Installazione

Questa sezione descrive l'installazione di Kaspersky Security Center Linux e Kaspersky Security Center Web Console.

Scenario di installazione principale

Tramite questo scenario è possibile installare Kaspersky Security Center Linux Administration Server e Kaspersky Security Center Web Console, eseguire la configurazione iniziale di Administration Server tramite l'avvio rapido guidato e installare le applicazioni Kaspersky nei dispositivi gestiti utilizzando la Distribuzione guidata della protezione.

Prerequisiti

È necessario disporre di una chiave di licenza (codice di attivazione) per Kaspersky Endpoint Security for Business o di chiavi di licenza (codici di attivazione) per le applicazioni di protezione Kaspersky.

Se si desidera provare prima Kaspersky Security Center Linux, è possibile ottenere una prova gratuita di 30 giorni nel sito Web di Kaspersky.

Passaggi

Lo scenario di installazione principale procede per fasi:

1. Selezione di una struttura per la protezione di un'organizzazione

   Ulteriori informazioni sui componenti di Kaspersky Security Center Linux. In base alla configurazione di rete e al throughput dei canali di comunicazione, definire il numero di Administration Server da utilizzare e come devono essere distribuiti tra le varie sedi (se si esegue una rete distribuita).

   Definire se utilizzare o meno una gerarchia di Administration Server nell'organizzazione. A tale scopo, è necessario valutare se è possibile e conveniente coprire tutti i dispositivi client con un singolo Administration Server o se è necessario creare una gerarchia di Administration Server. Può inoltre essere necessario creare una gerarchia di Administration Server che corrisponda perfettamente alla struttura organizzativa dell'organizzazione per cui si desidera proteggere la rete.

2. Preparazione per l'utilizzo dei certificati personalizzati

   Se l'infrastruttura a chiave pubblica (PKI) dell'organizzazione richiede l'utilizzo di certificati personalizzati emessi da un'autorità di certificazione specifica, preparare tali certificati e assicurarsi che soddisfino tutti i requisiti.

3. Installazione di un sistema di gestione database (DBMS)

   Installare il DBMS che verrà utilizzato da Kaspersky Security Center Linux o utilizzarne uno esistente.

   È possibile scegliere uno dei DBMS supportati.

   Per informazioni su come installare il DBMS selezionato, consultare la relativa documentazione.

   Se si decide di installare il DBMS di PostgreSQL o Postgres Pro, assicurarsi di aver specificato una password per il l'utente con privilegi avanzati. Se la password non viene specificata, Administration Server potrebbe non essere in grado di connettersi al database.

   Se si installa MariaDB, PostgreSQL o Postgres Pro, utilizzare le impostazioni consigliate per garantire il corretto funzionamento del DBMS.

4. Configurazione delle porte

   Verificare che tutte le porte necessarie siano aperte per l'interazione tra i componenti in base della struttura di protezione selezionata.

   Se è necessario concedere ad Administration Server l'accesso a Internet, configurare le porte e specificare le impostazioni di connessione, a seconda della configurazione di rete.

5. Installazione di Kaspersky Security Center Linux

   Selezionare un dispositivo Linux che si intende utilizzare come Administration Server, assicurarsi che il dispositivo soddisfi i requisiti software e hardware, quindi installare Kaspersky Security Center Linux nel dispositivo. La versione server di Network Agent è installata automaticamente insieme ad Administration Server.

6. Installazione di Kaspersky Security Center Web Console e dei plug-in Web di gestione

   Selezionare un dispositivo Linux che si intende utilizzare come workstation dell'amministratore, assicurarsi che il dispositivo soddisfi i requisiti software e hardware, quindi installare Kaspersky Security Center Web Console nel dispositivo. È possibile installare Kaspersky Security Center Web Console nello stesso dispositivo in cui è installato Administration Server o in un altro dispositivo.

   Scaricare il plug-in Web di gestione di Kaspersky Endpoint Security for Linux e installarlo nello stesso dispositivo in cui è installato Kaspersky Security Center Web Console.

7. Installazione di Kaspersky Endpoint Security for Linux e Network Agent nel dispositivo Administration Server

   Per impostazione predefinita, l'applicazione non considera il dispositivo Administration Server come dispositivo gestito. Per proteggere Administration Server da virus e altre minacce, nonché per gestire il dispositivo come qualsiasi altro dispositivo gestito, è consigliabile installare Kaspersky Endpoint Security for Linux e Network Agent per Linux nel dispositivo Administration Server. In questo caso, Network Agent per Linux è installato e funziona indipendentemente dalla versione server di Network Agent installata insieme ad Administration Server.

8. Esecuzione della configurazione iniziale

   Quando l'installazione di Administration Server è completa, alla prima connessione ad Administration Server viene avviato automaticamente l'Avvio rapido guidato. Eseguire la configurazione iniziale di Administration Server in base ai requisiti esistenti. Durante la fase di configurazione iniziale, la procedura guidata utilizza le impostazioni predefinite per creare i criteri e le attività necessari per la distribuzione della protezione. Le impostazioni predefinite potrebbero tuttavia non essere ottimali per le esigenze dell'organizzazione. Se necessario, è possibile modificare le impostazioni dei criteri e delle attività.

9. Individuazione dei dispositivi nella rete

   Individuare i dispositivi manualmente. Kaspersky Security Center Linux riceve gli indirizzi e i nomi di tutti i dispositivi rilevati nella rete. È quindi possibile utilizzare Kaspersky Security Center Linux per installare le applicazioni Kaspersky e software di altri produttori nei dispositivi rilevati. Kaspersky Security Center Linux avvia periodicamente la device discovery, pertanto eventuali nuove istanze che compaiono nella rete verranno rilevate automaticamente.

10. Organizzazione dei dispositivi in gruppi di amministrazione

    In alcuni casi, la distribuzione della protezione nei dispositivi della rete nel modo più immediato può richiedere la suddivisione dell'intero pool di dispositivi in gruppi di amministrazione, tenendo conto della struttura dell'organizzazione. È possibile creare regole di spostamento al fine di distribuire i dispositivi tra i gruppi oppure distribuire manualmente i dispositivi. È possibile assegnare attività di gruppo per i gruppi di amministrazione, definire l'ambito dei criteri e assegnare i punti di distribuzione.

    Verificare che tutti i dispositivi gestiti siano stati assegnati correttamente ai gruppi di amministrazione appropriati e che non siano più presenti dispositivi non assegnati nella rete.

11. Assegnazione dei punti di distribuzione

    I punti di distribuzione vengono assegnati automaticamente ai gruppi di amministrazione ma è possibile assegnarli manualmente, se necessario. È consigliabile utilizzare i punti di distribuzione nelle reti su vasta scala per ridurre il carico su Administration Server e nelle reti con una struttura distribuita per consentire ad Administration Server di accedere ai dispositivi (o ai gruppi di dispositivi) tramite canali a basso throughput.

12. Installazione di Network Agent e di applicazioni di protezione nei dispositivi in rete

    La distribuzione della protezione in una rete aziendale implica l'installazione di Network Agent e delle applicazioni di protezione nei dispositivi rilevati da Administration Server durante la device discovery.

    Per installare le applicazioni in remoto, eseguire la Distribuzione guidata della protezione.

    Le applicazioni di protezione proteggono i dispositivi da virus e da altri programmi che costituiscono una minaccia. Network Agent garantisce la comunicazione tra il dispositivo e Administration Server. Le impostazioni di Network Agent vengono configurate automaticamente per impostazione predefinita.

    Prima di iniziare a installare Network Agent e le applicazioni di protezione nei dispositivi nella rete, verificare che questi dispositivi siano accessibili (attivati).

13. Distribuzione delle chiavi di licenza ai dispositivi client

    Distribuire le chiavi di licenza ai dispositivi client per attivare applicazioni di protezione gestite in tali dispositivi.

14. Configurazione dei criteri delle applicazioni Kaspersky

    Per applicare differenti impostazioni dell'applicazione ai diversi dispositivi, è possibile utilizzare la gestione della protezione incentrata sui dispositivi e/o la gestione della protezione incentrata sugli utenti. La gestione della protezione incentrata sui dispositivi può essere implementata utilizzando criteri e attività. È possibile applicare le attività solo ai dispositivi che soddisfano condizioni specifiche. Per impostare le condizioni per il filtro dei dispositivi, utilizzare le selezioni dispositivi e i tag.

15. Monitoraggio dello stato della protezione della rete

    È possibile monitorare la rete utilizzando i widget nel dashboard, generare rapporti dalle applicazioni Kaspersky, configurare e visualizzare selezioni degli eventi ricevuti dalle applicazioni nei dispositivi gestiti e visualizzare elenchi di notifiche.

Configurazione del server MariaDB x64 per l'utilizzo con Kaspersky Security Center Linux

Impostazioni consigliate per il file my.cnf

Per maggiori dettagli sulla configurazione del DBMS, fare riferimento anche alla procedura di configurazione dell'account. Per informazioni sull'installazione del DBMS, fare riferimento alla procedura di installazione del DBMS.

Per configurare il file my.cnf:

1. Aprire il file my.cnf in un editor di testo.
2. Immettere le seguenti righe nella sezione [mysqld] del file my.cnf:

   sort_buffer_size=10M

   join_buffer_size=100M

   join_buffer_space_limit=300M

   join_cache_level=8

   tmp_table_size=512M

   max_heap_table_size=512M

   key_buffer_size=200M

   innodb_buffer_pool_size=<valore>

   innodb_thread_concurrency=20

   innodb_flush_log_at_trx_commit=0

   innodb_lock_wait_timeout=300

   max_allowed_packet=32M

   max_connections=151

   max_prepared_stmt_count=12800

   table_open_cache=60000

   table_open_cache_instances=4

   table_definition_cache=60000

   Il valore di "innodb_buffer_pool_size non deve essere inferiore all'80% della dimensione del database KAV prevista. Si noti che la memoria specificata viene allocata all'avvio del server. Se la dimensione del database è inferiore alla dimensione del buffer specificata, viene allocata solo la memoria richiesta. Se si utilizza MariaDB 10.4.3 o versione precedente, la dimensione effettiva della memoria allocata è di circa il 10% maggiore rispetto alla dimensione del buffer specificata.

   È consigliabile utilizzare il valore del parametro innodb_flush_log_at_trx_commit=0, perché i valori "1" o "2" influiscono negativamente sulla velocità di esecuzione di MariaDB. Assicurarsi che il parametro innodb_file_per_table sia impostato su 1.

   Per MariaDB 10.6, immettere inoltre le seguenti righe nella sezione [mysqld]:

   optimizer_prune_level=0

   optimizer_search_depth=8

Per impostazione predefinita, i componenti aggiuntivi dell'ottimizzatore join_cache_incremental, join_cache_hashed e join_cache_bka sono abilitati. Se questi componenti aggiuntivi non sono abilitati, è necessario abilitarli.

Per verificare se i componenti aggiuntivi dell'ottimizzatore sono abilitati:

1. Nella console del client MariaDB eseguire il comando:

   SELECT @@optimizer_switch;

2. Verificare che l'output del comando contenga le seguenti righe:

   join_cache_incremental=on

   join_cache_hashed=on

   join_cache_bka=on

   Se queste righe sono presenti e hanno i valori on, i componenti aggiuntivi dell'ottimizzatore sono abilitati.

   Se queste righe non sono presenti o hanno i valori off, è necessario eseguire le seguenti operazioni:

   1. Aprire il file my.cnf in un editor di testo.
   2. Aggiungere le seguenti righe nel file my.cnf:

      optimizer_switch='join_cache_incremental=on'

      optimizer_switch='join_cache_hashed=on'

      optimizer_switch='join_cache_bka=on'

I componenti aggiuntivi join_cache_incremental, join_cache_hash e join_cache_bka vengono abilitati.

Configurazione del server MySQL x64 per l'utilizzo con Kaspersky Security Center Linux

Se si utilizza il server MySQL per Kaspersky Security Center, abilitare il supporto per InnoDB e l'archiviazione MEMORY, nonché per le codifiche UTF-8 e UCS-2.

Impostazioni consigliate per il file my.cnf

Per maggiori dettagli sulla configurazione del DBMS, fare riferimento anche alla procedura di configurazione dell'account. Per informazioni sull'installazione del DBMS, fare riferimento alla procedura di installazione del DBMS.

Per configurare il file my.cnf:

1. Aprire il file my.cnf in un editor di testo.
2. Aggiungere le seguenti righe nella sezione [mysqld] del file my.cnf:

   sort_buffer_size=10M

   join_buffer_size=20M

   tmp_table_size=600M

   max_heap_table_size=600M

   key_buffer_size=200M

   innodb_buffer_pool_size=il valore reale non deve essere inferiore all'80% delle dimensioni previste del database KAV

   innodb_thread_concurrency=20

   innodb_flush_log_at_trx_commit=0 (nella maggior parte dei casi il server utilizza piccole transazioni)

   innodb_lock_wait_timeout=300

   max_allowed_packet=32M

   max_connections=151

   max_prepared_stmt_count=12800

   table_open_cache=60000

   table_open_cache_instances=4

   table_definition_cache=60000

   Si noti che la memoria specificata nel valore innodb_buffer_pool_size viene allocato all'avvio del server. Se la dimensione del database è inferiore alla dimensione del buffer specificata, viene allocata solo la memoria richiesta. La dimensione effettiva della memoria allocata è di circa il 10% maggiore rispetto alla dimensione del buffer specificata. Per ulteriori dettagli, consultare la documentazione di MySQL.

   È consigliabile utilizzare il valore del parametro innodb_flush_log_at_trx_commit = 0, perché i valori "1" o "2" influiscono negativamente sulla velocità di esecuzione di MySQL. Assicurarsi che il parametro innodb_file_per_table sia impostato su 1.

