration Client є частиною процесу ESETS. Для настройки
системи задайте адресу вашого сервера ERA у параметрі ‘racl_server_addr‘ секції
[global] файлу конфігурації ESETS. Якщо встановлено пароль консолі ERA, то
розділ 6 Важливі механізми ESET File Security
потрібно задати відповідний параметр ‘racl_password‘. Всі змінні ERA Client описані
на сторінка довідки (man pages) про esets_daemon().
Unix ESETS ERA Client виконує наступні функції:
• Взаємодія з сервером ERA та надання данних про Інформацію Системи
(System Information), Конфігурацію (Conguration), Стан Захисту
(Protection Status) та Функціональність (Features).
• Забезпечення відображення\настройки Конфігурації за допомогою
Редактора Конфігурацій ESET (Conguration Editor) та її використання у
Задача Конфігурації (Conguration Task).
• Виконання сканування за вимогою та Задачі Негайного Оновлення
(Update Now Tasks) відповідно до запиту та відправка Журнал Сканування
(Scan Logs) до сервера ERA.
• Відправка повідомленнь про сканування, виконані процесом ESETS, до
Журналу Загроз (Threat Log).
• Відправка всіх неопрацьованих повідомлень до Журналу Подій (Event
Log).
Наступні функції не підтримуються:
• Ведення Журналу Брандмауера
• Віддалена Інсталяція
ESET File Security
Розділ 7:
Оновлення системи
ESET File Security
.. Утиліта оновлення ESETS
Щоб забезпечити ефективність ESET File Security, необхідно використовувати
найостанніші оновлення бази данних вірусних сигнатур. Спеціально для цього була
розроблена утиліта esets_update (Більш детальну інформацію про esets_update(8)
Ви можете отримати на сторінці довідки (man pages)). Щоб запустити оновлення,
потрібно настроїти опції ‘av_update_username‘ та ‘av_update_password‘ у секції
[global] файлу конфігурації ESETS. Варто зауважити, що якщо Ви підключаєтесь до
Інтернет через HTTP проксі-сервер, то потрібно настроїти додаткові опції ‘proxy_
addr‘, ‘proxy_port‘ і при потребі ‘proxy_username‘ та ‘proxy_password‘. Для запуску
оновлення введіть наступну команду:
@SBINDIR@/esets_update
Для забезпечення найвищого захисту клієнтів, команда ESET постійно збирає
екземпляри нових загроз по всьому світу – зразки нових вірусів можуть з’явитись у базі
данних вірусних сигнатур за дуже малий проміжок часу. Саме тому рекомендується
виконувати оновлення регулярно. Для визначення частоти оновлення, потрібно
настроїти опцію ‘av_update_period‘ секції [global] у файлі конфігурації ESETS. Для
успішного оновлення бази данних вірусних сигнатур, процес ESETS повинен бути
у робочому стані.
. . Опис процесу оновлення ESETS
Процес оновлення складається з двох кроків: перший, попередньо
скомпільовані модулі оновлення завантажуються з сервера ESET. Якщо у секції
[global] файлу конфігурації ESETS задана опція ‘av_mirror_enabled‘, копії модулів
оновлення створюються у наступній директорії (директорії “Дзеркала“):
@BASEDIR@/mirror
При потребі, шлях папки “Дзеркала” можна змінити за допомогою опції
‘av_mirror_dir‘ секції [update] у файлі конфігурації ESETS. Створене «Дзеркало»
буде працювати як повнофункціональний сервер оновлення, який можна
використовувати для створення нижчих (дочірніх) «Дзеркал». Однак, для цього
необхідне виконання наступних умов: по-перше, на нижчому комп’ютері, звідки
завантажуватимуться модулі, повинен бути інстальований HTTP сервер. По-
друге, щоб модулі оновлення могли завантажити інші комп’ютери, вони повинні
знаходитись у наступній директорії:
/http-serv-base-path/eset_upd
де ‘http-serv-base-path‘ головна директорія сервера HTTP – спочатку утиліта
оновлення шукатиме модулі саме тут.
Другий крок процесу оновлення – компіляція модулів, які завантажує сканер
ESET File Security із тих, що зберігаються у «Дзеркалі». Зазвичай створюються
наступні модулі ESETS: модуль загрузки (em.dat), модуль сканування (em.
dat), модуль бази данних вірусних сигнатур (em.dat), модуль обробки архівів
(em003.dat), модуль розширеної евристики (em.dat) тощо. Модулі створюються
ESET File Security
у наступній директорії:
@BASEDIR@
Зверніть увагу, що це директорія, з якої процес ESETS завантажує модулі, а отже
її можна змінити у параметрі ‘base_dir‘ секції [global] файлу конфігурації ESETS.
