F-Secure Linux Security 64
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
F-Secure Linux Security 64
Table des matières | F-Secure Linux Security 64
Table des matières
Chapitre 1 : Présentation...............................................................................4
1.1 Fonctionnement du produit...............................................................................................................................5
1.2 Fonctionnalités clés et avantages.......................................................................................................................5
1.3 Qu'est-ce que du contenu dangereux...............................................................................................................6
1.3.1 Virus....................................................................................................................................................6
1.3.2 Applications potentiellement indésirables et applications indésirables.............................................6
1.3.3 Vers.....................................................................................................................................................7
1.3.4 Chevaux de Troie................................................................................................................................7
1.3.5 Portes dérobées..................................................................................................................................7
1.3.6 Exploits...............................................................................................................................................8
1.3.7 Kits d'exploits......................................................................................................................................8
1.3.8 Rootkits...............................................................................................................................................8
Chapitre 2 : Installation...............................................................................10
2.1 Création du package d'installation....................................................................................................................11
2.2 Création du package de contenu pour les environnements isolés...................................................................11
2.3 Déploiement du package d'installation............................................................................................................12
2.3.1 Retarder l'activation du produit........................................................................................................14
2.4 Désinstallation du produit...............................................................................................................................14
Chapitre 3 : Utilisation du produit................................................................16
3.1 Analyse en temps réel.......................................................................................................................................17
3.2 Vérification de l'intégrité..................................................................................................................................17
3.3 Mises à jour automatiques................................................................................................................................19
3.4 Utiliser les proxies HTTP...................................................................................................................................19
3.5 Exemple : gestion des profils de vérificateur d'intégrité.................................................................................20
3.6 Bases d'utilisation de F-Secure Policy Manager................................................................................................21
3.6.1 Utilisation de l'analyse en temps réel avec Policy Manager...............................................................21
3.6.2 Utilisation de la vérification de l'intégrité avec Policy Manager.......................................................24
3.6.3 Configuration des options de mise à jour automatique avec Policy Manager.................................24
3.7 Configuration des paramètres à l'aide de l'utilitaire lsctl.................................................................................26
3.7.1 Définition des types et de l'arborescence des paramètres...............................................................27
3.7.2 Utilisation des paramètres................................................................................................................28
3.7.3 Formats d'entrée et de sortie...........................................................................................................29
3.7.4 Utilisation de tableaux......................................................................................................................30
3.7.5 Charger les paramètres du produit à partir d'un fichier....................................................................31
3.7.6 Utilisation de lsctl et Policy Manager.................................................................................................31
3.7.7 Contrôle de l'état du produit............................................................................................................32
3.7.8 Paramètres de ligne de commande pour analyse en temps réel......................................................34
3.7.9 Paramètres de ligne de commande pour la vérification de l'intégrité.............................................36F-Secure Linux Security 64 | Table des matières
3.7.10 Paramètres de ligne de commande pour mises à jour automatiques.............................................37
3.8 Utilisation de la ligne de commande................................................................................................................38
3.8.1 Démarrer et arrêter les services........................................................................................................38
3.8.2 Analyse manuelle de l'ordinateur depuis la ligne de commande.....................................................39
3.8.3 Test de la protection antivirus.........................................................................................................40
3.8.4 Exécution du vérificateur d'intégrité depuis la ligne de commande................................................41
3.8.5 Mise à jour manuelle du produit depuis la ligne de commande.......................................................41
3.8.6 Mise à jour manuelle du produit avec une archive de mise à jour....................................................42
Annexe A : Niveaux de gravité des alertes...................................................44
Annexe B : Services installés avec le produit................................................46
Annexe C : Services cloud............................................................................484 | Présentation
Chapitre
1
Présentation
Sujets : Le produit fournit une solution de sécurité intégrée et prête à l'emploi avec une
protection en temps réel performante contre les virus et les applications
• Fonctionnement du produit potentiellement indésirables. Il inclut également une fonctionnalité de prévention
• Fonctionnalités clés et avantages des intrusions sur l'hôte (HIPS) qui vous protège contre toute tentative de
• Qu'est-ce que du contenu dangereux connexion non autorisée à partir du réseau, modification non autorisée du
système, ainsi que les rootkits d'espace utilisateur et de noyau.
Les virus informatiques sont l'une des pires menaces pour la sécurité des données.
Si certains se résument à des blagues inoffensives, d'autres peuvent détruire des
données et constituent une véritable menace.
La solution est facile à déployer et à gérer à l'aide de F-Secure Policy Manager.
Vous pouvez également exécuter Linux Security 64 sans connexion à Policy
Manager, auquel cas vous pouvez gérer les paramètres du produit à l'aide de
l'utilitaire de ligne de commande.
Remarque : Contrairement aux versions précédentes, Linux Security
64 n'inclut pas d'interface utilisateur Web distincte.F-Secure Linux Security 64 | 5
1.1 Fonctionnement du produit
Le produit détecte et prévient les intrusions, et protège contre les logiciels malveillants.
Lorsque l'utilisateur télécharge un fichier sur Internet, par exemple, en cliquant sur un lien dans un e-mail, celui-ci est
analysé au moment où il essaie de l'ouvrir. Si le fichier est infecté, le produit protège le système contre le logiciel malveillant.