Configurazione del server PostgreSQL o Postgres per l’utilizzo con Kaspersky Security Center Linux

Kaspersky Security Center Linux supporta i DBMS PostgreSQL e Postgres Pro. Se si utilizza uno di questi DBMS, prendere in considerazione la configurazione dei parametri del server DBMS per ottimizzare il funzionamento del DBMS con Kaspersky Security Center Linux.

Il percorso predefinito del file di configurazione è: /etc/postgresql/<VERSION>/main/postgresql.conf

Parametri consigliati per PostgreSQL e Postgres Pro:

• shared_buffers = 25% del valore della RAM del dispositivo in cui è installato il DBMS

  Se la RAM è inferiore a 1 GB, lasciare il valore predefinito.

• max_stack_depth = dimensione massima dello stack (eseguire il comando 'ulimit -s' per ottenere questo valore in KB) meno il margine di sicurezza di 1 MB
• temp_buffers = 24MB
• work_mem = 16MB
• max_connections = 151
• max_parallel_workers_per_gather = 0
• maintenance_work_mem = 128MB

Assicurarsi che il parametro standard_conforming_strings sia impostato sul valore predefinito on. Ricaricare la configurazione o riavviare il server dopo aver aggiornato il file postgresql.conf. Per ulteriori dettagli, consultare la documentazione di PostgreSQL.

Per informazioni dettagliate sui parametri dei server PostgreSQL e Postgres Pro e su come specificarli, fare riferimento alla documentazione del DBMS corrispondente.

Per ulteriori dettagli sulla creazione e la configurazione degli account per PostgreSQL e Postgres Pro, consultare il seguente argomento: Configurazione degli account per l'utilizzo di PostgreSQL e Postgres Pro.

Installazione di Kaspersky Security Center Linux

Questa procedura descrive come installare Kaspersky Security Center Linux.

Prima dell'installazione:

• Installare un DBMS.
• Verificare che il dispositivo in cui si desidera installare Kaspersky Security Center Linux esegua una delle distribuzioni Linux supportate.
• Assicurarsi che il server DNS sia disponibile nella rete.

Usare il file di installazione—ksc64_[numero_versione]_amd64.deb or ksc64-[numero_versione].x86_64.rpm—che corrisponde alla distribuzione Linux installata nel dispositivo. È possibile ottenere il file di installazione scaricandolo dal sito Web di Kaspersky.

Per installare Kaspersky Security Center Linux, eseguire i comandi forniti nelle istruzioni seguenti con un account con privilegi di root.

Per installare Kaspersky Security Center Linux:

1. Se il dispositivo funziona con Astra Linux 1.8 o versione successiva, eseguire le azioni descritte in questo passaggio. Se il dispositivo viene eseguito su un sistema operativo diverso, procedere al passaggio successivo.
   1. Creare la directory /etc/systemd/system/kladminserver_srv.service.d e creare un file denominato override.conf con il seguente contenuto:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klserver -d from_wd

   2. Creare una directory /etc/systemd/system/klwebsrv_srv.service.d e creare un file denominato override.conf con il seguente contenuto:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klcsweb -d from_wd

2. Creare un gruppo "kladmins" e un account "ksc" senza privilegi. L'account deve essere un membro del gruppo "kladmins". A tale scopo, eseguire in sequenza i seguenti comandi:

   # adduser ksc

   # groupadd kladmins

   # gpasswd -a ksc kladmins

   # usermod -g kladmins ksc

3. Eseguire l’installazione di Kaspersky Security Center Linux. A seconda della distribuzione Linux, eseguire uno dei seguenti comandi:
   • # apt install /<percorso>/ksc64_[numero_versione]_amd64.deb
   • # yum install /<percorso>/ksc64-[numero_versione].x86_64.rpm -y
4. Eseguire la configurazione di Kaspersky Security Center Linux:

   # /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

5. Leggere il Contratto di licenza con l'utente finale (EULA) e l'Informativa sulla privacy. Il testo viene visualizzato nella finestra della riga di comando. Premere la barra spaziatrice per visualizzare il segmento di testo successivo. Quando richiesto inserire i seguenti valori:
   1. Immettere y se i termini del Contratto di licenza con l'utente finale sono stati compresi e accettati. Immettere n se non si accettano i termini del Contratto di licenza con l'utente finale. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini del Contratto di licenza con l'utente finale.
   2. Immettere y se i termini dell'Informativa sulla privacy sono stati compresi e accettati e se si accetta che i propri dati vengano gestiti e trasmessi (anche a paesi terzi) come descritto nell'Informativa sulla privacy. Immettere n se non si accettano i termini dell'Informativa sulla privacy. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini dell'Informativa sulla privacy.
6. Quando richiesto, immettere le seguenti impostazioni:
   1. Immettere il nome DNS di Administration Server o l'indirizzo IP statico. Tale indirizzo verrà utilizzato da altri dispositivi per la connessione all'Administration Server.
   2. Immettere il numero di porta SSL di Administration Server. Per impostazione predefinita, viene utilizzata la porta 13000.
   3. Valutare il numero approssimativo di dispositivi che si intende gestire:
      • Se nella rete sono presenti da 1 a 100 dispositivi, immettere 1.
      • Se nella rete sono presenti da 101 a 1000 dispositivi, immettere 2.
      • Se nella rete sono presenti più di 1000 dispositivi, immettere 3.
   4. Immettere il nome del gruppo di protezione per i servizi. Per impostazione predefinita, viene utilizzato il gruppo "kladmins".
   5. Immettere il nome dell'account per avviare il servizio Administration Server. L'account deve essere un membro del gruppo di protezione inserito. Per impostazione predefinita, viene utilizzato l'account "ksc".
   6. Immettere il nome dell'account per avviare altri servizi. L'account deve essere un membro del gruppo di protezione inserito. Per impostazione predefinita, viene utilizzato l'account "ksc".
   7. Selezionare il DBMS installato per l'utilizzo con Kaspersky Security Center Linux:
      • Se è stato installato MySQL o MariaDB, immettere 1.
      • Se è stato installato PostgreSQL o Postgres Pro, immettere 2.
   8. Immettere il nome DNS o l'indirizzo IP del dispositivo in cui è installato il database. 127.0.0.1 per impostazione predefinita per un'installazione DB locale.
   9. Immettere il numero di porta del database. Questa porta viene utilizzata per comunicare con Administration Server. Per impostazione predefinita, vengono utilizzate le seguenti porte:
      • Porta 3306 per MySQL o MariaDB
      • Porta 5432 per PostgreSQL o Postgres Pro
   10. Immettere il nome del database.
   11. Immettere il nome utente dell'account radice del database utilizzato per accedere al database.
   12. Immettere la password dell'account radice del database utilizzato per accedere al database.

       Attendere che i servizi vengano aggiunti e avviati automaticamente:

       • klnagent_srv
       • kladminserver_srv
       • klactprx_srv
       • klwebsrv_srv
   13. Creare un account che fungerà da amministratore di Administration Server. Immettere il nome utente e la password. È possibile utilizzare il seguente comando per creare un nuovo utente: /opt/kaspersky/ksc64/sbin/kladduser -n ksc -p <password>

       La password deve rispettare le seguenti regole:

       • La password utente non può contenere meno di 8 o più di 16 caratteri.
       • La password deve contenere caratteri da almeno tre dei gruppi elencati di seguito:
         • Lettere maiuscole (A-Z)
         • Lettere minuscole (a-z)
         • Numeri (0-9)
         • Caratteri speciali (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

Viene aggiunto l'utente e viene installato Kaspersky Security Center Linux.

Verifica del servizio

Utilizzare i seguenti comandi per verificare se un servizio è in esecuzione o meno:

• # systemctl status klnagent_srv.service
• # systemctl status kladminserver_srv.service
• # systemctl status klactprx_srv.service
• # systemctl status klwebsrv_srv.service

Installazione di Kaspersky Security Center Linux in modalità automatica

È possibile installare Kaspersky Security Center Linux nei dispositivi Linux utilizzando un file di risposte per eseguire un'installazione in modalità automatica, ovvero senza la partecipazione dell'utente. Il file di risposte contiene un set personalizzato di parametri di installazione: variabili e rispettivi valori.

Prima dell'installazione:

• Installare un sistema di gestione database (DBMS).
• Verificare che il dispositivo in cui si desidera installare Kaspersky Security Center Linux esegua una delle distribuzioni Linux supportate.

Per installare Kaspersky Security Center Linux in modalità automatica:

1. Leggere il Contratto di licenza con l'utente finale. Seguire i passaggi di seguito solo se sono stati compresi e accettati i termini del Contratto di licenza con l'utente finale.
2. Se il dispositivo funziona con Astra Linux 1.8 o versione successiva, eseguire le azioni descritte in questo passaggio. Se il dispositivo viene eseguito su un sistema operativo diverso, procedere al passaggio successivo.
   1. Creare la directory /etc/systemd/system/kladminserver_srv.service.d e creare un file denominato override.conf con il seguente contenuto:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klserver -d from_wd

   2. Creare una directory /etc/systemd/system/klwebsrv_srv.service.d e creare un file denominato override.conf con il seguente contenuto:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klcsweb -d from_wd

3. Creare un gruppo 'kladmins' e un account 'ksc' senza privilegi, che deve essere un membro del gruppo 'kladmins'. A tale scopo, eseguire in sequenza i seguenti comandi con un account con privilegi di root:

   # adduser ksc

   # groupadd kladmins

   # gpasswd -a ksc kladmins

   # usermod -g kladmins ksc

4. Creare il file di risposte (in formato TXT) e aggiungere un elenco di variabili nel formato VARIABLE_NAME=variable_value al file di risposte, ciascuna in una riga separata. Il file di risposte deve includere le variabili elencate nella tabella seguente.
5. Impostare il valore della variabile di ambiente KLAUTOANSWERS nell'ambiente root che contiene il nome completo del file di risposte (incluso il percorso), ad esempio con il seguente comando:

   export KLAUTOANSWERS=/tmp/ksc_install/answers.txt

6. Eseguire l'installazione di Kaspersky Security Center Linux in modalità automatica: a seconda della distribuzione Linux, eseguire uno dei seguenti comandi:
   • # apt install /<percorso>/ksc64_[numero_versione]_amd64.deb
   • # yum install /<percorso>/ksc64-[numero_versione].x86_64.rpm -y
7. Creare un utente per l'utilizzo di Kaspersky Security Center Web Console. A tale scopo, eseguire il seguente comando con un account con privilegi di root:

   /opt/kaspersky/ksc64/sbin/kladduser -n ksc -p <password>, dove la password deve contenere almeno 8 caratteri.

   Variabili del file di risposte utilizzate come parametri dell'installazione di Kaspersky Security Center Linux in modalità automatica

   Nome della variabile	Richiesto	Descrizione	Valori possibili
   EULA_ACCEPTED	Sì	Conferma che l'utente ha compreso e accettato i termini del Contratto di licenza con l'utente finale.	1
   PP_ACCEPTED	Sì	Conferma che l'utente ha compreso e accettato i termini dell'Informativa sulla privacy.	1
   KLSRV_UNATT_SERVERADDRESS	Sì	Il nome DNS o l'indirizzo IP statico di Administration Server.	Nome DNS o indirizzo IP
   KLSRV_UNATT_PORT_SRV	No	Il numero di porta di Administration Server. Facoltativamente, il valore predefinito è 14000.	Numero di porta
   KLSRV_UNATT_PORT_SRV_SSL	No	Il numero di porta SSL di Administration Server. Facoltativamente, il valore predefinito è 13000.	Numero di porta
   KLSRV_UNATT_PORT_KLOAPI	No	Il numero di porta KLOAPI di Administration Server. Facoltativamente, il valore predefinito è 13299.	Numero di porta
   KLSRV_UNATT_PORT_GUI	No	Il numero di porta GUI di Administration Server. Facoltativamente, il valore predefinito è 13291.	Numero di porta
   KLSRV_UNATT_NETRANGETYPE	No	Il numero approssimativo di dispositivi che si intende gestire. Facoltativamente, il valore predefinito è 1.	1 f1 per 1-100 dispositivi in rete. 2 per 101-1.000 dispositivi in rete. 3 per oltre 1.000 dispositivi in rete.
   KLSRV_UNATT_DBMS_INSTANCE	Sì	L'indirizzo IP del server di database.	Indirizzo IP
   KLSRV_UNATT_DBMS_PORT	Sì	La porta del server di database.	3306
   KLSRV_UNATT_DB_NAME	Sì	Il nome del database.	kav
   KLSRV_UNATT_DBMS_LOGIN	Sì	Il nome utente di un utente che ha accesso al database.
   KLSRV_UNATT_DBMS_PASSWORD	Sì	La password di un utente che ha accesso al database.
   KLSRV_UNATT_KLADMINSGROUP	Sì	Il nome del gruppo di protezione per i servizi.	kladmins
   KLSRV_UNATT_KLSRVUSER	Sì	Il nome dell'account per avviare il servizio Administration Server. L'account deve essere un membro del gruppo di sicurezza specificato nella variabile KLSRV_UNATT_KLADMINSGROUP.	ksc
   KLSRV_UNATT_KLSVCUSER	Sì	Il nome dell'account per avviare altri servizi. L'account deve essere un membro del gruppo di sicurezza specificato nella variabile KLSRV_UNATT_KLADMINSGROUP.	ksc
   Se Administration Server deve essere distribuito come cluster di failover Kaspersky Security Center Linux, il file di risposte deve includere le seguenti variabili aggiuntive:
   KLFOC_UNATT_NODE	Sì	Il numero del nodo (1 o 2).	1 o 2
   KLFOC_UNATT_STATE_SHARE_MOUNT_PATH	Sì	Il punto di montaggio della condivisione degli stati.
   KLFOC_UNATT_DATA_SHARE_MOUNT_PATH	Sì	Il punto di montaggio della condivisione dei dati.
   KLFOC_UNATT_CONN_MODE	Sì	La modalità di connettività del cluster di failover.	VirtualAdapter o ExternalLoadBalancer
   Nel caso in cui la variabile KLFOC_UNATT_CONN_MODE abbia un valore VirtualAdapter, il file di risposte deve includere le seguenti variabili aggiuntive:
   KLFOC_UNATT_CONN_MODE_VA_NAME	Sì	Il nome della scheda di rete virtuale.
   KLFOC_UNATT_CONN_MODE_VA_IPV4	Una di queste variabili è obbligatoria	L'indirizzo IP della scheda di rete virtuale.	Indirizzo IP
   KLFOC_UNATT_CONN_MODE_VA_IPV6		L'indirizzo IPv6 della scheda di rete virtuale.	Indirizzo IPv6

Installazione di Kaspersky Security Center Linux su Astra Linux in modalità ambiente software chiuso

Questa sezione descrive come installare Kaspersky Security Center Linux nel sistema operativo Astra Linux Special Edition.

