F-Secure Linux Security 64

La page est créée Julie Navarro
 
CONTINUER À LIRE
F-Secure Linux Security 64
Table des matières | F-Secure Linux Security 64

           Table des matières

                 Chapitre 1 : Présentation...............................................................................4
                        1.1 Fonctionnement du produit...............................................................................................................................5
                        1.2 Fonctionnalités clés et avantages.......................................................................................................................5
                        1.3 Qu'est-ce que du contenu dangereux...............................................................................................................6
                                1.3.1 Virus....................................................................................................................................................6
                                1.3.2 Applications potentiellement indésirables et applications indésirables.............................................6
                                1.3.3 Vers.....................................................................................................................................................7
                                1.3.4 Chevaux de Troie................................................................................................................................7
                                1.3.5 Portes dérobées..................................................................................................................................7
                                1.3.6 Exploits...............................................................................................................................................8
                                1.3.7 Kits d'exploits......................................................................................................................................8
                                1.3.8 Rootkits...............................................................................................................................................8

                 Chapitre 2 : Installation...............................................................................10
                        2.1 Création du package d'installation....................................................................................................................11
                        2.2 Création du package de contenu pour les environnements isolés...................................................................11
                        2.3 Déploiement du package d'installation............................................................................................................12
                                2.3.1 Retarder l'activation du produit........................................................................................................14
                        2.4 Désinstallation du produit...............................................................................................................................14

                 Chapitre 3 : Utilisation du produit................................................................16
                        3.1 Analyse en temps réel.......................................................................................................................................17
                        3.2 Vérification de l'intégrité..................................................................................................................................17
                        3.3 Mises à jour automatiques................................................................................................................................19
                        3.4 Utiliser les proxies HTTP...................................................................................................................................19
                        3.5 Exemple : gestion des profils de vérificateur d'intégrité.................................................................................20
                        3.6 Bases d'utilisation de F-Secure Policy Manager................................................................................................21
                                 3.6.1 Utilisation de l'analyse en temps réel avec Policy Manager...............................................................21
                                 3.6.2 Utilisation de la vérification de l'intégrité avec Policy Manager.......................................................24
                                 3.6.3 Configuration des options de mise à jour automatique avec Policy Manager.................................24
                        3.7 Configuration des paramètres à l'aide de l'utilitaire lsctl.................................................................................26
                                 3.7.1 Définition des types et de l'arborescence des paramètres...............................................................27
                                 3.7.2 Utilisation des paramètres................................................................................................................28
                                 3.7.3 Formats d'entrée et de sortie...........................................................................................................29
                                 3.7.4 Utilisation de tableaux......................................................................................................................30
                                 3.7.5 Charger les paramètres du produit à partir d'un fichier....................................................................31
                                   3.7.6 Utilisation de lsctl et Policy Manager.................................................................................................31
                                   3.7.7 Contrôle de l'état du produit............................................................................................................32
                                   3.7.8 Paramètres de ligne de commande pour analyse en temps réel......................................................34
                                   3.7.9 Paramètres de ligne de commande pour la vérification de l'intégrité.............................................36
F-Secure Linux Security 64 | Table des matières

               3.7.10 Paramètres de ligne de commande pour mises à jour automatiques.............................................37
      3.8 Utilisation de la ligne de commande................................................................................................................38
               3.8.1 Démarrer et arrêter les services........................................................................................................38
               3.8.2 Analyse manuelle de l'ordinateur depuis la ligne de commande.....................................................39
               3.8.3 Test de la protection antivirus.........................................................................................................40
               3.8.4 Exécution du vérificateur d'intégrité depuis la ligne de commande................................................41
               3.8.5 Mise à jour manuelle du produit depuis la ligne de commande.......................................................41
               3.8.6 Mise à jour manuelle du produit avec une archive de mise à jour....................................................42

Annexe A : Niveaux de gravité des alertes...................................................44

Annexe B : Services installés avec le produit................................................46

Annexe C : Services cloud............................................................................48
4 | Présentation

