Развертывание KSC 14 на Astra Linux SE

Развертывание KSC 14 на Astra Linux SE
Содержание статьи
  1. Развертывание ОС Astra Linux Special Edition 1.7.2
  2. Установка и настройка PostgreSQL 14
  3. Установка Kaspersky Security Center 14.2
  4. Установка веб-консоли KSC Web Console
  5. Сравнение KSC на базе Linux и Windows
В контексте современных угроз и тенденции перехода организаций на отечественные операционные системы всё чаще у системных администраторов возникают вопросы о сложности такой миграции, о возможностях, которые будут доступны или недоступны, и множестве прочих нюансов. В связи с этим одной из немаловажных тем становится миграция средств защиты узлов сети и несомненно одним из лидеров рынка в этой области является Лаборатория Касперского.

Статью подготовили инженеры внедрения и технической поддержки TS Solution . Группа компаний «TS Solution» решает задачи по проектированию и внедрению комплексных проектов в сфере ИТ и ИБ на основе отечественных и зарубежных решений.

Основные направления деятельности:
– Аудит, соответствие требованиям регуляторов, категорирование объектов КИИ.
– Полный спектр работ по построению системы ИБ.
– Проектирование и внедрение инфраструктурных решений, серверные технологии и системы хранения данных.
– Работы требующие аттестации ФСТЭК и ФСБ.
– Предоставление 1-й и 2-й линии технической поддержки и полное техническое сопровождение проектов.
– Проведение авторизованных и авторских курсов и программ обучения.

Линейка продуктов Kaspersky Security для бизнеса защищает вашу организацию от угроз всех типов, в том числе от шифровальщиков и бесфайловых атак. Благодаря большому числу продуктов, входящих в линейку, каждая организация может выбрать подходящий для себя уровень защиты и легко перейти на следующий уровень по мере роста и развития компании и процессов информационной безопасности

Центральным компонентом, с помощью которого осуществляется управление целым набором программных продуктов, является Kaspersky Security Center. Kaspersky Security Center упрощает управление безопасностью и администрирование IT-систем, а также удовлетворяет потребности в защите, которые изменяются вместе с вашей компанией. Единая универсальная консоль позволяет управлять всеми IT-системами, а также облегчает разделение обязанностей между администраторами.

Также рекомендуем посмотреть вебинар, где мы с коллегами из Лаборатории Касперского обсуждаем платформу против целенаправленных атак Kaspersky Anti Targeted Attack Platform (KATA): Применение Kaspersky KATA & KEDR в контексте актуальных угроз

В рамках этой статьи мы поговорим о развертывании Kaspersky Security Center 14.2 на Astra Linux Special Edition 1.7.2. В качестве базы данных будет использоваться последняя версия PostgreSQL 14, поддерживаемая операционной системой, и Kaspersky Security Center на данный момент.

Для установки потребуются базовые навыки работы с консолью и редактором текста nano.


Развертывание ОС Astra Linux Special Edition 1.7.2

Kaspersky Security Center 14 Linux поддерживает большое количество различных дистрибутивов Linux:

  • Debian GNU/Linux 9.х (Stretch) 32-разрядная/64-разрядная;
  • Debian GNU/Linux 10.х (Buster) 32-разрядная/64-разрядная;
  • Debian GNU/Linux 11.х (Bullseye) 32-разрядная/64-разрядная;
  • Ubuntu Server 18.04 LTS (Bionic Beaver) 64-разрядная;
  • Ubuntu Server 20.04 LTS (Focal Fossa) 64-разрядная;
  • Ubuntu Server 22.04 LTS (Jammy Jellyfish) 64-разрядная;
  • CentOS 7.x 64-разрядная;
  • Red Hat Enterprise Linux Server 7.x 64-разрядная;
  • Red Hat Enterprise Linux Server 8.x 64-разрядная;
  • Red Hat Enterprise Linux Server 9.x 64-разрядная;
  • SUSE Linux Enterprise Server 12 (все пакеты обновлений) 64-разрядная;
  • SUSE Linux Enterprise Server 15 (все пакеты обновлений) 64-разрядная;
  • Astra Linux Special Edition, версия 1.6 (включая режим замкнутой программной среды и обязательный режим) 64-разрядная;
  • Astra Linux Special Edition 1.7.2 (включая режим замкнутой программной среды и мандатный режим) 64-разрядная;
  • Astra Linux Common Edition 2.12 64-разрядная;
  • Альт Сервер 9.2 64-разрядная;
  • Альт Сервер 10 64-разрядная;
  • Альт 8 СП Сервер (ЛКНВ.11100-01) 64-разрядная;
  • Альт 8 СП Сервер (ЛКНВ.11100-02) 64-разрядная;
  • Альт 8 СП Сервер (ЛКНВ.11100-03) 64-разрядная;
  • Oracle Linux 7 64-разрядная;
  • Oracle Linux 8 64-разрядная;
  • Oracle Linux 9 64-разрядная;
  • РЕД ОС 7.3 Сервер 64-разрядная;
  • РЕД ОС 7.3 Сертифицированная редакция 64-разрядная.
В качестве базовой операционной системы для Kaspersky Security Center 14 мы рассмотрим один из наиболее популярных отечественных дистрибутивов Linux – Astra Linux Special Edition 1.7 от компании «РусБИТех-Астра».