Prima dell'installazione:

• Installare un sistema di gestione database.
• Verificare che il dispositivo in cui si desidera installare Kaspersky Security Center Linux esegua una delle distribuzioni Linux supportate.
• Scaricare la chiave dell'applicazione kaspersky_astra_pub_key.gpg.

Utilizzare il file di installazione ksc64_[numero_versione]_amd64.deb. È possibile ottenere il file di installazione scaricandolo dal sito Web di Kaspersky.

Eseguire i comandi presenti in questa istruzione con un account con privilegi di root.

Per installare Kaspersky Security Center Linux nel sistema operativo Astra Linux Special Edition (aggiornamento operativo 1.7.2) e Astra Linux Special Edition (aggiornamento operativo 1.6):

1. Aprire il file /etc/digsig/digsig_initramfs.conf, quindi specificare la seguente impostazione:

   DIGSIG_ELF_MODE=1

2. Nella riga di comando, eseguire il seguente comando per installare il pacchetto di compatibilità:

   apt install astra-digsig-oldkeys

3. Creare una directory per la chiave dell'applicazione:

   mkdir -p /etc/digsig/keys/legacy/kaspersky/

4. Posizionare la chiave dell'applicazione nella directory creata nel passaggio precedente:

   cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/

5. Aggiornare i dischi RAM:

   update-initramfs -u -k all

   Riavviare il sistema.

6. Se il dispositivo funziona con Astra Linux 1.8 o versione successiva, eseguire le azioni descritte in questo passaggio. Se il dispositivo viene eseguito su un sistema operativo diverso, procedere al passaggio successivo.
   1. Creare la directory /etc/systemd/system/kladminserver_srv.service.d e creare un file denominato override.conf con il seguente contenuto:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klserver -d from_wd

   2. Creare una directory /etc/systemd/system/klwebsrv_srv.service.d e creare un file denominato override.conf con il seguente contenuto:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klcsweb -d from_wd

7. Creare un gruppo "kladmins" e un account "ksc" senza privilegi. L'account deve essere un membro del gruppo "kladmins". A tale scopo, eseguire in sequenza i seguenti comandi:

   # adduser ksc

   # groupadd kladmins

   # gpasswd -a ksc kladmins

   # usermod -g kladmins ksc

8. Eseguire l’installazione di Kaspersky Security Center Linux:

   # apt install /<percorso>/ksc64_[numero_versione]_amd64.deb

9. Eseguire la configurazione di Kaspersky Security Center Linux:

   # /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

10. Leggere il Contratto di licenza con l'utente finale (EULA) e l'Informativa sulla privacy. Il testo viene visualizzato nella finestra della riga di comando. Premere la barra spaziatrice per visualizzare il segmento di testo successivo. Quando richiesto, inserire i seguenti valori:
    1. Immettere y se i termini del Contratto di licenza con l'utente finale sono stati compresi e accettati. Immettere n se non si accettano i termini del Contratto di licenza con l'utente finale. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini del Contratto di licenza con l'utente finale.
    2. Immettere y se i termini dell'Informativa sulla privacy sono stati compresi e accettati e se si accetta che i propri dati vengano gestiti e trasmessi (anche a paesi terzi) come descritto nell'Informativa sulla privacy. Immettere n se non si accettano i termini dell'Informativa sulla privacy. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini dell'Informativa sulla privacy.
11. Quando richiesto, immettere le seguenti impostazioni:
    1. Immettere il nome DNS di Administration Server o l'indirizzo IP statico.
    2. Immettere il numero di porta di Administration Server. Per impostazione predefinita, viene utilizzata la porta 14000.
    3. Immettere il numero di porta SSL di Administration Server. Per impostazione predefinita, viene utilizzata la porta 13000.
    4. Valutare il numero approssimativo di dispositivi che si intende gestire:
       • Se nella rete sono presenti da 1 a 100 dispositivi, immettere 1.
       • Se nella rete sono presenti da 101 a 1000 dispositivi, immettere 2.
       • Se nella rete sono presenti più di 1000 dispositivi, immettere 3.
    5. Immettere il nome del gruppo di protezione per i servizi. Per impostazione predefinita, viene utilizzato il gruppo "kladmins".
    6. Immettere il nome dell'account per avviare il servizio Administration Server. L'account deve essere un membro del gruppo di protezione inserito. Per impostazione predefinita, viene utilizzato l'account "ksc".
    7. Immettere il nome dell'account per avviare altri servizi. L'account deve essere un membro del gruppo di protezione inserito. Per impostazione predefinita, viene utilizzato l'account "ksc".
    8. Immettere l'indirizzo IP del dispositivo in cui è installato il database.
    9. Immettere il numero di porta del database. Questa porta viene utilizzata per comunicare con Administration Server. Per impostazione predefinita, viene utilizzata la porta 3306.
    10. Immettere il nome del database.
    11. Immettere il nome utente dell'account radice del database utilizzato per accedere al database.
    12. Immettere la password dell'account radice del database utilizzato per accedere al database.

        Attendere che i servizi vengano aggiunti e avviati automaticamente:

        • klnagent_srv
        • kladminserver_srv
        • klactprx_srv
        • klwebsrv_srv
    13. Creare un account che fungerà da amministratore di Administration Server. Immettere il nome utente e la password.

        La password deve rispettare le seguenti regole:

        • La password utente deve avere un minimo di 8 e un massimo di 16 caratteri.
        • La password deve contenere caratteri da almeno tre dei gruppi elencati di seguito:
          • Lettere maiuscole (A-Z)
          • Lettere minuscole (a-z)
          • Numeri (0-9)
          • Caratteri speciali (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

Kaspersky Security Center Linux viene installato e l'utente viene aggiunto.

Verifica del servizio

Utilizzare i seguenti comandi per verificare se un servizio è in esecuzione o meno:

• # systemctl status klnagent_srv.service
• # systemctl status kladminserver_srv.service
• # systemctl status klactprx_srv.service
• # systemctl status klwebsrv_srv.service

Installazione di Kaspersky Security Center Web Console

Questa sezione descrive come installare Kaspersky Security Center Web Console Server (anche noto come Kaspersky Security Center Web Console) nei dispositivi che eseguono il sistema operativo Linux. Prima dell'installazione, è necessario installare un DBMS e Kaspersky Security Center Linux Administration Server.

Utilizzare uno dei seguenti file di installazione che corrisponde alla distribuzione Linux installata nel proprio dispositivo:

• Per Debian—ksc-web-console-[numero_build].x86_64.deb
• Per i sistemi operativi basati su RPM—ksc-web-console-[numero_build].x86_64.rpm
• Per ALT 8 SP—ksc-web-console-[numero_build]-alt8p.x86_64.rpm

È possibile ottenere il file di installazione scaricandolo dal sito Web di Kaspersky.

Per installare Kaspersky Security Center Web Console:

1. Verificare che il dispositivo in cui si desidera installare Kaspersky Security Center Web Console esegua una delle distribuzioni Linux supportate.
2. Leggere il Contratto di licenza con l'utente finale (EULA). Se il kit di distribuzione di Kaspersky Security Center Linux non include un file TXT con il testo dell'EULA, è possibile scaricare il file dal sito Web di Kaspersky. Se non si accettano le condizioni del Contratto di licenza, non installare l'applicazione.
3. Creare un file di risposta che contiene i parametri per la connessione di Kaspersky Security Center Web Console ad Administration Server. Denominare questo file ksc-web-console-setup.json e posizionarlo nella seguente directory: /etc/ksc-web-console-setup.json.

   Esempio di un file di risposta contenente il set minimo di parametri, nonché l'indirizzo e la porta predefiniti:

   {

   "address": "127.0.0.1",

   "port": 8080,

   "trusted": "127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Server",

   "acceptEula": true

   }

   È consigliabile specificare numeri di porta superiori a 1024. Se si desidera che Kaspersky Security Center Web Console funzioni sulle porte inferiori a 1024, dopo l'installazione è necessario eseguire il seguente comando:

   sudo setcap 'cap_net_bind_service=+ep' /var/opt/kaspersky/ksc-web-console/node

   Quando si installa Kaspersky Security Center Web Console nel sistema operativo Linux ALT, è necessario specificare un numero di porta diverso da 8080, poiché la porta 8080 è utilizzata dal sistema operativo.

   Kaspersky Security Center Web Console non può essere aggiornato utilizzando lo stesso file di installazione .rpm. Se si desidera modificare le impostazioni in un file di risposta e utilizzare questo file per reinstallare l'applicazione, è prima necessario rimuovere l'applicazione, quindi reinstallarla con il nuovo file di risposta.

4. In un account con privilegi di root, utilizzare la riga di comando per eseguire il file di installazione con estensione .deb o .rpm, a seconda della distribuzione Linux.
   • Per installare o eseguire l'upgrade di Kaspersky Security Center Web Console da un file .deb, eseguire il comando seguente:

     $ sudo dpkg -i ksc-web-console-[numero_build].x86_64.deb

   • Per installare Kaspersky Security Center Web Console da un file .rpm, eseguire uno dei comandi seguenti:

     $ sudo rpm -ivh --nodeps ksc-web-console-[numero_build].x86_64.rpm

     o

     $ sudo alien -i ksc-web-console-[numero_build].x86_64.rpm

   • Per eseguire l'upgrade da una versione precedente di Kaspersky Security Center Web Console, eseguire uno dei seguenti comandi:
     • Per i dispositivi che eseguono il sistema operativo basato su RPM:

       $ sudo rpm -Uvh --nodeps --force ksc-web-console-[numero_build].x86_64.rpm

     • Per i dispositivi che eseguono il sistema operativo basato su Debian:

       $ sudo dpkg -i ksc-web-console-[numero_build].x86_64.deb

   Verrà avviata la decompressione del file di installazione. Attendere il completamento dell'installazione. Kaspersky Security Center Web Console è installato nella seguente directory: /var/opt/kaspersky/ksc-web-console.

5. Riavviare tutti i servizi Kaspersky Security Center Web Console eseguendo il comando seguente:

   $ sudo systemctl restart KSC*

Al termine dell'installazione, è possibile utilizzare il browser per aprire e accedere a Kaspersky Security Center Web Console.

Parametri di installazione di Kaspersky Security Center Web Console

Per installare Kaspersky Security Center Web Console Server nei dispositivi che eseguono Linux, è necessario creare un file di risposta, ovvero un file .json che contiene i parametri per la connessione di Kaspersky Security Center Web Console ad Administration Server.

Ecco un esempio di un file di risposta contenente il set minimo di parametri, nonché l'indirizzo e la porta predefiniti:

{

"address": "127.0.0.1",

"port": 8080,

"defaultLangId": 1049,

"enableLog": false,

"trusted": "127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Server",

"acceptEula": true,

"certPath": "/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer",

"webConsoleAccount": "Group1:User1",

"managementServiceAccount": "Group1:User2",

"serviceWebConsoleAccount": "Group1:User3",

"pluginAccount": "Group1:User4",

"messageQueueAccount": "Group1:User5"

}

È consigliabile specificare numeri di porta superiori a 1024. Se si desidera che Kaspersky Security Center Web Console funzioni sulle porte inferiori a 1024, dopo l'installazione è necessario eseguire il seguente comando:

sudo setcap 'cap_net_bind_service=+ep' /var/opt/kaspersky/ksc-web-console/node

Quando si installa Kaspersky Security Center Web Console nel sistema operativo Linux ALT, è necessario specificare un numero di porta diverso da 8080, poiché la porta 8080 è utilizzata dal sistema operativo.

La tabella seguente descrive i parametri che possono essere specificati in un file di risposta.

Parametri per l'installazione di Kaspersky Security Center Web Console nei dispositivi che eseguono Linux

Se vengono specificati i parametri webConsoleAccount, managementServiceAccount, serviceWebConsoleAccount, pluginAccount o messageQueueAccount, assicurarsi che gli account utente personalizzati appartengano allo stesso gruppo di protezione. Se questi parametri non vengono specificati, il programma di installazione di Kaspersky Security Center Web Console crea un gruppo di protezione predefinito, quindi crea account utente con nomi predefiniti in questo gruppo.

Installazione di Kaspersky Security Center Web Console su Astra Linux in modalità ambiente software chiuso

Espandi tutto | Comprimi tutto

Questa sezione descrive come installare Kaspersky Security Center Web Console Server (anche noto come Kaspersky Security Center Web Console) nel sistema operativo Astra Linux Special Edition. Prima dell'installazione, è necessario installare un DBMS e Kaspersky Security Center Linux Administration Server.

Per installare Kaspersky Security Center Web Console:

1. Verificare che il dispositivo in cui si desidera installare Kaspersky Security Center Web Console esegua una delle distribuzioni Linux supportate.
2. Leggere il Contratto di licenza con l'utente finale (EULA). Se il kit di distribuzione di Kaspersky Security Center Linux non include un file TXT con il testo dell'EULA, è possibile scaricare il file dal sito Web di Kaspersky. Se non si accettano le condizioni del Contratto di licenza, non installare l'applicazione.
3. Creare un file di risposta che contiene i parametri per la connessione di Kaspersky Security Center Web Console ad Administration Server. Denominare questo file ksc-web-console-setup.json e posizionarlo nella seguente directory: /etc/ksc-web-console-setup.json.