                                                                                                                  Chapitre
                                                                                                                                  1
           Présentation
           Sujets :                                 Le produit fournit une solution de sécurité intégrée et prête à l'emploi avec une
                                                    protection en temps réel performante contre les virus et les applications
           •   Fonctionnement du produit            potentiellement indésirables. Il inclut également une fonctionnalité de prévention
           •   Fonctionnalités clés et avantages    des intrusions sur l'hôte (HIPS) qui vous protège contre toute tentative de
           •   Qu'est-ce que du contenu dangereux   connexion non autorisée à partir du réseau, modification non autorisée du
                                                    système, ainsi que les rootkits d'espace utilisateur et de noyau.
                                                    Les virus informatiques sont l'une des pires menaces pour la sécurité des données.
                                                    Si certains se résument à des blagues inoffensives, d'autres peuvent détruire des
                                                    données et constituent une véritable menace.
                                                    La solution est facile à déployer et à gérer à l'aide de F-Secure Policy Manager.
                                                    Vous pouvez également exécuter Linux Security 64 sans connexion à Policy
                                                    Manager, auquel cas vous pouvez gérer les paramètres du produit à l'aide de
                                                    l'utilitaire de ligne de commande.
                                                            Remarque : Contrairement aux versions précédentes, Linux Security
                                                            64 n'inclut pas d'interface utilisateur Web distincte.
F-Secure Linux Security 64 | 5

1.1 Fonctionnement du produit
    Le produit détecte et prévient les intrusions, et protège contre les logiciels malveillants.
    Lorsque l'utilisateur télécharge un fichier sur Internet, par exemple, en cliquant sur un lien dans un e-mail, celui-ci est
    analysé au moment où il essaie de l'ouvrir. Si le fichier est infecté, le produit protège le système contre le logiciel malveillant.
    •   L'analyse en temps réel vous offre une protection continue contre les virus et les applications potentiellement
        indésirables alors que les fichiers sont ouverts, copiés et téléchargés à partir du Web. L'analyse en temps réel fonctionne
        en arrière-plan, en toute transparence, et recherche les virus à chaque fois que vous accédez à des fichiers sur le
        disque dur, sur un support amovible ou sur des lecteurs réseau. Si vous tentez d'accéder à un fichier infecté, la
        protection en temps réel empêche automatiquement l'exécution du virus.
    •   Lorsque l'analyse en temps réel est configurée pour analyser un nombre limité de fichiers, l'analyse manuelle vous
        permet d'analyser l'intégralité du système. Vous pouvez également utiliser l'analyse planifiée pour analyser
        régulièrement l'intégralité du système.
    •   Les mises à jour automatiques actualisent en permanence les définitions de virus. Les bases de données de définitions
        de virus sont mises à jour automatiquement une fois le produit installé. Les mises à jour de définitions de virus sont
        signées par F-Secure.

    Le système de prévention des intrusions sur l'hôte (HIPS) détecte toutes les activités malveillantes sur l'hôte, ce qui permet
    de protéger le système à différents niveaux.
    •   La vérification de l'intégrité protège le système contre les modifications non autorisées. Elle repose sur le concept
        d'une bonne configuration : le produit doit être installé avant que l'ordinateur ne soit connecté au réseau afin de
        garantir que la configuration du système est bonne et connue.
        Vous pouvez créer une ligne de base des fichiers système que vous souhaitez protéger, et empêcher l'utilisation de
        fichiers modifiés pour tous les utilisateurs.
    •   Si un attaquant obtient un accès système shell et essaye d'ajouter un compte utilisateur pour se connecter au système
        par la suite, le système de prévention des intrusions sur l'hôte (HIPS) détecte les fichiers système modifiés et avertit
        l'administrateur.
    •   Si un pirate a obtenu l'accès au système et essaie d'installer un rootkit sur l'espace utilisateur en remplaçant plusieurs
        utilitaires système, HIPS détecte les fichiers système modifiés et avertit l'administrateur.