• L'analyse en temps réel vous offre une protection continue contre les virus et les applications potentiellement
indésirables alors que les fichiers sont ouverts, copiés et téléchargés à partir du Web. L'analyse en temps réel fonctionne
en arrière-plan, en toute transparence, et recherche les virus à chaque fois que vous accédez à des fichiers sur le
disque dur, sur un support amovible ou sur des lecteurs réseau. Si vous tentez d'accéder à un fichier infecté, la
protection en temps réel empêche automatiquement l'exécution du virus.
• Lorsque l'analyse en temps réel est configurée pour analyser un nombre limité de fichiers, l'analyse manuelle vous
permet d'analyser l'intégralité du système. Vous pouvez également utiliser l'analyse planifiée pour analyser
régulièrement l'intégralité du système.
• Les mises à jour automatiques actualisent en permanence les définitions de virus. Les bases de données de définitions
de virus sont mises à jour automatiquement une fois le produit installé. Les mises à jour de définitions de virus sont
signées par F-Secure.
Le système de prévention des intrusions sur l'hôte (HIPS) détecte toutes les activités malveillantes sur l'hôte, ce qui permet
de protéger le système à différents niveaux.
• La vérification de l'intégrité protège le système contre les modifications non autorisées. Elle repose sur le concept
d'une bonne configuration : le produit doit être installé avant que l'ordinateur ne soit connecté au réseau afin de
garantir que la configuration du système est bonne et connue.
Vous pouvez créer une ligne de base des fichiers système que vous souhaitez protéger, et empêcher l'utilisation de
fichiers modifiés pour tous les utilisateurs.
• Si un attaquant obtient un accès système shell et essaye d'ajouter un compte utilisateur pour se connecter au système
par la suite, le système de prévention des intrusions sur l'hôte (HIPS) détecte les fichiers système modifiés et avertit
l'administrateur.
• Si un pirate a obtenu l'accès au système et essaie d'installer un rootkit sur l'espace utilisateur en remplaçant plusieurs
utilitaires système, HIPS détecte les fichiers système modifiés et avertit l'administrateur.
1.2 Fonctionnalités clés et avantages
Le produit offre une excellente protection contre les virus et les vers, tout en étant transparent pour les utilisateurs finaux.
Le produit analyse les fichiers sur un large éventail de systèmes pris en charge par Linux.
• Analyse les fichiers sur tout système de fichiers pris en charge par Linux.
• Taux de détection supérieur grâce à plusieurs moteurs d'analyse.
• Un moteur d'analyse heuristique peut détecter les fichiers suspects et potentiellement dangereux.
• Le produit peut détecter et classer les applications potentiellement indésirables.
• Le produit peut être configuré de sorte à empêcher les utilisateurs de contourner la protection.
• Les fichiers sont analysés contre les virus lors de leur ouverture, de leur fermeture ou avant leur exécution.
• Vous pouvez spécifier les fichiers à analyser, les modalités d'analyse, les actions à prendre lors de la détection de
contenu malveillant et les modalités des alertes relatives aux infections.
• Analyse cursive des fichiers d'archive.
• Les mises à jour des bases de données de définitions de virus sont signées pour une question de sécurité.
Le produit fonctionne de manière totalement transparente pour les utilisateurs finaux.
• Les bases de données de définitions de virus sont automatiquement mises à jour sans intervention de l'utilisateur
final.
Les données critiques des fichiers système sont stockées et automatiquement vérifiées avant toute autorisation d'accès.6 | Présentation
• L'administrateur peut protéger les fichiers contre les modifications afin qu'il soit impossible, par exemple, d'installer
une version trojan d'un logiciel.
• Une alerte est envoyée à l'administrateur lorsqu'un fichier système modifié est détecté.
Les paramètres par défaut s'appliquent à la plupart des systèmes.
• Des stratégies de sécurité sont configurées et distribuées à partir d'un emplacement central.
Le produit dispose de fonctions de surveillance et d'alerte complètes qui permettent d'avertir un administrateur du réseau
d'entreprise lors de la détection d'un contenu infecté.
1.3 Qu'est-ce que du contenu dangereux
Les fichiers et applications dangereux peuvent tenter de porter atteinte à l'intégrité de vos données ou d'obtenir un accès
non autorisé à votre ordinateur en vue de dérober vos informations personnelles.
1.3.1 Virus
Un virus est généralement un programme susceptible de s'attacher à des fichiers et de se répliquer indéfiniment. Il peut
modifier et remplacer le contenu des autres fichiers de sorte à endommager l'ordinateur.
Un virus est un programme qui s'installe normalement à l'insu de l'utilisateur d'un ordinateur. Une fois installé, le virus
essaie de se répliquer. Il :
• utilise certaines des ressources système ;
• peut modifier ou endommager des fichiers sur l'ordinateur ;
• essaie d'utiliser l'ordinateur pour infecter d'autres ordinateurs ;
• peut permettre d'utiliser l'ordinateur à des fins illégales.
1.3.2 Applications potentiellement indésirables et applications indésirables
Les applications potentiellement indésirables affichent des comportements ou des caractéristiques que vous êtes
susceptible de considérer comme étant indésirables. De leur côté, les applications indésirables présentent des
comportements ou des caractéristiques qui ont une incidence plus néfaste sur votre appareil ou vos données.