   Esempio di un file di risposta contenente il set minimo di parametri, nonché l'indirizzo e la porta predefiniti:

   {

   "address": "127.0.0.1",

   "port": 8080,

   "trusted": "127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Server",

   "acceptEula": true

   }

4. Aprire il file /etc/digsig/digsig_initramfs.conf, quindi specificare la seguente impostazione:

   DIGSIG_ELF_MODE=1

5. Nella riga di comando, eseguire il seguente comando per installare il pacchetto di compatibilità:

   apt install astra-digsig-oldkeys

6. Creare una directory per la chiave dell'applicazione:

   mkdir -p /etc/digsig/keys/legacy/kaspersky/

7. Posizionare la chiave dell'applicazione /opt/kaspersky/ksc64/share/kaspersky_astra_pub_key.gpg nella directory creata nel passaggio precedente:

   cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/

   Se il kit di distribuzione di Kaspersky Security Center Linux non include la chiave dell'applicazione kaspersky_astra_pub_key.gpg, è possibile scaricarla facendo clic sul collegamento: https://media.kaspersky.com/utilities/CorporateUtilities/kaspersky_astra_pub_key.gpg.

8. Aggiornare i dischi RAM:

   update-initramfs -u -k all

   Riavviare il sistema.

9. In un account con privilegi di root, utilizzare la riga di comando per eseguire il file di installazione. È possibile ottenere il file di installazione scaricandolo dal sito Web di Kaspersky.
   • Per installare o eseguire l'upgrade di Kaspersky Security Center Web Console, eseguire il comando seguente:

     $ sudo dpkg -i ksc-web-console-[numero_build].x86_64.deb

   • Per eseguire l'upgrade da una versione precedente di Kaspersky Security Center Web Console, eseguire il comando seguente:

     $ sudo dpkg -i ksc-web-console-[numero_build].x86_64.deb

   Verrà avviata la decompressione del file di installazione. Attendere il completamento dell'installazione. Kaspersky Security Center Web Console è installato nella seguente directory: /var/opt/kaspersky/ksc-web-console.

10. Riavviare tutti i servizi Kaspersky Security Center Web Console eseguendo il comando seguente:

    $ sudo systemctl restart KSC*

Al termine dell'installazione, è possibile utilizzare il browser per aprire e accedere a Kaspersky Security Center Web Console.

Se il dispositivo funziona con Astra Linux 1.8, è necessario sovrascrivere i diritti utente dopo l'installazione di Kaspersky Security Center Web Console.

Si consiglia di eseguire separatamente i passaggi delle istruzioni per ciascun servizio.

Per sovrascrivere i diritti utente:

1. Aprire i seguenti file:
   • /etc/systemd/system/ KSCSvcWebConsole.service
   • /etc/systemd/system/ KSCWebConsole.service
   • /etc/systemd/system/ KSCWebConsoleManagement.service
   • /etc/systemd/system/ KSCWebConsoleMessageQueue.service
   • /etc/systemd/system/ KSCWebConsolePlugin.service
2. Copiare la stringa User=valore dai file.

   I valori sono diversi per ogni servizio e vengono generati durante l'installazione di Kaspersky Security Center Web Console.

3. Creare le seguenti directory:
   • /etc/systemd/system/ KSCSvcWebConsole.service.d
   • /etc/systemd/system/ KSCWebConsole.service.d
   • /etc/systemd/system/ KSCWebConsoleManagement.service.d
   • /etc/systemd/system/ KSCWebConsoleMessageQueue.service.d
   • /etc/systemd/system/ KSCWebConsolePlugin.service.d
4. In ogni directory creare un file denominato override.conf, quindi inserire la stringa copiata al passaggio 2 nel file. Il file override.conf deve avere il seguente contenuto:
   • per /etc/systemd/system/ KSCSvcWebConsole.service.d

     [Service]

     User=

     User=valore

     CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

     ExecStart=

     ExecStart=/usr/bin/env /var/opt/kaspersky/ksc-web-console/node /var/opt/kaspersky/ksc-web-console/pm.service-console.js

   • per /etc/systemd/system/ KSCWebConsole.service.d

     [Service]

     User=

     User=valore

     CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

     ExecStart=

     ExecStart=/usr/bin/env /var/opt/kaspersky/ksc-web-console/node /var/opt/kaspersky/ksc-web-console/pm.js

   • per /etc/systemd/system/ KSCWebConsoleManagement.service.d

     [Service]

     User=

     User=valore

     CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

     ExecStart=

     ExecStart=/usr/bin/env /var/opt/kaspersky/ksc-web-console/node /var/opt/kaspersky/ksc-web-console/pm.updates-manager.js

   • per /etc/systemd/system/ KSCWebConsoleMessageQueue.service.d

     [Service]

     User=

     User=valore

     CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

     ExecStart=

     ExecStart=/usr/bin/env /var/opt/kaspersky/ksc-web-console/vendor/nsqd -tls-cert=../nsq-server.crt -tls-key=../nsq-server.key -tls-required=1 -tls-min-version=tls1.2 -tls-root-ca-file=../KLRootCA.crt -max-msg-size=10485760 -mem-queue-size=100 -sync-every=0 -sync-timeout=24h -http-address=127.0.0.1:4151 -https-address=127.0.0.1:4152 -tcp-address=127.0.0.1:4150 -tls-client-auth-policy=require-verify

   • per /etc/systemd/system/ KSCWebConsolePlugin.service.d

     [Service]

     User=

     User=valore

     CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

     ExecStart=

     ExecStart=/usr/bin/env /var/opt/kaspersky/ksc-web-console/node /var/opt/kaspersky/ksc-web-console/pm.plugin.js

   dove User=valore è la stringa copiata nel passaggio 2. Ad esempio, User=user_svc_nodejs_rjvyyf-xkg.

5. Riavviare il servizio.

Installazione di Kaspersky Security Center Web Console connesso all'Administration Server installato nei nodi del cluster di failover Kaspersky Security Center Linux

Questa sezione descrive come installare Kaspersky Security Center Web Console Server (di seguito anche Kaspersky Security Center Web Console), che si connette all'Administration Server installato nei nodi del cluster di failover Kaspersky Security Center Linux. Prima di installare Kaspersky Security Center Web Console, installare un DBMS e Kaspersky Security Center Linux Administration Server nei nodi del cluster di failover Kaspersky Security Center Linux.

Per installare Kaspersky Security Center Web Console che si connette all'Administration Server installato nei nodi del cluster di failover Kaspersky Security Center Linux:

1. Eseguire il passaggio 1 e il passaggio 2 dell'installazione di Kaspersky Security Center Web Console.
2. Al passaggio 3, nel file di risposta, specificare il parametro di installazione attendibile per consentire al cluster di failover Kaspersky Security Center Linux di connettersi a Kaspersky Security Center Web Console. Il valore stringa di questo parametro ha il seguente formato:

   "trusted": "indirizzo server|porta|percorso certificato|nome server"

   Specificare i componenti del parametro di installazione trusted:

   • Indirizzo di Administration Server. Se una scheda di rete secondaria è stata creata durante la preparazione dei nodi del cluster, utilizzare l'indirizzo IP della scheda come indirizzo del cluster di failover Kaspersky Security Center Linux. In caso contrario, specificare l'indirizzo IP del sistema di bilanciamento del carico di terzi in uso.
   • Porta di Administration Server. La porta OpenAPI utilizzata da Kaspersky Security Center Web Console per la connessione ad Administration Server (il valore predefinito è 13299).
   • Certificato di Administration Server. Il certificato di Administration Server si trova nell'archivio dati condiviso del cluster di failover Kaspersky Security Center Linux. Il percorso predefinito del file del certificato: <cartella dati condivisa> \1093\cert\klserver.cer. Copiare il file del certificato dall'archivio dati condiviso nel dispositivo in cui si installa Kaspersky Security Center Web Console. Specificare il percorso locale del certificato di Administration Server.
   • Nome Administration Server. Il nome del cluster di failover Kaspersky Security Center Linux che verrà visualizzato nella finestra di accesso di Kaspersky Security Center Web Console.
3. Continuare con l'installazione standard di Kaspersky Security Center Web Console.

Al termine dell'installazione, sul desktop viene visualizzato un collegamento ed è possibile accedere a Kaspersky Security Center Web Console.

È possibile accedere a Individuazione e distribuzione → Dispositivi non assegnati per visualizzare le informazioni sui nodi del cluster e sul file server.

Installazione di Network Agent per Linux in modalità automatica (con un file di risposte)

È possibile installare Network Agent nei dispositivi Linux utilizzando un file di risposte, vale a dire un file di testo contenente un set personalizzato di parametri di installazione: variabili e rispettivi valori. L'uso di questo file di risposte consente di eseguire un'installazione in modalità automatica, ovvero senza la partecipazione dell'utente.

Per eseguire l'installazione di Network Agent per Linux in modalità automatica:

1. Se si desidera installare Network Agent nei dispositivi con sistema operativo SUSE Linux Enterprise Server 15, installare il pacchetto insserv-compat prima di configurare Network Agent.
2. Leggere il Contratto di licenza con l'utente finale. Seguire i passaggi di seguito solo se sono stati compresi e accettati i termini del Contratto di licenza con l'utente finale.
3. Impostare il valore della variabile di ambiente KLAUTOANSWERS inserendo il nome completo del file di risposte (incluso il percorso), ad esempio come segue:

   export KLAUTOANSWERS=/tmp/nagent_install/answers.txt

4. Creare il file di risposte (in formato TXT) nella directory specificata nella variabile di ambiente. Aggiungere al file di risposte un elenco di variabili nel formato NOME_VARIABILE=valore_variabile, ognuna su una riga separata.

   Per il corretto utilizzo del file di risposte, è necessario includere un set minimo delle tre variabili richieste:

   • KLNAGENT_SERVER
   • KLNAGENT_AUTOINSTALL
   • EULA_ACCEPTED

   È inoltre possibile aggiungere eventuali variabili opzionali per utilizzare parametri più specifici dell'installazione remota. La tabella seguente elenca tutte le variabili che possono essere incluse nel file di risposte:

   Variabili del file di risposte utilizzate come parametri dell'installazione di Network Agent per Linux in modalità automatica

   Variabili del file di risposte utilizzate come parametri dell'installazione di Network Agent per Linux in modalità automatica

   Nome della variabile	Richiesto	Descrizione	Valori possibili
   KLNAGENT_SERVER	Sì	Contiene il nome di Administration Server sotto forma di nome di dominio completo (FQDN) o indirizzo IP.	Nome DNS o indirizzo IP.
   KLNAGENT_AUTOINSTALL	Sì	Indica se la modalità di installazione automatica è abilitata.	1—La modalità automatica è abilitata; l'utente non deve eseguire alcuna operazione durante l'installazione. Altro—La modalità automatica è disabilitata; all'utente può essere richiesto di eseguire operazioni durante l'installazione.
   EULA_ACCEPTED	Sì	Indica se l'utente accetta il Contratto di licenza con l'utente finale (EULA) di Network Agent; se non disponibile, può essere interpretato come la mancata accettazione dell'EULA.	1 - Confermo di aver letto, compreso e accettato i termini e le condizioni del presente Contratto di licenza con l'utente finale Altro o non specificato—Non accetto i termini del Contratto di licenza (l'installazione non viene eseguita).
   KLNAGENT_PROXY_USE	No	Indica se la connessione con Administration Server utilizzerà le impostazioni del proxy. Il valore predefinito è 0.	1—Le impostazioni del proxy vengono utilizzate. Altro—Le impostazioni del proxy non vengono utilizzate.
   KLNAGENT_PROXY_ADDR	No	Indica l'indirizzo del server proxy utilizzato per la connessione con Administration Server.	Nome DNS o indirizzo IP.
   KLNAGENT_PROXY_LOGIN	No	Indica il nome utente utilizzato per l'accesso al server proxy.	Qualsiasi nome utente esistente.
   KLNAGENT_PROXY_PASSWORD	No	Indica la password utente utilizzata per l'accesso al server proxy.	Qualsiasi set di caratteri alfanumerici consentiti dal formato password nel sistema operativo.
   KLNAGENT_VM_VDI	No	Indica se Network Agent è installato in un'immagine per la creazione di macchine virtuali dinamiche.	1—Network Agent è installato in un'immagine, che verrà successivamente utilizzata per la creazione di macchine virtuali dinamiche. Altro—Non viene utilizzata alcuna immagina durante l'installazione.
   KLNAGENT_VM_OPTIMIZE	No	Indica se le impostazioni di Network Agent sono ottimali per l'hypervisor.	1—Le impostazioni locali predefinite di Network Agent vengono modificate per consentire l'utilizzo ottimizzato nell'hypervisor.
   KLNAGENT_TAGS	No	Elenca i tag assegnati all'istanza di Network Agent.	Uno o più nomi di tag separati da un punto e virgola.
   KLNAGENT_UDP_PORT	No	Indica la porta UDP utilizzata da Network Agent. Il valore predefinito è 15000.	Qualsiasi numero di porta esistente.
   KLNAGENT_PORT	No	Definisce la porta non TLS utilizzata da Network Agent. Il valore predefinito è 14000.	Qualsiasi numero di porta esistente.
   KLNAGENT_SSLPORT	No	Definisce la porta TLS utilizzata da Network Agent. Il valore predefinito è 13000.	Qualsiasi numero di porta esistente.
   KLNAGENT_USESSL	No	Indica se per la connessione viene utilizzato Transport Layer Security (TLS).	1 (predefinito)—TLS viene utilizzato. Altro—TLS non viene utilizzato.
   KLNAGENT_GW_MODE	No	Indica se viene utilizzato il gateway di connessione.	1 (predefinito)—Le impostazioni correnti non vengono modificate (alla prima chiamata non viene specificato alcun gateway di connessione). 2—Non viene utilizzato alcun gateway di connessione. 3—Il gateway di connessione viene utilizzato. KLNAGENT_GW_ADDRESS è obbligatorio. 4—L'istanza di Network Agent viene utilizzata come gateway di connessione nella rete perimetrale (DMZ). Il certificato del server è obbligatorio.
   KLNAGENT_GW_ADDRESS	No	Indica l'indirizzo del gateway di connessione. Il valore è applicabile solo se KLNAGENT_GW_MODE=3.	Nome DNS o indirizzo IP.