розділ 7 Оновлення системи ESET Security
Розділ 8:
Підтримка
Шановний користувач, ми сподіваємося, що даний посібник забезпечив
вичерпне розуміння системних вимог для інсталяції, настройки та управління
ESET File Security. Однак, нашою ціллю є постійне покращення якості та ефективності
документації продуктів. Тому, якщо Ви вважаєте, що якийсь розділ даного посібника
незрозумілий або не повний, будь-ласка сповістіть наш центр підтримки клієнтів:
http://www.eset.com.ua/support (або пишіть на support@eset.com.ua)
Ми надамо Вам найвищий рівень підтримки та допоможемо, якщо у Вас
виникнуть якісь проблеми стосовно даного продукту.
розділ 8 Оповіщення
Доповнення A. Ліцензія PHP
Ліцензія PHP, версія . Права (с) PHP Group. Всі права захищено.
Розповсюдження та використання оригіналу коду або бінарних файлів з або без
модифікацій дозволено, якщо наступні умови виконані:
. При розповсюдженні оригіналу коду повинні бути вказані: ліцензійні
права, написані зверху, даний список умов та відмова від прав, знизу.
. При розповсюдженні бінарних файлів, у документації та\або у інших
матеріалах, які надаються разом з розповсюджуваним продуктом повинні
міститись ліцензійні права, написані зверху, даний список умов та відмова
від прав, знизу.
. Ім’я «PHP» не повинно використовуватись для надпису на дистрибутиві
або для реклами продукту, розробленого на основі даного продукту, без
попереднього письмового дозволу. Для отримання дозволу пишіть на
електронну пошту group@php.net.
. Продукти, розроблені на основі даного продукту не можуть називатись
«PHP», а також не можуть використовувати у своїй назві ім’я «PHP» без
попереднього письмового дозволу від group@php.net. Ви можете зазначити
що ваш продукт сумісний з PHP наступною стрічкою «Foo for PHP» замість
«PHP Foo» або «phpfoo».
. PHP Group час від часу може публікувати виправлені або\та нові версії
ліцензійної угоди. Кожній ліцензії надаватиметься ідентифікаційний номер.
Тільки-но код продукту опубліковано з указанням певної версії ліцензії,
його можна використовувати і надалі відповідно до положень цієї версії або
відповідно до положень будь-якої наступної версії ліцензії, опублікованої
PHP Group. Ні хто окрім PHP Group не має прав змінювати положення ліцензії,
відповідно до якої опубліковано продукт.
. При розповсюдженні продукту у будь-якій формі, дистрибутив повинен
мати наступну примітку: «This product includes PHP software, freely available
from <http://www.php.net/software/>».
ДАНИЙ ПРОДУКТ НАДАНИЙ КОМАНДОЮ РОЗРОБНИКІВ PHP «AS IS», ЯКІ
ВІДМОВ-ЛЯЮТЬСЯ ВІД БУДЬ-ЯКИХ ЗАЗНАЧЕНИХ АБО ВИПЛИВАЮЧИХ ЯК НАСЛІДОК
ГАРАНТІЙ, ВКЛЮЧАЮЧИ ГАРАНТІЇ ПРИДАТНОСТІ ДЛЯ ПРОДАЖІ ТА ПРИДАТНОСТІ
ДЛЯ СПЕЦИФІЧНИХ ЦІЛЕЙ. КОМАНДА РОЗРОБНИКІВ PHP ТА ЇХ СПОНСОРИ НЕ
НЕСУТЬ ВІДПОВІДАЛЬНІСТЬ ЗА БУДЬ-ЯКИЙ СПРИЧИНЕНИЙ ПРЯМИЙ, НЕПРЯМИЙ,
ВИПАДКОВИЙ, НАВМИСНИЙ ЗБИТОК, А ТАКОЖ ЗБИТОК, СПРИЧИНЕНИЙ ЯК
НАСЛІДОК (ВКЛЮЧАЮЧИ ПРИДБАННЯ ЗАМІНЕНИХ ТОВАРІВ АБО ПОСЛУГ; ВТРАТА
ПРАЦЕЗДАТНОСТІ, ДАННИХ АБО КОРИСНОСТІ ПРОДУКТУ; ПРИПИНЕННЯ ВЕДЕННЯ
БІЗНЕСУ), А ТАКОЖ НЕ ЗОБОВЯЗУЄТЬСЯ НА ГРОМАДСЬКІ, ПРЯМІ ТА ЗАЗНАЧЕНІ
У КОНТРАКТІ ОБОВЯЗКИ (ВКЛЮЧАЮЧИ НЕДБАЛІСТЬ ТА ІНШЕ), ЩО У БУДЬ-ЯКІЙ
ФОРМІ ВИПЛИВАЮТЬ З КОРИСТУВАННЯ ДАННИМ ПРОГРАМНИМ ПРОДУКТОМ,
НАВІТЬ ПРИ ОГОВОРЕННІ МОЖЛИВОСТІ ПОДІБНОГО ЗБИТКУ.
Loading...