Мы будем использовать поддерживаемую технической поддержкой Kaspersky Astra Linux Special Edition 1.7.2 с максимальным уровнем защищенности «Смоленск». Однако возможно использование и других уровней защищенности – «Орел» или «Воронеж». Параметры дополнительных настроек безопасности соответствуют редакции «Орел».

Выполните установку ОС Astra Linux согласно требованиям вашей организации.







Используя графический интерфейс, зададим параметры для сетевого интерфейса на сервере. Мы будем использовать внутренний IP-адрес 10.10.30.232/24.



Далее для удобства все команды будут выполняться в командной строке через SSH подключение программой PuTTY.

Внимание! При установке KSC 14 необходимо использовать компонент astra-ce расширенного репозитория для установки СУБД PostgreSQL 14. В данной редакции СУБД PostgreSQL не поддерживает МРД. Редакция СУБД PostgreSQL 11 (с поддержкой МРД) не поддерживается KSC 14.

Пакеты, содержащиеся в расширенном репозитории, не дорабатываются для применения в Astra Linux Special Edition и не проходят сертификационные испытания, но технически могут обновлять (заменять) пакеты, находящиеся в базовом репозитории, и доработанные для применения с КСЗ Astra Linux Special Edition.

Работа ПО, установленного из расширенного репозитория, как и любого другого ПО, контролируется общими правилами МРД и МКЦ, действующими в ОС. При этом ОС может работать в любом режиме защиты, однако взаимодействие КСЗ и ПО может быть ограничено. При замене пакета PostgreSQL отключается возможность использования мандатного управления доступом для записей базы данных PostgreSQL. Для обозначения того, что Astra Linux Special Edition работает с использованием таких заменяющих пакетов, используется технический термин "состояние совместимости с Astra Linux Common Edition". Пакеты с таким заменяющим ПО объединены в специальном компоненте расширенного репозитория - компоненте astra-ce.

Файл с указанием адресов репозиториев в качестве источников хранится в разделе /etc/apt/sources.list. Для его редактирования необходимо выполнить команду, а затем внести адреса репозиториев

sudo nano /etc/apt/sources.list

Внимание! Для использования репозиториев по протоколу HTTPS, установить пакеты apt-transport-https и ca-certificates. Проверьте корректность установленного времени на ПК. Если установить пакеты невозможно, измените адрес репозиториев с https на http

# Основной репозиторий (установочный диск)
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/ 1.7_x86-64 main contrib non-free

# Актуальное обновление основного репозитория
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-update/ 1.7_x86-64 main contrib non-free

# Базовый репозиторий
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free

# Расширенный репозиторий
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/ 1.7_x86-64 main contrib non-free

# astra-ce
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/ 1.7_x86-64 astra-ce

Интернет-репозитории являются актуальными для Astra Linux Special Edition x.7 на момент написания статьи. Актуальные репозитории можно узнать из Wiki .



Включение компoнента astra-ce:

sudo astra-ce https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/



sudo astra-update -A -r




Установка и настройка PostgreSQL 14

После добавления всех необходимых репозиториев можно приступать к установке СУБД. Для начала проверим какие версии PostgreSQL нам доступны:

sudo apt policy postgresql



Доступны версии 11 с поддержкой МРД и версия 14 без поддержки МРД, но только PostgreSQL 14 подходит под требования к Kaspersky Security Center, поэтому её и установим.

sudo apt install postgresql-14



Установка не занимает много времени. После установки нам необходимо изменить параметры в конфигурационном файле postgres.conf для того, чтобы они соответствовали рекомендованным Лабораторией Касперского. Откроем файл на редактирование:

sudo nano /etc/postgresql/14/main/postgresql.conf

Параметры выставляются в соответствии со следующими рекомендациями:
  • shared_buffers = 25% от объема оперативной памяти устройства, на котором установлена СУБД
  • Если оперативной памяти меньше 1 ГБ, то оставьте значение по умолчанию.
  • huge_pages = try
  • temp_buffers = 24MB
  • max_prepared_transactions = 0
  • work_mem = 16MB
  • temp_file_limit = -1
  • max_connections = 151
  • fsync = on



Сохраняем файл и закрываем.