5. Installazione di Network Agent:
   • Per installare Network Agent da un pacchetto RPM in un sistema operativo a 32 bit, eseguire il comando seguente:
     # rpm -i klnagent-<numero build>.i386.rpm
   • Per installare Network Agent da un pacchetto RPM in un sistema operativo a 64 bit, eseguire il comando seguente:
     # rpm -i klnagent64-<numero build>.x86_64.rpm
   • Per installare Network Agent da un pacchetto RPM in un sistema operativo a 64 bit per l’architettura Arm, eseguire il comando seguente:
     # rpm -i klnagent64-<numero build>.aarch64.rpm
   • Per installare Network Agent da un pacchetto DEB in un sistema operativo a 32 bit, eseguire il comando seguente:
     # apt-get install ./klnagent_<numero build>_i386.deb
   • Per installare Network Agent da un pacchetto DEB in un sistema operativo a 64 bit, eseguire il comando seguente:
     # apt-get install ./klnagent64_<numero build>_amd64.deb
   • Per installare Network Agent da un pacchetto DEB in un sistema operativo a 64 bit per l’architettura Arm, eseguire il comando seguente:
     # apt-get install ./klnagent64_<numero build>_arm64.deb

L'installazione di Network Agent per Linux viene avviata in modalità automatica; all'utente non viene richiesto di eseguire alcuna operazione durante il processo.

Preparazione di un dispositivo in cui viene eseguito Astra Linux in modalità ambiente software chiuso per l'installazione di Network Agent

Prima di installare Network Agent in un dispositivo in cui viene esegue Astrito Linux in modalità ambiente software chiuso, è necessario eseguire due procedure di preparazione: quella nelle istruzioni riportate di seguito e i passaggi generali di preparazione per qualsiasi dispositivo Linux.

Prima di iniziare:

• Verificare che il dispositivo in cui si desidera installare Network Agent for Linux esegua una delle distribuzioni Linux supportate.
• Scaricare il file di installazione di Network Agent necessario dal sito Web di Kaspersky.

Eseguire i comandi presenti in questa istruzione con un account con privilegi di root.

Per preparare un dispositivo in cui viene eseguito Astra Linux in modalità ambiente software chiuso per l'installazione di Network Agent:

1. Aprire il file /etc/digsig/digsig_initramfs.conf, quindi specificare la seguente impostazione:

   DIGSIG_ELF_MODE=1

2. Nella riga di comando, eseguire il seguente comando per installare il pacchetto di compatibilità:

   apt install astra-digsig-oldkeys

3. Creare una directory per la chiave dell'applicazione:

   mkdir -p /etc/digsig/keys/legacy/kaspersky/

4. Posizionare la chiave dell'applicazione /opt/kaspersky/ksc64/share/kaspersky_astra_pub_key.gpg nella directory creata nel passaggio precedente:

   cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/

   Se il kit di distribuzione di Kaspersky Security Center Linux non include la chiave dell'applicazione kaspersky_astra_pub_key.gpg, è possibile scaricarla facendo clic sul collegamento: https://media.kaspersky.com/utilities/CorporateUtilities/kaspersky_astra_pub_key.gpg.

5. Aggiornare i dischi RAM:

   update-initramfs -u -k all

   Riavviare il sistema.

6. Eseguire i passaggi di preparazione comuni per qualsiasi dispositivo Linux.

Il dispositivo è preparato. È ora possibile procedere all'installazione di Network Agent.

Distribuzione del cluster di failover Kaspersky Security Center Linux

Questa sezione contiene sia informazioni generali sul cluster di failover Kaspersky Security Center Linux che istruzioni sulla preparazione e sulla distribuzione del cluster di failover Kaspersky Security Center Linux nella rete.

Scenario: Distribuzione di un cluster di failover Kaspersky Security Center Linux

Un cluster di failover Kaspersky Security Center Linux garantisce un'elevata disponibilità di Kaspersky Security Center Linux e riduce al minimo i tempi di inattività di Administration Server in caso di errore. Il cluster di failover si basa su due istanze identiche di Kaspersky Security Center Linux installate in due computer. Una delle istanze funge da nodo attivo e l'altra da nodo passivo. Il nodo attivo gestisce la protezione dei dispositivi client, mentre quello passivo è predisposto a svolgere tutte le funzioni del nodo attivo in caso di errore del nodo attivo. Quando si verifica un errore, il nodo passivo diventa attivo e il nodo attivo diventa passivo.

Prerequisiti

È necessario disporre dell'hardware che soddisfi i requisiti per il cluster di failover.

La distribuzione delle applicazioni Kaspersky prevede diversi passaggi:

1. Creazione di account per i servizi di Kaspersky Security Center Linux

   Effettuare le seguenti operazioni sul nodo attivo, sul nodo passivo e sul file server:

   1. Creare un gruppo di dominio con il nome "kladmins" e assegnare lo stesso GID a tutti e tre i gruppi.
   2. Creare un account utente con il nome "ksc" e assegnare lo stesso UID a tutti e tre gli account utente. Impostare il gruppo primario su "kladmins" per gli account creati.
   3. Creare un account utente con il nome "rightless" e assegnare lo stesso UID a tutti e tre gli account utente. Impostare il gruppo primario su "kladmins" per gli account creati.
2. Preparazione del file server

   Preparare il file server affinché funzioni come componente del cluster di failover Kaspersky Security Center Linux. Assicurarsi che il file server soddisfi i requisiti hardware e software, creare due cartelle condivise per i dati di Kaspersky Security Center Linux e configurare le autorizzazioni per accedere alle cartelle condivise.

   Istruzioni dettagliate: Preparazione di un file server per il cluster di failover Kaspersky Security Center Linux

3. Preparazione di nodi attivi e passivi

   Preparare due computer con hardware e software identici in modo che fungano da nodi attivi e passivi.

   Istruzioni dettagliate: Preparazione dei nodi per il cluster di failover Kaspersky Security Center Linux

4. Installazione del DBMS (Database Management System)

   Sono disponibili due opzioni:

   • Se si desidera utilizzare MariaDB Galera Cluster, non è necessario un computer dedicato per DBMS. Installare MariaDB Galera Cluster in ciascuno dei nodi.
   • Se si desidera usare qualsiasi altro DBMS supportato, installare il DBMS selezionato in un computer dedicato.
5. Installazione di Kaspersky Security Center Linux

   Installare Kaspersky Security Center Linux in modalità cluster di failover in entrambi i nodi. È prima necessario installare Kaspersky Security Center Linux nel nodo attivo, quindi installarlo in quello passivo.

   Inoltre, è possibile installare Kaspersky Security Center Web Console in un dispositivo separato che non sia un nodo del cluster.

6. Test del cluster di failover

   Verificare di aver configurato correttamente il cluster di failover e che funzioni correttamente. È ad esempio possibile arrestare uno dei servizi di Kaspersky Security Center Linux nel nodo attivo: kladminserver, klnagent, ksnproxy, klactprx o klwebsrv. Dopo l'arresto del servizio, la gestione della protezione deve passare automaticamente al nodo passivo.

Risultati

Il cluster di failover Kaspersky Security Center Linux viene distribuito. Familiarizzare con gli eventi che determinano il passaggio dai nodi attivi a quelli passivi.

Informazioni sul cluster di failover Kaspersky Security Center Linux

Un cluster di failover Kaspersky Security Center Linux garantisce un'elevata disponibilità di Kaspersky Security Center Linux e riduce al minimo i tempi di inattività di Administration Server in caso di errore. Il cluster di failover si basa su due istanze identiche di Kaspersky Security Center Linux installate in due computer. Una delle istanze funge da nodo attivo e l'altra da nodo passivo. Il nodo attivo gestisce la protezione dei dispositivi client, mentre quello passivo è predisposto a svolgere tutte le funzioni del nodo attivo in caso di errore del nodo attivo. Quando si verifica un errore, il nodo passivo diventa attivo e il nodo attivo diventa passivo.

In un cluster di failover Kaspersky Security Center Linux, tutti i servizi di Kaspersky Security Center Linux vengono gestiti automaticamente. Non tentare di riavviare i servizi manualmente.

Requisiti hardware e software

Per distribuire un cluster di failover Kaspersky Security Center Linux, è necessario disporre del seguente hardware:

• Due dispositivi con hardware e software identici. Questi dispositivi fungeranno da nodi attivi e passivi.
• Un file server che esegue Linux, con il file system EXT4. È necessario mettere a disposizione un dispositivo dedicato che fungerà da file server.

  Assicurarsi di aver fornito un'elevata larghezza di banda di rete tra il file server e i nodi attivi e passivi.

• Un dispositivo con DBMS (Database Management System) supportato. Se si utilizza MariaDB Galera Cluster come DBMS, non è necessario un dispositivo dedicato per questo scopo.

L'implementazione del cluster di failover fallisce quando sono installati entrambi i pacchetti arping e iputils-arping oppure solo il pacchetto arping. Prima di distribuire un cluster di failover, assicurarsi di avere installato solo il pacchetto di installazione iputils-arping su entrambi i nodi.

Schemi di distribuzione

È possibile scegliere uno dei seguenti schemi per distribuire il cluster di failover Kaspersky Security Center Linux:

• Uno schema che utilizza una scheda di rete secondaria.
• Uno schema che utilizza un sistema di bilanciamento del carico di terze parti.

  

  Uno schema che utilizza una scheda di rete secondaria

Legenda schema:

Administration Server invia i dati al database. Aprire le porte necessarie nel dispositivo in cui si trova il database, ad esempio la porta 3306 per MySQL Server o la porta 5432 per PostgreSQL o Postgres Pro. Fare riferimento alla documentazione DBMS per le informazioni attinenti.

Nei dispositivi gestiti aprire le seguenti porte: TCP 13000, UDP 13000 e TCP 17000.

Un dispositivo con DBMS (Database Management System). Se si utilizza MariaDB Galera Cluster come DBMS, non è necessario un dispositivo dedicato per questo scopo. Installare MariaDB Galera Cluster in ciascuno dei nodi.

Uno schema che utilizza un sistema di bilanciamento del carico di terze parti

Legenda schema:

Nel dispositivo di bilanciamento del carico aprire tutte le porte di Administration Server: TCP 13000, UDP 13000, TCP 13299 e TCP 17000.

Se si desidera utilizzare l'utilità klakaut per l'automazione, è necessario aprire anche la porta TCP 13291.

Nei dispositivi gestiti aprire le seguenti porte: TCP 13000, UDP 13000 e TCP 17000.

Administration Server invia i dati al database. Aprire le porte necessarie nel dispositivo in cui si trova il database, ad esempio la porta 3306 per MySQL Server o la porta 5432 per PostgreSQL o Postgres Pro. Fare riferimento alla documentazione DBMS per le informazioni attinenti.

Un dispositivo con DBMS (Database Management System). Se si utilizza MariaDB Galera Cluster come DBMS, non è necessario un dispositivo dedicato per questo scopo. Installare MariaDB Galera Cluster in ciascuno dei nodi.

Condizioni per il passaggio

Il cluster di failover passa la gestione della protezione dei dispositivi client dal nodo attivo a quello passivo se si verifica uno dei seguenti eventi nel nodo attivo:

• Il nodo attivo è danneggiato a causa di un errore software o hardware.
• Il nodo attivo è stato temporaneamente arrestato per attività di manutenzione.
• Almeno uno dei servizi (o processi) di Kaspersky Security Center Linux non è riuscito o è stato deliberatamente terminato dall'utente. I servizi di Kaspersky Security Center Linux sono i seguenti: kladminserver, klnagent, klactprx e klwebsrv.
• La connessione di rete tra il nodo attivo e l'archivio nel file server è stata interrotta o terminata.

Preparazione di un file server per un cluster di failover Kaspersky Security Center Linux

Un file server funge da componente necessario di un cluster di failover Kaspersky Security Center Linux.

Per preparare un file server:

1. Assicurarsi che il file server soddisfi i requisiti hardware e software.
2. Installare e configurare un server NFS:
   • L'accesso al file server deve essere abilitato per entrambi i nodi nelle impostazioni del server NFS.
   • Il protocollo NFS deve avere la versione 4.0 o 4.1.
   • Requisiti minimi per il kernel Linux:
     • 3.19.0-25, se si utilizza NFS 4.0
     • 4.4.0-176, se si utilizza NFS 4.1
3. Nel file server, creare due cartelle e condividerle utilizzando NFS. Una di queste verrà utilizzata per conservare le informazioni sullo stato del cluster di failover. L’altra verrà utilizzata per archiviare i dati e le impostazioni di Kaspersky Security Center Linux. Specificare i percorsi delle cartelle condivise durante la configurazione dell’installazione di Kaspersky Security Center Linux.

   Eseguire i seguenti comandi:

   sudo yum install nfs-utils

   sudo mkdir -p /mnt/KlFocStateShare

   sudo mkdir -p /mnt/KlFocDataShare_klfoc

   sudo chown ksc:kladmins /mnt/KlFocStateShare

   sudo chown ksc:kladmins /mnt/KlFocDataShare_klfoc

   sudo chmod -R 777 /mnt/KlFocStateShare /mnt/KlFocDataShare_klfoc

   sudo sh -c "echo /mnt/KlFocStateShare *\(rw,sync,no_subtree_check,no_root_squash\) >> /etc/exports"

   sudo sh -c "echo /mnt/KlFocDataShare_klfoc *\(rw,sync,no_subtree_check,no_root_squash\) >> /etc/exports"

   sudo cat /etc/exports

   sudo exportfs -a

   sudo systemctl start rpcbind

   sudo service nfs start

   Abilitare l'avvio automatico eseguendo il comando seguente:

   sudo systemctl enable rpcbind

4. Riavviare il file server.

Il file server è pronto. Per distribuire il cluster di failover Kaspersky Security Center Linux, seguire le istruzioni aggiuntive in questo scenario.