Une application peut être identifiée comme potentiellement indésirable si elle peut :
• affecter votre confidentialité ou votre productivité - par exemple, en divulguant des renseignements personnels
ou en effectuant des actions non autorisées ;
• entraîner une surconsommation des ressources de votre appareil - par exemple, en utilisant une quantité excessive
de mémoire ou de stockage ;
• compromettre la sécurité de votre appareil ou des informations qui y sont stockées - par exemple, en vous
exposant à du contenu ou à des applications inattendus.
Si ces comportements et caractéristiques peuvent avoir un impact variable (faible à sévère) sur votre appareil ou vos
données, ils ne sont néanmoins pas assez dangereux pour que les applications en question soient considérées comme
des programmes malveillants.
Si une application présente des comportements ou des caractéristiques ayant un impact sévère, celle-ci est perçue comme
indésirable. De telles applications sont traitées avec une grande prudence par le produit.
Le produit gère une application différemment selon qu'il s'agit d'une application potentiellement indésirable ou indésirable
:
• Application potentiellement indésirable : le produit empêche automatiquement l'exécution de l'application. Si
vous faites confiance à l'application avec certitude, vous pouvez demander au produit F-Secure de l'exclure de l'analyse.
Vous devez disposer de droits d'administration pour exclure un fichier bloqué de l'analyse.
• Application indésirable : le produit bloque automatiquement l'exécution de l'application.F-Secure Linux Security 64 | 7
1.3.3 Vers
Les vers sont des programmes malveillants capables de s'autorépliquer sur les appareils ou via les réseaux informatiques,
et de réaliser des actions nuisibles à l'insu de l'utilisateur.
Les vers informatiques sont les seuls logiciels malveillants ayant la possibilité de s'autopropager sans action de l'utilisateur.
Nombre d'entre eux sont conçus de sorte à tromper l'utilisateur. Ils peuvent prendre l'apparence d'images, de vidéos,
d'applications ou de tout autre programme/fichier utiles. L'objectif consiste à gagner la confiance de l'utilisateur et de
le pousser à installer le vers. D'autres vers sont en revanche entièrement furtifs, car ils exploitent les failles des appareils
(ou des programmes qui y sont installés).
Une fois installé, le vers utilise les ressources physiques de l'appareil pour s'autorépliquer et se propager via le réseau. La
diffusion d'une grande quantité de copies est susceptible d'altérer les performances de l'appareil. Et si de nombreux
appareils sont infectés - qui envoient alors des copies du vers -, le réseau lui-même peut être perturbé. Certains vers sont
également capables d'endommager directement l'appareil touché (par exemple, en modifiant les fichiers qui y sont
stockés, en installant d'autres applications nuisibles et en dérobant des données).
La plupart des vers se propagent uniquement sur un type de réseau spécifique. Toutefois, certains peuvent se propager
sur deux types ou plus, bien qu'ils restent relativement rares. D'ordinaire, les vers essaient de se propager à travers l'un
des réseaux suivants (même s'il en existe d'autres qui ciblent des canaux moins populaires) :
• Réseaux locaux
• Réseaux de messagerie
• Sites de réseaux sociaux
• Connexions Peer-to-peer (P2P)
• SMS ou MMS
1.3.4 Chevaux de Troie
Les chevaux de Troie sont des logiciels en apparence légitimes ou attractifs, mais qui réalisent des actions dangereuses
en arrière-plan, à l'insu de l'utilisateur.
Les chevaux de Troie tirent leur nom d'une célèbre légende de la Grèce antique. Ils peuvent ressembler à des jeux, des
économiseurs d'écran, des mises à jour d'application ou tout autre programme/fichier utile. Certains prennent l'apparence
d'un logiciel existant, légitime et parfois même réputé, mais qui aura été modifié pour y dissimuler un parasite. L'utilisateur
va télécharger et installer le programme, pensant avoir affaire à une version saine.
Une fois installés, ils peuvent également utiliser des leurres pour entretenir l'illusion de leur légitimité. Par exemple, un
cheval de Troie ayant pris l'apparence d'un économiseur d'écran ou d'un fichier document affichera une image ou un
document. Pendant que l'attention de l'utilisateur est accaparée par ces leurres, le cheval de Troie effectue silencieusement
des actions non autorisées en arrière-plan.
En règle générale, les chevaux de Troie apportent des modifications nuisibles à l'appareil infecté (suppression/cryptage
de fichiers, altération des paramètres des programmes, etc.) ou dérobent des données confidentielles qui y sont stockées.
Ils peuvent être classés en fonction du type de leurs actions :
• Trojan-downloader (Cheval de Troie téléchargeur) : se connecte à un site distant pour télécharger et installer d'autres
programmes
• Trojan-dropper (Cheval de Troie injecteur) : contient un ou plusieurs programmes supplémentaires qu'il installe
• Trojan-pws (Cheval de Troie dérobeur de mots de passe) : dérobe les mots de passe stockés sur les appareils ou
saisis dans un navigateur Web
• Banking-trojan (Cheval de Troie bancaire de type trojan-pws) : cible les données permettant d'accéder aux
comptes bancaires en ligne (noms d'utilisateur et mots de passe)
• Trojan-spy (Cheval de Troie espion) : surveille l'activité sur les appareils et envoie des informations à un site distant
1.3.5 Portes dérobées
Les portes dérobées sont des fonctionnalités ou des programmes visant à contourner les fonctions de sécurité de la cible.