1.2 Fonctionnalités clés et avantages
    Le produit offre une excellente protection contre les virus et les vers, tout en étant transparent pour les utilisateurs finaux.
    Le produit analyse les fichiers sur un large éventail de systèmes pris en charge par Linux.
    •   Analyse les fichiers sur tout système de fichiers pris en charge par Linux.
    •   Taux de détection supérieur grâce à plusieurs moteurs d'analyse.
    •   Un moteur d'analyse heuristique peut détecter les fichiers suspects et potentiellement dangereux.
    •   Le produit peut détecter et classer les applications potentiellement indésirables.
    •   Le produit peut être configuré de sorte à empêcher les utilisateurs de contourner la protection.
    •   Les fichiers sont analysés contre les virus lors de leur ouverture, de leur fermeture ou avant leur exécution.
    •   Vous pouvez spécifier les fichiers à analyser, les modalités d'analyse, les actions à prendre lors de la détection de
        contenu malveillant et les modalités des alertes relatives aux infections.
    •   Analyse cursive des fichiers d'archive.
    •   Les mises à jour des bases de données de définitions de virus sont signées pour une question de sécurité.
    Le produit fonctionne de manière totalement transparente pour les utilisateurs finaux.
    •   Les bases de données de définitions de virus sont automatiquement mises à jour sans intervention de l'utilisateur
        final.
    Les données critiques des fichiers système sont stockées et automatiquement vérifiées avant toute autorisation d'accès.
6 | Présentation

                   •   L'administrateur peut protéger les fichiers contre les modifications afin qu'il soit impossible, par exemple, d'installer
                       une version trojan d'un logiciel.
                   •   Une alerte est envoyée à l'administrateur lorsqu'un fichier système modifié est détecté.
                   Les paramètres par défaut s'appliquent à la plupart des systèmes.
                   •   Des stratégies de sécurité sont configurées et distribuées à partir d'un emplacement central.
                   Le produit dispose de fonctions de surveillance et d'alerte complètes qui permettent d'avertir un administrateur du réseau
                   d'entreprise lors de la détection d'un contenu infecté.

           1.3 Qu'est-ce que du contenu dangereux
                   Les fichiers et applications dangereux peuvent tenter de porter atteinte à l'intégrité de vos données ou d'obtenir un accès
                   non autorisé à votre ordinateur en vue de dérober vos informations personnelles.

           1.3.1 Virus
                   Un virus est généralement un programme susceptible de s'attacher à des fichiers et de se répliquer indéfiniment. Il peut
                   modifier et remplacer le contenu des autres fichiers de sorte à endommager l'ordinateur.
                   Un virus est un programme qui s'installe normalement à l'insu de l'utilisateur d'un ordinateur. Une fois installé, le virus
                   essaie de se répliquer. Il :
                   •   utilise certaines des ressources système ;
                   •   peut modifier ou endommager des fichiers sur l'ordinateur ;
                   •   essaie d'utiliser l'ordinateur pour infecter d'autres ordinateurs ;
                   •   peut permettre d'utiliser l'ordinateur à des fins illégales.