Следующим этапом нам необходимо отредактировать конфигурационный файл pg_hba.conf, который отвечает за безопасность доступа к СУБД. Мы будем использовать для доступа к БД специально созданную учетную запись с именем kscdbowner, её нам и необходимо задать в файле. Вы можете выбрать другое имя учетной записи, но тогда измените имя при создании УЗ на следующем этапе.

Откроем файл на редактирование:
sudo nano /etc/postgresql/14/main/pg_hba.conf

Добавим следующую строку в раздел “Database administrative login by Unix domain socket”
local all kscdbowner md5



Сохраняем файл и закрываем.

Перезапускаем службу postgresql:
sudo systemctl restart postgresql

Войдем под пользователем postgres в консоли:
sudo su - postgres

Создадим пользователя базы данных kscdbowner и базу данных kscdb. Владельцем базы будет созданный нами пользователь. Установим пользователю пароль для доступа в базу, пароль необходимо использовать более надежный, но мы для примера возьмем «P@SSWORD».

createuser kscdbowner
createdb kscdb -O kscdbowner
psql -c "alter user kscdbowner with password «P@SSW0RD»

Проверим возможность входа в базу под новым пользователем:

psql -U kscdbowner -d kscdb

Если вход выполнен успешно, то у нас откроется консоль для работы с базой.

Выйдем из консоли базы данных:
exit

И выйдем из консоли пользователя postgres:
exit



Теперь, когда база данных подготовлена, можно приступать к этапам развертывания KSC.

Установка Kaspersky Security Center 14.2

Подготовка пользователей и групп

Для корректной работы служб KSC необходимо создать пользователя в операционной системе. Назовем его ksc.

sudo adduser ksc

Та же создадим группу для администраторов будущей KSC, называться она будет kladmins. Добавим пользователя ksc в новую группу и позволим ему управлять членством:

sudo groupadd kladmins
sudo gpasswd -a ksc kladmins
sudo usermod -g kladmins ksc

При создании пользователя система запросит различные данные о нем, все они необязательные. В нашем случае, так как запись служебная, просто нажмем Enter несколько раз и оставим все поля пустыми.



Скачивание и установка дистрибутива

Вы можете использовать графический интерфейс Astra Linux или программу для доступа к файловой системе по SSH, если такой способ был разрешен при установке. Для загрузки файлов дистрибутивов KSC и веб-консоли на сервер возможно использование приложений с поддержкой протоколов FTP/SFTP, например, WinSCP или MobaXterm. Файлы доступны публично на сайте Лаборатории Касперского. Для Astra Linux, установленной на процессор x64-86, мы используем пакеты deb 64-разрядной версии.

Перейдем в каталог загрузок и запустим установку дистрибутива:
sudo dpkg –i ksc64_14.2.0-23324_amd64.deb

В конце нас извещают об успешной установке и просят запустить скрипт для корректной настройки сервера перед началом использования.



Выполнение скрипта настройки

После выполнения установки нам необходимо задать некоторые параметры. Для этого мы должны запустить скрипт, который в интерактивном режиме внесет необходимые изменения.

Выполним команду:
sudo /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

В начале нас попросят принять два соглашения, а далее по порядку будут уточняться вид сервера, адрес сервера, номер порта SSL для подключения агентов, планируемое количество устройств, группа безопасности для служб, имя служебной записи для запуска служб, вид базы данных, адрес и порт для доступа к базе, а также учетные данные для доступа. Заполните это в соответствии с данными по вашей инфраструктуре. Так как СУБД располагается на этом же сервере, то его адрес будет 127.0.0.1. Важно отметить, что здесь не принимается localhost в качестве корректного значения.





После ввода пароля для доступа к базе данных, скрипт начнет производить необходимые изменения с базой данных и службами. Дождемся окончания. В конце скрипт попросит вас указать имя главного администратора системы и пароль, позже он понадобится для доступа в веб-консоль. Мы укажем имя Administrator.

Регистрируйтесь и читайте статью до конца на TS University .
Kaspersky Лаборатория Касперского
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Теория струн? У нас целый оркестр научных фактов!

От классики до авангарда — наука во всех жанрах

Настройтесь на нашу волну — подпишитесь