En règle générale, les pirates informatiques les utilisent pour obtenir un accès non autorisé ou perpétrer des actions
nuisibles.
À partir du moment où la conception/mise en œuvre d'une fonctionnalité dans un programme, un appareil, un portail
ou un service pose un risque en matière de sécurité, cette dernière peut être considérée comme une porte dérobée. Par8 | Présentation
exemple, dans le cadre d'un portail en ligne, il peut s'agir d'un point d'accès administrateur secret avec mot de passe
codé en dur.
Lorsqu'il est spécialement conçu pour constituer une porte dérobée, un programme exploite généralement les défauts
présents au sein du code de la cible. Il peut s'agir de bogues, de vulnérabilités ou de fonctionnalités non documentées.
La porte dérobée constitue un moyen couramment utilisé par les pirates informatiques pour obtenir un accès non autorisé
ou perpétrer des actions nuisibles leur permettant de contourner les fonctionnalités de sécurité, telles que les restrictions
d'accès, l'authentification ou encore le chiffrement.
1.3.6 Exploits
Les exploits sont des éléments ou des méthodes permettant à un individu ou à un logiciel malveillant d'exploiter une faille
de sécurité informatique dans un système d'exploitation ou un logiciel, que ce soit à distance ou à un niveau local.
Un exploit peut se présenter sous la forme d'un objet ou d'une méthode. Par exemple, un élément de programme spécial,
une portion de code ou encore une chaîne de caractères constituent tous des objets. Une méthode représente quant à
elle une séquence spécifique de commandes.
Un exploit est utilisé en vue d'exploiter une faille informatique ou une vulnérabilité dans un programme. En raison de
l'unicité de chaque programme, les exploits sont minutieusement adaptés.
Les pirates disposent d'une multitude de moyens d'introduire un exploit pour s'emparer de votre appareil ou ordinateur
:
• Intégration dans un programme piraté ou spécialement conçu - Lorsque vous installez et lancez le programme,
l'exploit est exécuté.
• Intégration dans une pièce jointe - Lorsque vous ouvrez la pièce jointe, l'exploit est exécuté.
• Intégration dans un site Web piraté ou dangereux - Lorsque vous consultez le site en question, l'exploit est exécuté.
Une fois exécuté, l'exploit altère le comportement du programme ciblé (par exemple, en le forçant à s'éteindre ou à
modifier la mémoire/le stockage système de façon intempestive). Cela peut créer des conditions favorables à la réalisation
d'actions nuisibles, comme le vol de données ou l'obtention d'un accès non autorisé à des sections protégées du système
d'exploitation.
1.3.7 Kits d'exploits
Les kits d'exploits sont des kits logiciels conçus pour identifier les vulnérabilités des systèmes des utilisateurs (ordinateurs
ou appareils).
Comme son nom l'indique, un kit d'exploits contient une liste d'exploits capables de tirer profit d'une faille (vulnérabilité)
au sein d'un programme, d'un ordinateur ou d'un appareil. Le kit est généralement intégré à un site dangereux ou piraté
de sorte que tout ordinateur ou appareil y accédant soit exposé à ses effets.
Lorsqu'un nouvel ordinateur ou appareil se connecte au site piégé, le kit recherche les failles potentielles qui pourraient
permettre l'introduction d'un exploit contenu dans la liste. S'il parvient à en trouver un, le kit le lance pour tirer parti de
la vulnérabilité.
Une fois l'ordinateur/appareil infecté, le kit d'exploits peut y exécuter sa charge utile malveillante. D'ordinaire, un autre
programme nuisible est installé et lancé sur l'ordinateur/appareil, permettant ainsi de réaliser divers types d'actions non
autorisées.
Les kits d'exploits sont conçus pour être simples d'utilisation et offrir une grande modularité de manière à ce que leurs
contrôleurs puissent gérer facilement les exploits et les charges utiles (ajout/suppression).
1.3.8 Rootkits
Les rootkits sont des programmes qui complexifient la détection des autres logiciels malveillants.
Les programmes rootkits privent le système d'exploitation de ses fonctions légitimes. Généralement, un rootkit essaie
de masquer son installation et d'empêcher sa suppression en cachant l'exécution de processus, de fichiers ou de données
système du système d'exploitation. En général, les rootkits procèdent de la sorte pour cacher une activité malveillante
sur l'ordinateur.F-Secure Linux Security 64 | 9 Protection contre les rootkits sur l'espace utilisateur Si un pirate a obtenu l'accès au système et essaie d'installer un rootkit sur l'espace utilisateur en remplaçant plusieurs utilitaires système, HIPS détecte les fichiers système modifiés et avertit l'administrateur.
10 | Installation
Chapitre
2
Installation
Sujets : Cette section contient des instructions d'installation du produit.
• Création du package d'installation L'installation de Linux Security 64 nécessite la création préalable d'un package
d'installation dans F-Secure Policy Manager, puis son déploiement sur chaque
• Création du package de contenu
ordinateur cible.
pour les environnements isolés
• Déploiement du package
d'installation
• Désinstallation du produitF-Secure Linux Security 64 | 11
2.1 Création du package d'installation
Suivez ces instructions pour créer un package d'installation pour le déploiement sur les ordinateurs cible.