Preparazione dei nodi per un cluster di failover Kaspersky Security Center Linux

Preparare due computer affinché fungano da nodi attivi e passivi del cluster di failover Kaspersky Security Center Linux.

Per preparare i nodi per il cluster di failover Kaspersky Security Center Linux:

1. Assicurarsi di avere due computer che soddisfino i requisiti hardware e software. Questi computer fungeranno da nodi attivi e passivi del cluster di failover.
2. Per utilizzare i nodi come client NFS, installare il pacchetto nfs-utils in ogni nodo.

   Eseguire il seguente comando:

   sudo yum install nfs-utils

3. Creare i punti di montaggio eseguendo i seguenti comandi:

   sudo mkdir -p /mnt/KlFocStateShare

   sudo mkdir -p /mnt/KlFocDataShare_klfoc

4. Verificare che le cartelle condivise possano essere montate correttamente. [passaggio opzionale]

   Eseguire i seguenti comandi:

   sudo mount -t nfs -o vers=4,soft,auto,user,rw {server}:{percorso della cartella KlFocStateShare} /mnt/KlFocStateShare

   sudo mount -t nfs -o vers=4,noauto,user,rw {server}:{percorso della cartella KlFocDataShare_klfoc} /mnt/KlFocDataShare_klfoc

   Qui, {server}:{percorso della cartella KlFocStateShare} e {server}:{percorso della cartella KlFocDataShare_klfoc} sono i percorsi di rete delle cartelle condivise nel file server.

   Dopo che le cartelle condivise sono state montate correttamente, smontarle eseguendo i seguenti comandi:

   sudo umount /mnt/KlFocStateShare

   sudo umount /mnt/KlFocDataShare_klfoc

5. Abbinare i punti di montaggio e le cartelle condivise:

   sudo vi /etc/fstab

   {server}:{pecorso della cartella KlFocStateShare} /mnt/KlFocStateShare nfs vers=4,soft,timeo=50,retrans=2,auto,user,rw 0 0

   {server}:{percorso della cartella KlFocDataShare_klfoc} /mnt/KlFocDataShare_klfoc nfs vers=4,noauto,user,rw,exec 0 0

   Qui, {server}:{percorso della cartella KlFocStateShare} e {server}:{percorso della cartella KlFocDataShare_klfoc} sono i percorsi di rete delle cartelle condivise nel file server.

6. Riavviare entrambi i nodi.
7. Montare le cartelle condivise eseguendo i seguenti comandi:

   mount /mnt/KlFocStateShare

   mount /mnt/KlFocDataShare_klfoc

8. Assicurarsi che le autorizzazioni per accedere alle cartelle condivise appartengano a ksc:kladmins.

   Eseguire il seguente comando:

   sudo ls -la /mnt/

9. In ogni nodo, configurare una scheda di rete secondaria.

   Una scheda di rete secondaria può essere fisica o virtuale. Se si desidera utilizzare una scheda di rete fisica, connetterla e configurarla con gli strumenti standard del sistema operativo. Se si desidera utilizzare una scheda di rete virtuale, crearla utilizzando software di terzi.

   Eseguire una delle seguenti operazioni:

   • Utilizzare una scheda di rete virtuale.
     1. Utilizzare il seguente comando per verificare che venga utilizzato NetworkManager per gestire la scheda fisica:

        nmcli device status

        Se la scheda fisica viene mostrata come non gestita nell'output, configurare NetworkManager in modo che gestisca la scheda fisica. Gli esatti passaggi di configurazione dipendono dalla distribuzione effettiva.

     2. Utilizzare il seguente comando per identificare le interfacce:

        ip a

     3. Creare un nuovo profilo di configurazione:

        nmcli connection add type macvlan dev <interfaccia fisica> mode bridge ifname <interfaccia virtuale> ipv4.addresses <maschera indirizzo> ipv4.method manual autoconnect no

   • Utilizzare una scheda di rete fisica o un hypervisor. In questo caso, disabilitare il software NetworkManager.
     1. Eliminare le connessioni di NetworkManager per l'interfaccia di destinazione:

        nmcli con del <nome connessione>

        Utilizzare il seguente comando per verificare se l'interfaccia di destinazione dispone di connessioni:

        nmcli con show

     2. Modificare il file NetworkManager.conf. Individuare la sezione keyfile e assegnare l'interfaccia di destinazione al parametro dei dispositivi non gestiti.

        [keyfile]

        unmanaged-devices=interface-name:<nome interfaccia>

     3. Riavviare NetworkManager:

        systemctl reload NetworkManager

        Utilizzare il seguente comando per verificare che l'interfaccia di destinazione non sia gestita:

        nmcli dev status

   • Utilizzare un sistema di bilanciamento del carico di terze parti. È ad esempio possibile utilizzare un server nginx. In questo caso, procedere come segue:
     1. Mettere a disposizione un computer basato su Linux dedicato con nginx installato.
     2. Configurare il bilanciamento del carico. Impostare il nodo attivo come server principale e il nodo passivo come server di backup.
     3. Nel server nginx aprire tutte le porte di Administration Server: TCP 13000, UDP 13000, TCP 13299, TCP 17000.

        Se si desidera utilizzare l'utilità klakaut per l'automazione, è necessario aprire anche la porta TCP 13291.

I nodi sono pronti. Per distribuire il cluster di failover Kaspersky Security Center Linux, seguire le istruzioni aggiuntive dello scenario.

Installazione di Kaspersky Security Center Linux nei nodi del cluster di failover Kaspersky Security Center Linux

Questa procedura descrive come installare Kaspersky Security Center Linux nei nodi del cluster di failover Kaspersky Security Center Linux. Kaspersky Security Center Linux viene installato separatamente in entrambi i nodi del cluster di failover Kaspersky Security Center Linux. Prima si installa l'applicazione nel nodo attivo, poi su quello passivo. Durante l'installazione, è necessario scegliere quale nodo sarà attivo e quale sarà passivo.

Usare il file di installazione—ksc64_[numero_versione]_amd64.deb or ksc64-[numero_versione].x86_64.rpm—che corrisponde alla distribuzione Linux installata nel dispositivo. È possibile ottenere il file di installazione scaricandolo dal sito Web di Kaspersky.

Solo un utente del gruppo di domini KLAdmins può installare Kaspersky Security Center Linux in ogni nodo.

Installazione nel nodo primario (attivo)

Per installare Kaspersky Security Center Linux nel nodo primario:

1. Verificare che il dispositivo in cui si desidera installare Kaspersky Security Center Linux esegua una delle distribuzioni Linux supportate.
2. Nella riga di comando eseguire i comandi presenti in questa istruzione con un account con privilegi di root.
3. Eseguire l’installazione di Kaspersky Security Center Linux. A seconda della distribuzione Linux, eseguire uno dei seguenti comandi:
   • sudo apt install /<path>/ksc64_[numero_versione]_amd64.deb
   • sudo yum install /<path>/ksc64-[numero_versione].x86_64.rpm -y
4. Eseguire la configurazione di Kaspersky Security Center Linux:

   sudo /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

5. Leggere il Contratto di licenza con l'utente finale (EULA) e l'Informativa sulla privacy. Il testo viene visualizzato nella finestra della riga di comando. Premere la barra spaziatrice per visualizzare il segmento di testo successivo. Quando richiesto inserire i seguenti valori:
   1. Immettere y se i termini del Contratto di licenza con l'utente finale sono stati compresi e accettati. Immettere n se non si accettano i termini del Contratto di licenza con l'utente finale. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini del Contratto di licenza con l'utente finale.
   2. Immettere y se i termini dell'Informativa sulla privacy sono stati compresi e accettati e se si accetta che i propri dati vengano gestiti e trasmessi (anche a paesi terzi) come descritto nell'Informativa sulla privacy. Immettere n se non si accettano i termini dell'Informativa sulla privacy. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini dell'Informativa sulla privacy.
6. Selezionare Nodo cluster primario come modalità di installazione di Administration Server.
7. Quando richiesto, immettere le seguenti impostazioni:
   1. Immettere il percorso locale del punto di montaggio della condivisione degli stati.
   2. Immettere il percorso locale del punto di montaggio della condivisione dei dati.
   3. Scegliere una modalità di connettività del cluster di failover: tramite una scheda di rete secondaria o un servizio di bilanciamento del carico esterno.
   4. Se si utilizza una scheda di rete secondaria, immetterne il nome.
   5. Quando viene richiesto di immettere il nome DNS o l'indirizzo IP statico di Administration Server, immettere l'indirizzo IP della scheda di rete secondaria o l'indirizzo IP del servizio di bilanciamento del carico esterno.
   6. Immettere il numero di porta SSL di Administration Server. Per impostazione predefinita, viene utilizzata la porta 13000.
   7. Valutare il numero approssimativo di dispositivi che si intende gestire:
      • Se nella rete sono presenti da 1 a 100 dispositivi, immettere 1.
      • Se nella rete sono presenti da 101 a 1000 dispositivi, immettere 2.
      • Se nella rete sono presenti più di 1000 dispositivi, immettere 3.
   8. Immettere il nome del gruppo di protezione per i servizi. Per impostazione predefinita, viene utilizzato il gruppo kladmins.
   9. Immettere il nome dell'account per avviare il servizio Administration Server. L'account deve essere un membro del gruppo di protezione inserito. Per impostazione predefinita, viene utilizzato l'account "ksc".
   10. Immettere il nome dell'account per avviare altri servizi. L'account deve essere un membro del gruppo di protezione inserito. Per impostazione predefinita, viene utilizzato l'account "ksc".
   11. Selezionare il DBMS installato per l'utilizzo con Kaspersky Security Center Linux:
       • Se è stato installato MySQL o MariaDB, immettere 1.
       • Se è stato installato PostgreSQL o Postgres Pro, immettere 2.
   12. Immettere il nome DNS o l'indirizzo IP del dispositivo in cui è installato il database.
   13. Immettere il numero di porta del database. Questa porta viene utilizzata per comunicare con Administration Server. Per impostazione predefinita, vengono utilizzate le seguenti porte:
       • Porta 3306 per MySQL o MariaDB
       • Porta 5432 per PostgreSQL o Postgres Pro
   14. Immettere il nome del database.
   15. Immettere il nome utente dell'account radice del database utilizzato per accedere al database.
   16. Immettere la password dell'account radice del database utilizzato per accedere al database.

       Attendere che i servizi vengano aggiunti e avviati automaticamente:

       • klfocsvc_klfoc
       • kladminserver_klfoc
       • klwebsrv_klfoc
       • klactprx_klfoc
       • klnagent_klfoc
   17. Creare un account che fungerà da amministratore di Administration Server. Immettere il nome utente e la password. La password utente non può contenere meno di 8 o più di 16 caratteri.

Viene aggiunto l'utente e viene installato Kaspersky Security Center Linux nel nodo primario.

Installazione nel nodo secondario (passivo)

Per installare Kaspersky Security Center Linux nel nodo secondario:

1. Verificare che il dispositivo in cui si desidera installare Kaspersky Security Center Linux esegua una delle distribuzioni Linux supportate.
2. Nella riga di comando eseguire i comandi presenti in questa istruzione con un account con privilegi di root.
3. Eseguire l’installazione di Kaspersky Security Center Linux. A seconda della distribuzione Linux, eseguire uno dei seguenti comandi:
   • sudo apt install /<path>/ksc64_[numero_versione]_amd64.deb
   • sudo yum install /<path>/ksc64-[numero_versione].x86_64.rpm -y
4. Eseguire la configurazione di Kaspersky Security Center Linux:

   sudo /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

5. Leggere il Contratto di licenza con l'utente finale (EULA) e l'Informativa sulla privacy. Il testo viene visualizzato nella finestra della riga di comando. Premere la barra spaziatrice per visualizzare il segmento di testo successivo. Quando richiesto inserire i seguenti valori:
   1. Immettere y se i termini del Contratto di licenza con l'utente finale sono stati compresi e accettati. Immettere n se non si accettano i termini del Contratto di licenza con l'utente finale. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini del Contratto di licenza con l'utente finale.
   2. Immettere y se i termini dell'Informativa sulla privacy sono stati compresi e accettati e se si accetta che i propri dati vengano gestiti e trasmessi (anche a paesi terzi) come descritto nell'Informativa sulla privacy. Immettere n se non si accettano i termini dell'Informativa sulla privacy. Per utilizzare Kaspersky Security Center Linux è necessario accettare i termini dell'Informativa sulla privacy.
6. Selezionare Nodo cluster secondario come modalità di installazione di Administration Server.
7. Quando richiesto, immettere il percorso locale del punto di montaggio della condivisione degli stati.

Kaspersky Security Center Linux viene installato nel nodo secondario.

Verifica del servizio

Utilizzare i seguenti comandi per verificare se un servizio è in esecuzione o meno:

• systemctl status klnagent_srv.service
• systemctl status kladminserver_srv.service
• systemctl status klactprx_srv.service
• systemctl status klwebsrv_srv.service

Adesso è possibile testare il cluster di failover Kaspersky Security Center Linux per assicurarsi di averlo configurato correttamente e che il cluster funzioni nel modo adeguato.

Avvio e arresto manuale dei nodi del cluster

Potrebbe essere necessario arrestare l'intero cluster di failover Kaspersky Security Center Linux o scollegare temporaneamente uno dei nodi del cluster per la manutenzione. In tal caso, seguire le istruzioni contenute in questa sezione. Non tentare di avviare o arrestare i servizi o i processi relativi al cluster di failover utilizzando altri metodi. Questo potrebbe determinare la perdita di dati.