           1.3.2 Applications potentiellement indésirables et applications indésirables
                   Les applications potentiellement indésirables affichent des comportements ou des caractéristiques que vous êtes
                   susceptible de considérer comme étant indésirables. De leur côté, les applications indésirables présentent des
                   comportements ou des caractéristiques qui ont une incidence plus néfaste sur votre appareil ou vos données.
                   Une application peut être identifiée comme potentiellement indésirable si elle peut :
                   •   affecter votre confidentialité ou votre productivité - par exemple, en divulguant des renseignements personnels
                       ou en effectuant des actions non autorisées ;
                   •   entraîner une surconsommation des ressources de votre appareil - par exemple, en utilisant une quantité excessive
                       de mémoire ou de stockage ;
                   •   compromettre la sécurité de votre appareil ou des informations qui y sont stockées - par exemple, en vous
                       exposant à du contenu ou à des applications inattendus.
                   Si ces comportements et caractéristiques peuvent avoir un impact variable (faible à sévère) sur votre appareil ou vos
                   données, ils ne sont néanmoins pas assez dangereux pour que les applications en question soient considérées comme
                   des programmes malveillants.
                   Si une application présente des comportements ou des caractéristiques ayant un impact sévère, celle-ci est perçue comme
                   indésirable. De telles applications sont traitées avec une grande prudence par le produit.
                   Le produit gère une application différemment selon qu'il s'agit d'une application potentiellement indésirable ou indésirable
                   :
                   •   Application potentiellement indésirable : le produit empêche automatiquement l'exécution de l'application. Si
                       vous faites confiance à l'application avec certitude, vous pouvez demander au produit F-Secure de l'exclure de l'analyse.
                       Vous devez disposer de droits d'administration pour exclure un fichier bloqué de l'analyse.
                   •   Application indésirable : le produit bloque automatiquement l'exécution de l'application.
F-Secure Linux Security 64 | 7

1.3.3 Vers
    Les vers sont des programmes malveillants capables de s'autorépliquer sur les appareils ou via les réseaux informatiques,
    et de réaliser des actions nuisibles à l'insu de l'utilisateur.
    Les vers informatiques sont les seuls logiciels malveillants ayant la possibilité de s'autopropager sans action de l'utilisateur.
    Nombre d'entre eux sont conçus de sorte à tromper l'utilisateur. Ils peuvent prendre l'apparence d'images, de vidéos,
    d'applications ou de tout autre programme/fichier utiles. L'objectif consiste à gagner la confiance de l'utilisateur et de
    le pousser à installer le vers. D'autres vers sont en revanche entièrement furtifs, car ils exploitent les failles des appareils
    (ou des programmes qui y sont installés).
    Une fois installé, le vers utilise les ressources physiques de l'appareil pour s'autorépliquer et se propager via le réseau. La
    diffusion d'une grande quantité de copies est susceptible d'altérer les performances de l'appareil. Et si de nombreux
    appareils sont infectés - qui envoient alors des copies du vers -, le réseau lui-même peut être perturbé. Certains vers sont
    également capables d'endommager directement l'appareil touché (par exemple, en modifiant les fichiers qui y sont
    stockés, en installant d'autres applications nuisibles et en dérobant des données).
    La plupart des vers se propagent uniquement sur un type de réseau spécifique. Toutefois, certains peuvent se propager
    sur deux types ou plus, bien qu'ils restent relativement rares. D'ordinaire, les vers essaient de se propager à travers l'un
    des réseaux suivants (même s'il en existe d'autres qui ciblent des canaux moins populaires) :
    •   Réseaux locaux
    •   Réseaux de messagerie
    •   Sites de réseaux sociaux
    •   Connexions Peer-to-peer (P2P)
    •   SMS ou MMS

1.3.4 Chevaux de Troie
    Les chevaux de Troie sont des logiciels en apparence légitimes ou attractifs, mais qui réalisent des actions dangereuses
    en arrière-plan, à l'insu de l'utilisateur.
    Les chevaux de Troie tirent leur nom d'une célèbre légende de la Grèce antique. Ils peuvent ressembler à des jeux, des
    économiseurs d'écran, des mises à jour d'application ou tout autre programme/fichier utile. Certains prennent l'apparence
    d'un logiciel existant, légitime et parfois même réputé, mais qui aura été modifié pour y dissimuler un parasite. L'utilisateur
    va télécharger et installer le programme, pensant avoir affaire à une version saine.
    Une fois installés, ils peuvent également utiliser des leurres pour entretenir l'illusion de leur légitimité. Par exemple, un
    cheval de Troie ayant pris l'apparence d'un économiseur d'écran ou d'un fichier document affichera une image ou un
    document. Pendant que l'attention de l'utilisateur est accaparée par ces leurres, le cheval de Troie effectue silencieusement
    des actions non autorisées en arrière-plan.
    En règle générale, les chevaux de Troie apportent des modifications nuisibles à l'appareil infecté (suppression/cryptage
    de fichiers, altération des paramètres des programmes, etc.) ou dérobent des données confidentielles qui y sont stockées.
    Ils peuvent être classés en fonction du type de leurs actions :
    •   Trojan-downloader (Cheval de Troie téléchargeur) : se connecte à un site distant pour télécharger et installer d'autres
        programmes
    •   Trojan-dropper (Cheval de Troie injecteur) : contient un ou plusieurs programmes supplémentaires qu'il installe
    •   Trojan-pws (Cheval de Troie dérobeur de mots de passe) : dérobe les mots de passe stockés sur les appareils ou
        saisis dans un navigateur Web
        •    Banking-trojan (Cheval de Troie bancaire de type trojan-pws) : cible les données permettant d'accéder aux
             comptes bancaires en ligne (noms d'utilisateur et mots de passe)
    •   Trojan-spy (Cheval de Troie espion) : surveille l'activité sur les appareils et envoie des informations à un site distant