Remarque : Pour installer F-Secure Linux Security 64 (et ce même pour un usage autonome), vous devez utiliser
F-Secure Policy Manager en vue de configurer et de créer le package d'installation. Pour en savoir plus sur
l'utilisation de Policy Manager, consultez le guide de l'administrateur Policy Manager.
1. Dans Policy Manager Console, sélectionnez Outils > Packages d'installation dans le menu.
La fenêtre Packages d'installation s'ouvre.
2. Cliquez sur Importer.
3. Sélectionnez le package d'installation Linux Security 64 que vous souhaitez utiliser, puis cliquez sur Importer.
4. Sélectionnez le package d'installation importé dans la liste des packages, puis cliquez sur Exporter.
5. Saisissez un nom et sélectionnez un dossier pour le fichier zip exporté.
La fenêtre Assistant d'installation à distance s'ouvre.
6. Cliquez sur Suivant.
7. Saisissez la clé de licence du produit, puis cliquez sur Suivant.
8. Saisissez l'adresse de Policy Manager Server :
• Si le package d'installation est destiné à des ordinateurs gérés de façon centralisée via Policy Manager, saisissez
l'adresse de Policy Manager Server et modifiez les ports à utiliser pour la communication HTTP et HTTPS, si
nécessaire.
• Si le package d'installation est destiné à un déploiement autonome sur des ordinateurs non connectés à Policy
Manager, saisissez 0.0.0.0 en tant qu'adresse de Policy Manager Server.
9. Cliquez sur Terminer.
2.2 Création du package de contenu pour les environnements isolés
Afin d'installer F-Secure Linux Security 64 dans un environnement isolé avec une connectivité réseau limitée, vous devez
préparer un package de contenu supplémentaire pour le programme d'installation du produit.
Remarque : Pour générer le package de contenu, utilisez un ordinateur disposant d'un accès réseau aux serveurs
F-Secure et soit de Policy Manager Server (Linux ou Windows), soit d'un fspm-definitions-update-tool
téléchargé (Linux).
Le package d'installation créé à l'aide de Policy Manager Console installe la toute dernière version disponible du produit
en la téléchargeant sur le réseau. Ignorez ces étapes si vous déployez uniquement le package sur des hôtes qui peuvent
se connecter au réseau pour télécharger les données lors de l'installation.
Le package supplémentaire pour les hôtes isolés fournit les composants nécessaires qui sont généralement téléchargés
sur le réseau au cours de l'installation. Utilisez-le avec le package d'installation sur chacun des hôtes où vous comptez
déployer le produit.
Procédez comme suit pour créer le package de contenu.
Remarque : Ces instructions sont pour Linux. Vous pouvez trouver le chemin de commande et la syntaxe pour
Windows dans le guide de l'administrateur de Policy Manager.
1. Ouvrez une ligne de commande.
2. Sélectionnez le répertoire dans lequel vous souhaitez extraire l'outil de mise à jour des définitions Policy Manager.
Assurez-vous d'utiliser un répertoire existant. Les exemples illustrés dans ces étapes utilisent en tant qu'espace
réservé de ce répertoire.
3. Extrayez l'outil de mise à jour des définitions.
• Si vous disposez de Policy Manager Server, exécutez la commande suivante :
/opt/f-secure/fspms/bin/prepare-fspm-definitions-update-tool12 | Installation
• Si vous avez téléchargé le fichier fspm-definitions-update-tool.tar.gz, exécutez la commande suivante :
tar -C -xf /PATH/TO/fspm-definitions-update-tool.tar.gz
4. Téléchargez le fichier channels.json dans votre système à partir de l'emplacement suivant.
5. Copiez le fichier dans le répertoire /fspm-definitions-update-tool/conf/.
Remarque : Assurez-vous de ne pas modifier le nom du fichier channels.json lors de sa copie. Si une
version précédente du fichier existe déjà dans le répertoire, vous pouvez la remplacer sans risque.
6. Assurez-vous que le répertoire /fspm-definitions-update-tool/data/ est vide ou n'existe
pas en exécutant la commande :
rm -rf /fspm-definitions-update-tool/data/
7. Exécutez la commande suivante pour créer le package de contenu :
/fspm-definitions-update-tool/fspm-definitions-update-tool
La sortie de cette commande est similaire à l'exemple suivant :
Checking for updates...
"fmlibunix64" is successfully updated to version "1579786361"
"fsbg-100-linux-x86_64" is successfully updated to version "1576151869"
"linuxsecurity-1200-linux-x86_64" is successfully updated to version "1576153361"
"fsbspamd-100-linux-x86_64" is successfully updated to version "1575373406"
"hydra-linux64" is successfully updated to version "1584976097"
"baseguard-100-linux-x86_64" is successfully updated to version "1582721318"
"aqualnx64" is successfully updated to version "1585032882"
Update check completed successfully, new updates downloaded.
Malware definitions archive is ready:
/tmp/fspm-definitions-update-tool/data/f-secure-updates.zip
La dernière ligne de la sortie indique le chemin d'accès du package de contenu du produit.