Avvio e arresto dell'intero cluster di failover per la manutenzione

Per avviare o arrestare l'intero cluster di failover:

1. Nel nodo attivo, passare a /opt/kaspersky/ksc64/sbin.
2. Aprire la riga di comando, quindi eseguire uno dei seguenti comandi:
   • Per arrestare il cluster, eseguire: klfoc -stopcluster --stp klfoc
   • Per avviare il cluster, eseguire: klfoc -startcluster --stp klfoc

Il cluster di failover viene avviato o arrestato, a seconda del comando eseguito.

Manutenzione di uno dei nodi

Per eseguire la manutenzione di uno dei nodi:

1. Nel nodo attivo arrestare il cluster di failover utilizzando il comando klfoc -stopcluster --stp klfoc.
2. Nel nodo che si desidera mantenere, passare a /opt/kaspersky/ksc64/sbin.
3. Aprire la riga di comando, quindi scollegare il nodo dal cluster eseguendo il comando detach_node.sh.
4. Nel nodo attivo avviare il cluster di failover utilizzando il comando klfoc -startcluster --stp klfoc.
5. Eseguire le attività di manutenzione.
6. Nel nodo attivo arrestare il cluster di failover utilizzando il comando klfoc -stopcluster --stp klfoc.
7. Nel nodo che è stato mantenuto, passare a /opt/kaspersky/ksc64/sbin.
8. Aprire la riga di comando, quindi collegare il nodo al cluster eseguendo il comando attach_node.sh.
9. Nel nodo attivo avviare il cluster di failover utilizzando il comando klfoc -startcluster --stp klfoc.

Viene eseguita la manutenzione del nodo, che viene quindi collegato al cluster di failover.

Account per l'utilizzo del DBMS

Per installare Administration Server e utilizzarlo, è necessario un account DBMS interno. Questo account consente di accedere al DBMS e richiede diritti specifici. Un insieme dei diritti richiesti dipende dai seguenti criteri:

• Tipo di DBMS:
  • MySQL o MariaDB
  • PostgreSQL o Postgres Pro
• Metodo di creazione del database di Administration Server:
  • Automatico. Durante l'installazione di Administration Server, è possibile creare automaticamente un database di Administration Server (di seguito denominato anche database del server) utilizzando il programma di installazione di Administration Server (il programma di installazione).
  • Manuale. È possibile utilizzare un'applicazione di terze parti o uno script per creare un database vuoto. Successivamente, è possibile specificare questo database come database del server durante l'installazione di Administration Server.

Seguire il principio del privilegio minimo quando si concedono diritti e autorizzazioni agli account. Ciò significa che i diritti concessi devono essere sufficienti solo per eseguire le azioni richieste.

Le tabelle seguenti contengono informazioni sui diritti del DBMS che è necessario concedere agli account prima di installare e avviare Administration Server.

MySQL e MariaDB

Se si sceglie MySQL o MariaDB come DBMS, creare un account interno DBMS per accedere al DBMS, quindi concedere a questo account i diritti richiesti. Si noti che il metodo di creazione del database non influisce sull'insieme dei diritti. I diritti richiesti sono elencati di seguito:

• Privilegi dello schema:
  • Database di Administration Server: ALL (ad eseclusione di GRANT OPTION).
  • Schemi di sistema (mysql e sys): SELECT, SHOW VIEW.
  • La procedura memorizzata di sys.table_exists: EXECUTE (se si usa MariaDB 10.5 o versione precedente come DBMS, non è necessario concedere il privilegio EXECUTE).
• Privilegi globali per tutti gli schemi: PROCESS, SUPER.

Per ulteriori informazioni su come configurare i diritti dell'account, consultare Configurazione dell'account DBMS per l'utilizzo di MySQL e MariaDB.

Configurazione dei privilegi per il ripristino dei dati di Administration Server

I diritti concessi all'account DBMS interno sono sufficienti per ripristinare i dati di Administration Server dal backup.

PostgreSQL o Postgres Pro

Se si sceglie PostgreSQL o Postgres Pro come DBMS, è possibile utilizzare l'utente Postgres (il ruolo Postgres predefinito) o creare un nuovo ruolo Postgres (di seguito denominato anche ruolo) per accedere al DBMS. A seconda del metodo di creazione del database del server, concedere i diritti richiesti al ruolo come descritto nella tabella seguente. Per ulteriori informazioni su come configurare i diritti del ruolo, consultare Configurazione dell'account DBMS per l'utilizzo di PostgreSQL o Postgres Pro.

Diritti del ruolo Postgres

Configurazione dei privilegi per il ripristino dei dati di Administration Server

Per ripristinare i dati di Administration Server dal backup, il ruolo Postgres utilizzato per accedere al DBMS deve disporre dei diritti di proprietario sul database di Administration Server.

Configurazione dell'account DBMS per l'utilizzo di MySQL e MariaDB

Prerequisiti

Prima di assegnare i diritti all'account DBMS, eseguire le azioni seguenti:

1. Assicurarsi di accedere al sistema con l'account di amministratore locale.
2. Installare un ambiente per l'utilizzo di MySQL o MariaDB.

Configurazione dell'account DBMS per l'installazione di Administration Server

Per configurare l'account DBMS per l'installazione di Administration Server:

1. Eseguire un ambiente per l'utilizzo di MySQL o MariaDB con l'account root creato durante l'installazione del DBMS.
2. Creare un account DBMS interno con una password. Il programma di installazione di Administration Server (di seguito denominato anche programma di installazione) e il servizio Administration Server utilizzeranno questo account DBMS interno per accedere al DBMS.

   Per creare un account DBMS con una password, eseguire il comando seguente:

   /* Create a user named KSCAdmin and specify the password for KSCAdmin */

   CREATE USER 'KSCAdmin' IDENTIFIED BY '<password>';

   Se si utilizza MySQL 8.0 o versioni precedenti come DBMS, si noti che per queste versioni l'autenticazione "Caching SHA2 password" non è supportata. Modificare l’autenticazione predefinita da “Caching SHA2 password” a “MySQL native password”:

   • Per creare un account DBMS che utilizzi l'autenticazione "MySQL native password", eseguire il comando seguente:

     CREATE USER 'KSCAdmin'@'%' IDENTIFIED WITH mysql_native_password BY '<password>';

   • Per modificare l'autenticazione per un account DBMS esistente, eseguire il comando seguente:

     ALTER USER 'KSCAdmin'@'%' IDENTIFIED WITH mysql_native_password BY '<password>';

3. Concedere i seguenti privilegi all'account DBMS creato:
   • Privilegi dello schema:
     • Database di Administration Server: ALL (ad eseclusione di GRANT OPTION)
     • Schemi di sistema (mysql e sys): SELECT, SHOW VIEW
     • Procedura memorizzata di sys.table_exists: EXECUTE
   • Privilegi globali per tutti gli schemi: PROCESS, SUPER

   Per concedere i privilegi richiesti all'account DBMS creato, eseguire lo script seguente:

   /* Grant privileges to KSCAdmin */

   GRANT USAGE ON *.* TO 'KSCAdmin';

   GRANT ALL ON kav.* TO 'KSCAdmin';

   GRANT SELECT, SHOW VIEW ON mysql.* TO 'KSCAdmin';

   GRANT SELECT, SHOW VIEW ON sys.* TO 'KSCAdmin';

   GRANT EXECUTE ON PROCEDURE sys.table_exists TO 'KSCAdmin';

   GRANT PROCESS ON *.* TO 'KSCAdmin';

   GRANT SUPER ON *.* TO 'KSCAdmin';

   Se si usa MariaDB 10.5 o versione precedente come DBMS, non è necessario concedere il privilegio EXECUTE. In questo caso, escludere il seguente comando dallo script: GRANT EXECUTE ON PROCEDURE sys.table_exists TO 'KSCAdmin'.

4. Per visualizzare l'elenco dei privilegi concessi all'account DBMS, eseguire il comando seguente:

   SHOW grants for 'KSCAdmin';

5. Per creare manualmente un database di Administration Server, eseguire lo script seguente (in questo script, il nome del database di Administration Server è kav):

   CREATE DATABASE kav

   DEFAULT CHARACTER SET ascii

   DEFAULT COLLATE ascii_general_ci;

   Utilizzare lo stesso nome di database specificato nello script che crea l'account DBMS.

6. Installazione di Administration Server.

Al termine dell'installazione, viene creato il database di Administration Server e Administration Server è pronto per l'uso.

Configurazione dell'account DBMS per l'utilizzo di PostgreSQL e Postgres Pro

Prerequisiti

Prima di assegnare i diritti all'account DBMS, eseguire le azioni seguenti:

1. Assicurarsi di accedere al sistema con l'account di amministratore locale.
2. Installare un ambiente per l'utilizzo di PostgreSQL e Postgres Pro.

Configurazione dell'account DBMS per l'installazione di Administration Server (creazione automatica del database di Administration Server)

Per configurare l'account DBMS per l'installazione di Administration Server:

1. Eseguire un ambiente per l'utilizzo di PostgreSQL e Postgres Pro.
2. Scegliere un ruolo di Postgres per accedere al DBMS. È possibile utilizzare uno dei seguenti ruoli:
   • L'utente Postgres (il ruolo predefinito di Postgres).

     Se si usa l'utente Postgres, non è necessario concedergli ulteriori diritti.

     Per impostazione predefinita, l'utente Postgres non dispone di una password. Tuttavia, è necessaria una password per installare Kaspersky Security Center Linux. Per impostare una password per l'utente Postgres, eseguire il seguente script:

     ALTER USER "user_name" WITH PASSWORD '<password>';

   • Un nuovo ruolo di Postgres.

     Se si desidera utilizzare un nuovo ruolo di Postgres, creare tale ruolo e concedergli il privilegio CREATEDB. A tale scopo, eseguire il seguente script (in questo script, il ruolo è KCSAdmin):

     CREATE USER "KSCAdmin" WITH PASSWORD '<password>' CREATEDB;

     Il ruolo creato verrà utilizzato come proprietario del database di Administration Server (di seguito denominato anche database del server).

3. Installazione di Administration Server.

Al termine dell'installazione, il database del server viene creato automaticamente e Administration Server è pronto per l'uso.

Configurazione dell'account DBMS per l'installazione di Administration Server (creazione manuale del database di Administration Server)

Per configurare l'account DBMS per l'installazione di Administration Server:

1. Eseguire un ambiente per l'utilizzo di Postgres.
2. Creare un nuovo ruolo di Postgres e un database di Administration Server. Quindi, concedere tutti i privilegi al ruolo nel database di Administration Server. A tale scopo, accedere come utente Postgres al database Postgres ed eseguire il seguente script (in questo script, il ruolo è KCSAdmin, il nome del database di Administration Server è KAV):

   CREATE USER "KSCAdmin" WITH PASSWORD '<password>';

   CREATE DATABASE "KAV" ENCODING 'UTF8' OWNER "KSCAdmin";

   GRANT ALL PRIVILEGES ON DATABASE "KAV" TO "KSCAdmin";

   Se si verifica l'errore "La nuova codifica (UTF8) non è compatibile con la codifica del database modello", creare un database utilizzando il comando:
   CREATE DATABASE "KAV" ENCODING 'UTF8' OWNER "KSCAdmin" TEMPLATE template0;
   anziché:
   CREATE DATABASE "KAV" ENCODING 'UTF8' OWNER "KSCAdmin";

3. Concedere i seguenti privilegi al ruolo di Postgres creato:
   • Privilegi su tutte le tabelle nello schema pubblico: ALL
   • Privilegi su tutte le sequenze nello schema pubblico: ALL

   A tale scopo, accedere come utente Postgres al database del server ed eseguire il seguente script (in questo script, il ruolo è KCSAdmin):

   GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA "public" TO "KSCAdmin";

   GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA "public" TO "KSCAdmin";

4. Installazione di Administration Server.

Al termine dell'installazione, Administration Server utilizzerà il database creato per archiviare i dati di Administration Server. Administration Server è pronto per l'uso.

Certificati per l’utilizzo di Kaspersky Security Center Linux

Questa sezione contiene informazioni sui certificati di Kaspersky Security Center Linux e descrive come emettere e sostituire certificati per Kaspersky Security Center Web Console e come rinnovare un certificato per Administration Server se il Server interagisce con Kaspersky Security Center Web Console.

Informazioni sui certificati di Kaspersky Security Center

Kaspersky Security Center utilizza i seguenti tipi di certificati per consentire un'interazione sicura tra i componenti dell'applicazione:

• Certificato di Administration Server
• Certificato Server Web
• Certificato di Kaspersky Security Center Web Console

Per impostazione predefinita, Kaspersky Security Center utilizza certificati autofirmati (ovvero emessi da Kaspersky Security Center stesso), ma è possibile sostituirli con certificati personalizzati per soddisfare al meglio i requisiti della rete dell'organizzazione e rispettare gli standard di sicurezza. Quando Administration Server verifica che un certificato personalizzato soddisfa tutti i requisiti applicabili, il certificato assume lo stesso ambito funzionale di un certificato autofirmato. L'unica differenza è che un certificato personalizzato non viene riemesso automaticamente alla scadenza. È possibile sostituire i certificati con quelli personalizzati tramite l'utilità klsetsrvcert o la sezione delle proprietà di Administration Server in Kaspersky Security Center Web Console, a seconda del tipo di certificato. Quando si utilizza l'utilità klsetsrvcert, è necessario specificare un tipo di certificato utilizzando uno dei seguenti valori:

• C: certificato comune per le porte 13000 e 13291.
• CR: certificato di riserva comune per le porte 13000 e 13291.

Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.