Remarque : Pour créer un autre package de contenu avec des mises à jour plus récentes, répétez les étapes 6
et 7. Un répertoire de données vide est requis pour créer des packages valides pour une utilisation avec F-Secure
Linux Security.
2.3 Déploiement du package d'installation
Une fois que vous avez créé le package d'installation, procédez comme suit pour le déployer sur les ordinateurs cible.
1. Copiez le package d'installation zip exporté sur les hôtes Linux de votre réseau.
Pour les hôtes isolés, copiez également le package de contenu zip qui inclut les composants normalement téléchargés
au cours de l'installation.
2. Installez le produit sur chaque hôte :
a) Connectez-vous à l'hôte Linux en tant que racine.
b) Vérifiez que les dépendances requises sont installées :
• CentOS 7, RHEL 7, Oracle Linux 7, Amazon 2 : fuse-libs, libcurl, python
• CentOS 8, CentOS Stream, RHEL 8, Oracle Linux 8 : fuse-libs, libcurl, python36
• SUSE Linux Enterprise Server : libfuse2, libcurl4, python3
• Debian 9 et Ubuntu 16.04 : libfuse2, libcurl3, python
• Debian 10 et Ubuntu 18.04 : libfuse2, libcurl4, python
• Ubuntu 20.04 : libfuse2, libcurl4, python3
c) Procédez à l'extraction du package d'installation exporté depuis Policy Manager Console dans un nouveau répertoire
vide.
d) Exécutez la commande d'installation.
La commande à utiliser varie selon si l'hôte peut se connecter aux systèmes backend F-Secure sur le réseau.F-Secure Linux Security 64 | 13
• Pour installer la dernière version du produit sur le réseau, exécutez :
bash f-secure-linuxsecurity/f-secure-linuxsecurity-installer
Cette commande installe la dernière version du produit et le configure de manière à ce qu'il soit mis à jour
automatiquement. Si vous souhaitez installer et continuer d'utiliser une version spécifique sans activer la mise
à jour automatique, sélectionnez l'option --product-version pour spécifier la version de votre choix
dans la commande du programme d'installation.
Remarque : Vous pouvez uniquement utiliser le programme d'installation fsls64-3.0.x.jar
avec des versions spécifiques du produit à partir de « linuxsecurity-2021_2 ».
• Pour installer le produit sur un hôte isolé à l'aide d'un package de contenu (f-secure-updates.zip),
exécutez :
bash f-secure-linuxsecurity/f-secure-linuxsecurity-installer
--package=/PATH/TO/f-secure-updates.zip --automatic-updates=none
Remarque : Sur un hôte isolé, aucune mise à jour automatique du produit ou des définitions de virus
n'est installée ou téléchargée. Si vous souhaitez installer le produit à l'aide d'un package de contenu
tout en lui permettant de télécharger automatiquement les mises à jour sur le réseau, supprimez
l'option --automatic-updates=none de la commande
f-secure-linuxsecurity-installer.
Voici un exemple de sortie générée lors de l'installation du produit sur le réseau (notez que les cinq premières lignes sont
propres à Debian) :
Selecting previously unselected package f-secure-linuxsecurity.
(Reading database ... 26641 files and directories currently installed.)
Preparing to unpack .../f-secure-linuxsecurity.deb ...
Unpacking f-secure-linuxsecurity (12.0.9-1) ...
Setting up f-secure-linuxsecurity (12.0.9-1) ...
Installing F-Secure Linux Security...
Installing F-Secure BaseGuard...
Created symlink /etc/systemd/system/multi-user.target.wants/fsbg.service →
/lib/systemd/system/fsbg.service.
Created symlink /etc/systemd/system/multi-user.target.wants/fsbg-statusd.service →
/lib/systemd/system/fsbg-statusd.service.
Created symlink /etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-lspmd.service
→
/lib/systemd/system/f-secure-linuxsecurity-lspmd.service.
Created symlink
/etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-statusd.service →
/lib/systemd/system/f-secure-linuxsecurity-statusd.service.
Created symlink
/etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-webserver.service →
/lib/systemd/system/f-secure-linuxsecurity-webserver.service.
The F-Secure license agreement is stored in:
/opt/f-secure/linuxsecurity/doc/LICENSE
Conseil : L'installation est réussie dès lors que l'emplacement du contrat de licence apparaît sur la dernière ligne
de la sortie.
Dans le cas d'une installation sur des hôtes isolés à l'aide du package de contenu, la sortie de commande inclut des lignes
supplémentaires. L'exemple suivant illustre la sortie affichée pour un environnement Red Hat Enterprise Linux 8.1 :
Preparing content for installation...
linuxsecurity-1200-linux-x86_64.1585581846
aqualnx64.1585581033
fsbspamd-100-linux-x86_64.1582614359
fmlibunix64.1580813614
hydra-linux64.1585289384
baseguard-100-linux-x86_64.1585583363
fsbg-100-linux-x86_64.1585581843
Installing F-Secure Linux Security...
Installing F-Secure BaseGuard...
Created symlink /etc/systemd/system/multi-user.target.wants/fsbg-pmd.service →
/usr/lib/systemd/system/fsbg-pmd.service.
Created symlink /etc/systemd/system/multi-user.target.wants/fsbg-statusd.service →14 | Installation
/usr/lib/systemd/system/fsbg-statusd.service.
Created symlink /etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-lspmd.service
→ /usr/lib/systemd/system/f-secure-linuxsecurity-lspmd.service.
Created symlink
/etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-statusd.service →
/usr/lib/systemd/system/f-secure-linuxsecurity-statusd.service.
Created symlink
/etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-webserver.service →
/usr/lib/systemd/system/f-secure-linuxsecurity-webserver.service.
The F-Secure license agreement is stored in:
/opt/f-secure/linuxsecurity/doc/LICENSE
Installing virus definition databases...
aqualnx64.1585581033
fsbspamd-100-linux-x86_64.1582614359
fmlibunix64.1580813614
hydra-linux64.1585289384
Dans les installations centralisées, l'hôte s'affiche dans la liste Hôtes en attente de Policy Manager Console une fois
l'installation terminée.
Après avoir installé le produit, configurez les paramètres d'analyse des logiciels malveillants et de vérification d'intégrité
pour les utiliser.
2.3.1 Retarder l'activation du produit
Au lieu d'activer le produit immédiatement pendant l'installation ou le déploiement, vous pouvez configurer l'activation
du produit pour qu'elle ait lieu la prochaine fois que l'ordinateur est mis sous tension.
Par exemple, vous souhaiterez peut-être retarder l'activation si vous installez le produit dans un modèle de machine
virtuelle utilisé pour plusieurs instances de machine virtuelle. Dans une telle configuration, vous pouvez installer le produit
dans le modèle et planifier l'activation pour le prochain démarrage de la machine virtuelle. Cette approche permet
d'activer séparément les machines virtuelles individuelles au fur et à mesure de leur utilisation.
Pour que l'activation ait lieu au prochain démarrage de l'ordinateur, utilisez le --next-boot argument dans la commande
du programme d'installation.
Par example:
bash f-secure-linuxsecurity/f-secure-linuxsecurity-installer --next-boot
Cela configure Linux Security 64 pour qu'il soit activé au prochain démarrage de l'ordinateur.
2.4 Désinstallation du produit
Vous pouvez désinstaller le produit à partir de la ligne de commande.
1. Connectez-vous à l'hôte Linux en tant que racine.
2. Exécutez la commande de désinstallation :
• Distributions RHEL : rpm -e f-secure-linuxsecurity
• Distributions Debian : dpkg -r f-secure-linuxsecurity
En cas d'échec de la désinstallation avec la commande ci-dessus, exécutez la commande suivante si Policy Manager
Server n'est pas installé sur la même machine : rm -rf /opt/f-secure /etc/opt/f-secure
/var/opt/f-secure. Elle supprime les fichiers ou les services système restants, le cas échéant. Redémarrez
ensuite le système pour vous assurer que tous les services et les processus bloquants sont déchargés.
Si vous avez installé Policy Manager Server sur la même machine, ne supprimez pas l'ensemble des dossiers. Exécutez
plutôt les commandes suivantes pour supprimer uniquement les sous-dossiers nécessaires :
• rm -rf /etc/opt/f-secure/baseguard
• rm -rf /etc/opt/f-secure/fsbg
• rm -rf /etc/opt/f-secure/linuxsecurity
• rm -rf /opt/f-secure/baseguard
• rm -rf /opt/f-secure/fsbg
• rm -rf /opt/f-secure/linuxsecurity
• rm -rf /var/opt/f-secure/baseguardF-Secure Linux Security 64 | 15 • rm -rf /var/opt/f-secure/fsbg • rm -rf /var/opt/f-secure/linuxsecurity La commande de désinstallation ne supprime pas les fichiers de configuration ou les fichiers journaux créés par le produit. Consultez les répertoires du produit à la recherche d'éventuels fichiers restants et supprimez-les si vous êtes certain de n'en avoir plus aucune utilité.
16 | Utilisation du produit
Chapitre
3
Utilisation du produit
Sujets : Vous pouvez configurer les paramètres du produit via l'utilitaire de ligne de
commande lsctl ou F-Secure Policy Manager Console dans le cas d'ordinateurs
• Analyse en temps réel gérés de façon centralisée.
• Vérification de l'intégrité
• Mises à jour automatiques
• Utiliser les proxies HTTP
• Exemple : gestion des profils de
vérificateur d'intégrité
• Bases d'utilisation de F-Secure Policy
Manager
• Configuration des paramètres à l'aide
de l'utilitaire lsctl
• Utilisation de la ligne de commandeF-Secure Linux Security 64 | 17
3.1 Analyse en temps réel
L'analyse en temps réel protège votre ordinateur en analysant les fichiers lorsque vous y accédez et en bloquant l'accès
aux fichiers contenant des logiciels malveillants.
Remarque : Les fichiers et répertoires individuels qui nécessitent une analyse en temps réel doivent être spécifiés
sur le portail Elements Endpoint Protection (EPP).
L'analyse en temps réel fonctionne comme suit :
1. L'ordinateur essaie d'accéder à un fichier.
2. Le fichier est immédiatement analysé pour détecter les logiciels malveillants avant que l'ordinateur n'accède au fichier.
3. Si un logiciel malveillant est découvert dans le fichier, l'analyse en temps réel bloque l'accès au fichier afin d'empêcher
le logiciel malveillant de nuire à l'ordinateur.