Certificati di Administration Server

Un certificato di Administration Server è necessario per i seguenti scopi:

• Autenticazione di Administration Server durante la connessione a Kaspersky Security Center Web Console
• Interazione sicura tra Administration Server e Network Agent nei dispositivi gestiti
• Autenticazione quando gli Administration Server primari sono connessi agli Administration Server secondari

Il certificato di Administration Server viene creato automaticamente durante l'installazione del componente Administration Server e viene archiviato nella cartella /var/opt/kaspersky/klnagent_srv/1093/cert/. Specificare il certificato di Administration Server quando si crea un file di risposta per installare Kaspersky Security Center Web Console. Questo certificato è denominato comune ("C").

Il certificato di Administration Server è valido per 397 giorni. Kaspersky Security Center genera automaticamente un certificato ("CR") di riserva comune 90 giorni prima della scadenza del certificato comune. Il certificato di riserva comune viene successivamente utilizzato per la sostituzione immediata del certificato di Administration Server. Quando il certificato comune sta per scadere, il certificato di riserva comune viene utilizzato per gestire la connessione con le istanze di Network Agent installate nei dispositivi gestiti. A tale scopo, il certificato di riserva comune diventa automaticamente il nuovo certificato comune 24 ore prima della scadenza del certificato comune precedente.

Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.

Se necessario, è possibile assegnare un certificato personalizzato per Administration Server. Questo può ad esempio essere necessario per una migliore integrazione con l'infrastruttura PKI esistente dell'azienda o per la configurazione personalizzata dei campi dei certificati. Quando si sostituisce il certificato, tutti i Network Agent che sono stati precedentemente connessi ad Administration Server tramite SSL perderanno la connessione e restituiranno un errore di autenticazione di Administration Server. Per eliminare l'errore, sarà necessario ripristinare la connessione dopo la sostituzione del certificato.

In caso di smarrimento del certificato di Administration Server, è necessario reinstallare il componente Administration Server e ripristinare i dati per recuperarlo.

È inoltre possibile eseguire il backup del certificato di Administration Server separatamente dalle altre impostazioni di Administration Server per spostare Administration Server da un dispositivo all'altro senza perdite di dati.

Certificato Server Web

Il server Web, un componente di Kaspersky Security Center Administration Server, utilizza un tipo speciale di certificato. Questo certificato è necessario per pubblicare i pacchetti di installazione di Network Agent che vengono successivamente scaricati nei dispositivi gestiti. A tale scopo, Server Web può utilizzare diversi certificati.

Server Web utilizza uno dei seguenti certificati, in ordine di priorità:

1. Certificato Server Web personalizzato specificato manualmente tramite Kaspersky Security Center Web Console
2. Certificato di Administration Server comune ("C")

Certificato di Kaspersky Security Center Web Console

Il server di Kaspersky Security Center Web Console (di seguito denominato Web Console) dispone di un proprio certificato. Quando si apre un sito Web, un browser verifica se la connessione è attendibile. Il certificato di Web Console consente di autenticare Web Console e viene utilizzato per criptare il traffico tra un browser e Web Console.

Quando si apre Web Console, il browser potrebbe informare che la connessione a Web Console non è privata e il certificato Web Console non è valido. Questo avviso viene visualizzato perché il certificato di Web Console è autofirmato e generato automaticamente da Kaspersky Security Center. Per rimuovere questo avviso è possibile eseguire una delle seguenti operazioni:

• Sostituire il certificato di Web Console con uno personalizzato (opzione consigliata). Creare un certificato attendibile nella propria infrastruttura e che soddisfi i requisiti per i certificati personalizzati.
• Aggiungere il certificato di Web Console all'elenco dei certificati del browser attendibili. È consigliabile utilizzare questa opzione solo se non è possibile creare un certificato personalizzato.

Requisiti per i certificati personalizzati utilizzati in Kaspersky Security Center Linux

La seguente tabella visualizza i requisiti per i certificati personalizzati specificati per i diversi componenti di Kaspersky Security Center Linux.

Requisiti per i certificati di Kaspersky Security Center Linux

Riemissione del certificato per Kaspersky Security Center Web Console

La maggior parte dei browser impone un limite relativo al periodo di validità di un certificato. Per rientrare in questo limite, il periodo di validità del certificato di Kaspersky Security Center Web Console è limitato a 397 giorni. È possibile sostituire un certificato esistente ricevuto da un'autorità di certificazione (CA) emettendo manualmente un nuovo certificato autofirmato. In alternativa, è possibile riemettere il certificato scaduto di Kaspersky Security Center Web Console.

La riemissione automatica del certificato per Kaspersky Security Center Web Console non è supportata È necessario riemettere manualmente il certificato scaduto.

Quando si apre Kaspersky Security Center Web Console, il browser può segnalare che la connessione a Kaspersky Security Center Web Console non è privata e il certificato di Kaspersky Security Center Web Console non è valido. Questo avviso viene visualizzato perché il certificato di Web Console è autofirmato e generato automaticamente da Kaspersky Security Center Linux. Per rimuovere o impedire questo avviso, è possibile eseguire una delle seguenti operazioni:

• Specificare un certificato personalizzato quando lo si emette nuovamente (opzione consigliata). Creare un certificato attendibile nella propria infrastruttura e che soddisfi i requisiti per i certificati personalizzati.
• Aggiungere il certificato di Kaspersky Security Center Web Console all'elenco dei certificati del browser attendibili dopo la riemissione del certificato. È consigliabile utilizzare questa opzione solo se non è possibile creare un certificato personalizzato.

Per riemettere il certificato scaduto di Kaspersky Security Center Web Console:

Reinstallare Kaspersky Security Center Web Console eseguendo una delle seguenti operazioni:

• Se si desidera utilizzare lo stesso file di installazione di Kaspersky Security Center Web Console, rimuovere Kaspersky Security Center Web Console, quindi installare la stessa versione di Kaspersky Security Center Web Console.
• Se si desidera utilizzare un file di installazione di una versione aggiornata, eseguire il comando di upgrade.

Il certificato di Kaspersky Security Center Web Console viene riemesso per un altro periodo di validità di 397 giorni.

Sostituzione del certificato per Kaspersky Security Center Web Console

Per impostazione predefinita, quando si installa Kaspersky Security Center Web Console Server (anche noto come Kaspersky Security Center Web Console), viene generato automaticamente un certificato del browser per l'applicazione. È possibile sostituire il certificato generato automaticamente con uno personalizzato.

Per sostituire il certificato per Kaspersky Security Center Web Console con uno personalizzato:

1. Creare un nuovo file di risposta richiesto per l'installazione di Kaspersky Security Center Web Console.
2. In questo file specificare i percorsi del file di certificato personalizzato e del file chiave utilizzando il parametro certPath e il parametro keyPath.
3. Reinstallare Kaspersky Security Center Web Console specificando il nuovo file di risposta. Eseguire una delle seguenti operazioni:
   • Se si desidera utilizzare lo stesso file di installazione di Kaspersky Security Center Web Console, rimuovere Kaspersky Security Center Web Console, quindi installare la stessa versione di Kaspersky Security Center Web Console.
   • Se si desidera utilizzare un file di installazione di una versione aggiornata, eseguire il comando di upgrade.

Kaspersky Security Center Web Console funziona con il certificato specificato.

Conversione di un certificato PFX nel formato PEM

Per utilizzare un certificato PFX in Kaspersky Security Center Web Console, è prima necessario convertirlo nel formato PEM utilizzando un’utilità multipiattaforma basata su OpenSSL.

Per convertire un certificato PFX nel formato PEM nel sistema operativo Linux:

1. In un'utilità multipiattaforma basata su OpenSSL, eseguire i seguenti comandi:

   openssl pkcs12 -in <filename.pfx> -clcerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > server.crt

   openssl pkcs12 -in <filename.pfx> -nocerts -nodes | sed -ne '/-BEGIN PRIVATE KEY-/,/-END PRIVATE KEY-/p' > key.pem

2. Assicurarsi che il file del certificato e la chiave privata siano generati nella stessa directory in cui è archiviato il file .pfx.
3. Kaspersky Security Center Web Console non supporta i certificati protetti da passphrase. Pertanto, eseguire il comando seguente in un'utilità multipiattaforma basata su OpenSSL per rimuovere una passphrase dal file .pem:

   openssl rsa -in key.pem -out key-without-passphrase.pem

   Non utilizzare lo stesso nome per i file .pem di input e output.

   Di conseguenza, il nuovo file .pem non risulta criptato. Non è necessario inserire una passphrase per utilizzarlo.

I file .crt e .pem sono pronti per l'uso e possono essere specificati nel programma di installazione di Kaspersky Security Center Web Console.

Scenario: Specificazione del certificato di Administration Server personalizzato

È possibile assegnare il certificato di Administration Server personalizzato, ad esempio per una migliore integrazione con l'infrastruttura a chiave pubblica (PKI) esistente dell'azienda o per la configurazione personalizzata dei campi del certificato. È consigliabile sostituire il certificato subito dopo l'installazione di Administration Server e prima del completamento dell'Avvio rapido guidato.

Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.

Prerequisiti

Il nuovo certificato deve essere creato nel formato PKCS#12 (ad esempio tramite l'infrastruttura PKI dell'organizzazione) e deve essere rilasciato da un'autorità di certificazione (CA) attendibile. Inoltre, il nuovo certificato deve includere l'intera catena di attendibilità e una chiave privata, che deve essere archiviata nel file con estensione pfx o p12. Per il nuovo certificato devono essere soddisfatti i requisiti elencati di seguito.

Tipo di certificato: certificato comune, certificato di riserva comune ("C", "CR")

Requisiti:

• Lunghezza minima della chiave: 2048
• Vincoli di base:
  • CA: true
  • Vincolo lunghezza percorso: nessuno

    Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" ma non inferiore a 1.

• Utilizzo chiave:
  • Firma digitale
  • Firma del certificato
  • Cifratura chiave
  • Firma CRL
• EKU (Extended Key Usage): autenticazione del server e autenticazione del client. Il parametro EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del server e del client devono essere specificati nell'EKU.

I certificati rilasciati da un'autorità di certificazione pubblica non dispongono dell'autorizzazione di firma del certificato. Per utilizzare tali certificati, assicurarsi di aver installato Network Agent versione 13 o successiva nei punti di distribuzione o nei gateway di connessione della rete. In caso contrario, non sarà possibile utilizzare i certificati senza l'autorizzazione di firma.

Passaggi

Sono necessari alcuni passaggi per specificare il certificato di Administration Server:

1. Sostituzione del certificato di Administration Server

   A tale scopo, utilizzare la riga di comando utilità klsetsrvcert.

2. Specificazione di un nuovo certificato e ripristino della connessione dei Network Agent ad Administration Server

   Quando il certificato viene sostituito, tutti i Network Agent precedentemente connessi ad Administration Server tramite SSL perdono la connessione e restituiscono un errore di autenticazione di Administration Server. Per specificare il nuovo certificato e ripristinare la connessione, utilizzare l'utilità klmover della riga di comando.

Risultati

Al termine dello scenario, il certificato di Administration Server viene sostituito e il server viene autenticato dai Network Agent nei dispositivi gestiti.

Sostituzione del certificato di Administration Server con l'utilità klsetsrvcert

Per sostituire il certificato di Administration Server:

Dalla riga di comando eseguire la seguente utilità:

Non è necessario scaricare l'utilità klsetsrvcert. È inclusa nel kit di distribuzione di Kaspersky Security Center Linux. Non è compatibile con le versioni precedenti di Kaspersky Security Center Linux.

La descrizione dei parametri dell'utilità klsetsrvcert è contenuta nella seguente tabella.

Valori dei parametri dell'utilità klsetsrvcert

Per specificare il certificato personalizzato di Administration Server, utilizzare ad esempio il seguente comando:

Dopo la sostituzione del certificato, tutti i Network Agent connessi ad Administration Server tramite SSL perdono la connessione. Per ripristinarla, utilizzare l'utilità klmover della riga di comando.

Per evitare di perdere le connessioni di Network Agent, utilizzare i seguenti comandi:

1. Per installare il nuovo certificato,
   klsetsrvcert -t CR -i <inputfile> -p <password> -o NoCA
2. Per specificare la data in cui verrà applicato il nuovo certificato,
   klsetsrvcert -f "DD-MM-YYYY hh:mm"

dove "DD-MM-YYYY hh:mm" è la data di 3-4 settimane successive alla data attuale. Lo slittamento temporale per la modifica del certificato in uno nuovo consentirà la distribuzione del nuovo certificato a tutti i Network Agent.

Connessione dei Network Agent ad Administration Server con l'utilità klmover

Dopo aver sostituito il certificato di Administration Server utilizzando l'utilità klsetsrvcert della riga di comando, è necessario stabilire la connessione SSL tra Network Agent e Administration Server in quanto la connessione è interrotta.

Per specificare il nuovo certificato di Administration Server e ripristinare la connessione:

Dalla riga di comando eseguire la seguente utilità:

klmover [-address <indirizzo server>] [-pn <numero porta>] [-ps <numero porta SSL>] [-nossl] [-cert <percorso del file di certificato>]

Questa utilità viene copiata automaticamente nella cartella di installazione di Network Agent, quando Network Agent viene installato in un dispositivo client.

Non è possibile utilizzare l'utilità klmover per i dispositivi client connessi ad Administration Server tramite gateway di connessione. Per tali dispositivi è necessario riconfigurare Network Agent o reinstallarlo e specificare il gateway di connessione.

La descrizione dei parametri dell'utilità klmover è contenuta nella seguente tabella.

Valori dei parametri dell'utilità klmover

Definizione di una cartella condivisa

Dopo l'installazione dell'Administration Server, è possibile specificare il percorso della cartella condivisa nelle proprietà dell'Administration Server. Per impostazione predefinita, la cartella condivisa viene creata nel dispositivo con l'Administration Server. Tuttavia, in alcuni casi (ad esempio, carico elevato o esigenza di accesso da una rete isolata) è consigliabile posizionare la cartella condivisa in una risorsa file dedicata.

La cartella condivisa viene utilizzata occasionalmente durante la distribuzione di Network Agent.

La distinzione tra maiuscole e minuscole per la cartella condivisa deve essere disabilitata.