4. Sur la base des paramètres, l'analyse en temps réel peut renommer ou supprimer le fichier infecté.
Les fichiers analysés sont classés comme étant propres, malveillants, potentiellement indésirables ou suspects. Au contraire
des fichiers infectés dont l'ouverture est bloquée, les fichiers propres ne sont pas affectés par l'analyse en temps réel.
Le temps pris et les ressources système utilisées par l'analyse en temps réel dépendent du contenu, de l'emplacement
et du type de fichier.
Fichiers dont l'analyse prend plus de temps :
• Les fichiers compressés, comme les archives .zip. Notez que ces fichiers ne sont par défaut pas analysé.
• Fichiers sur les systèmes de fichiers du réseau :
• Les fichiers volumineux peuvent être affectés.
L'analyse en temps réel peut ralentir votre ordinateur lorsque vous accédez à de nombreux fichiers en même temps.
Concepts associés
Paramètres de ligne de commande pour analyse en temps réel page 34
Paramètres liés à l'analyse en temps réel disponibles pour lsctl.
Tâches associées
Utilisation de l'analyse en temps réel avec Policy Manager page 21
L'analyse en temps réel protège votre ordinateur en analysant les fichiers lorsque vous y accédez et en bloquant l'accès
aux fichiers contenant des logiciels malveillants.
Analyse manuelle de l'ordinateur depuis la ligne de commande page 39
Vous pouvez analyser manuellement l'ordinateur à la recherche d'éventuels programmes malveillants depuis la ligne de
commande d'un hôte Linux sur lequel le produit est installé.
3.2 Vérification de l'intégrité
La vérification de l'intégrité protège les fichiers système importants des modifications non autorisées.
La vérification de l'intégrité vous permet de détecter toute modification de fichiers protégés et d'empêcher leur utilisation,
quelles que soient les autorisations système.
Pour utiliser la vérification de l'intégrité, vous devez ajouter les fichiers que vous voulez protéger à une liste de ligne de
base. Les fichiers de cette liste sont protégés contre les modifications non autorisées.
La vérification de l'intégrité fonctionne en comparant des fichiers sur le disque aux attributs de la ligne de base, qui
forment une liste de propriétés de fichiers signée de manière chiffrée. Elle envoie des alertes à l'administrateur en cas de
tentatives de modification des fichiers surveillés.
Remarque : Certains aspects de la vérification de l'intégrité varient selon le type du système de fichiers utilisé.
Les systèmes pris en charge comprennent notamment Ext4, ZFS, BTRFS, NFS et CiFS. En substance, la vérification
de l'intégrité exploite les attributs des fichiers, lesquels sont disponibles dans la plupart des systèmes modernes.
Le tableau suivant apporte des précisions sur la façon dont la vérification de l'intégrité gère les divers événements associés
aux fichiers inclus dans la ligne de base.18 | Utilisation du produit
Événement Options de vérification de l'intégrité
Un processus non approuvé modifie un fichier. Configuré avec les paramètres d'action de lecture et
d'écriture :
• Si l'action d'écriture est définie sur deny, la tentative
de modification est bloquée et aucune alerte n'est
envoyée.
• Si l'action d'écriture est définie sur allow, la
vérification de l'intégrité envoie une alerte de
modification à l'administrateur.
• Si l'action de lecture est définie sur deny, la vérification
de l'intégrité bloque toute tentative ultérieure
d'ouverture une fois le fichier modifié.
Un processus approuvé modifie un fichier. Si le fichier programme d'un processus est inclus dans la
ligne de base et qu'il n'a pas été falsifié, alors le processus
en question est considéré comme approuvé. Le cas échéant,
la vérification de l'intégrité n'intervient pas.
Suppression d'un fichier La vérification de l'intégrité n'empêche pas l'événement et
n'envoie pas d'alerte.
Modification du nom d'un fichier La vérification de l'intégrité n'empêche pas l'événement et
n'envoie pas d'alerte. En revanche, elle continue de
surveiller le fichier renommé.
Création d'un lien dur ou mou vers un fichier La vérification de l'intégrité suit le lien.
Remplacement d'un fichier La vérification de l'intégrité n'empêche pas l'événement et
n'envoie pas d'alerte.
Modification des autorisations du fichier La modification n'est pas bloquée, mais les paramètres
d'action de lecture et d'écriture déterminent si les tentatives
ultérieures d'ouverture du fichier sont bloquées ou
déclenchent une alerte.
Modification de la propriété du fichier La modification n'est pas bloquée, mais les paramètres
d'action de lecture et d'écriture déterminent si les tentatives
ultérieures d'ouverture du fichier sont bloquées ou
déclenchent une alerte.
Modification des attributs du fichier Cela inclut les étiquettes SELinux. La vérification de
l'intégrité n'empêche pas l'événement et n'envoie pas
d'alerte.
Remarque : À propos des alertes envoyées par la vérification de l'intégrité :
• Les alertes tampering signalent qu'un processus accède à un fichier qui a déjà été falsifié.
• Les alertes tampering-action signalent qu'un processus falsifie un fichier. Elles sont uniquement
envoyées si l'action d'écriture est définie sur allow.Vous pouvez aussi lire