1.3.5 Portes dérobées
    Les portes dérobées sont des fonctionnalités ou des programmes visant à contourner les fonctions de sécurité de la cible.
    En règle générale, les pirates informatiques les utilisent pour obtenir un accès non autorisé ou perpétrer des actions
    nuisibles.
    À partir du moment où la conception/mise en œuvre d'une fonctionnalité dans un programme, un appareil, un portail
    ou un service pose un risque en matière de sécurité, cette dernière peut être considérée comme une porte dérobée. Par
8 | Présentation

                   exemple, dans le cadre d'un portail en ligne, il peut s'agir d'un point d'accès administrateur secret avec mot de passe
                   codé en dur.
                   Lorsqu'il est spécialement conçu pour constituer une porte dérobée, un programme exploite généralement les défauts
                   présents au sein du code de la cible. Il peut s'agir de bogues, de vulnérabilités ou de fonctionnalités non documentées.
                   La porte dérobée constitue un moyen couramment utilisé par les pirates informatiques pour obtenir un accès non autorisé
                   ou perpétrer des actions nuisibles leur permettant de contourner les fonctionnalités de sécurité, telles que les restrictions
                   d'accès, l'authentification ou encore le chiffrement.

           1.3.6 Exploits
                   Les exploits sont des éléments ou des méthodes permettant à un individu ou à un logiciel malveillant d'exploiter une faille
                   de sécurité informatique dans un système d'exploitation ou un logiciel, que ce soit à distance ou à un niveau local.
                   Un exploit peut se présenter sous la forme d'un objet ou d'une méthode. Par exemple, un élément de programme spécial,
                   une portion de code ou encore une chaîne de caractères constituent tous des objets. Une méthode représente quant à
                   elle une séquence spécifique de commandes.
                   Un exploit est utilisé en vue d'exploiter une faille informatique ou une vulnérabilité dans un programme. En raison de
                   l'unicité de chaque programme, les exploits sont minutieusement adaptés.
                   Les pirates disposent d'une multitude de moyens d'introduire un exploit pour s'emparer de votre appareil ou ordinateur
                   :
                   •   Intégration dans un programme piraté ou spécialement conçu - Lorsque vous installez et lancez le programme,
                       l'exploit est exécuté.
                   •   Intégration dans une pièce jointe - Lorsque vous ouvrez la pièce jointe, l'exploit est exécuté.
                   •   Intégration dans un site Web piraté ou dangereux - Lorsque vous consultez le site en question, l'exploit est exécuté.
                   Une fois exécuté, l'exploit altère le comportement du programme ciblé (par exemple, en le forçant à s'éteindre ou à
                   modifier la mémoire/le stockage système de façon intempestive). Cela peut créer des conditions favorables à la réalisation
                   d'actions nuisibles, comme le vol de données ou l'obtention d'un accès non autorisé à des sections protégées du système
                   d'exploitation.

           1.3.7 Kits d'exploits
                   Les kits d'exploits sont des kits logiciels conçus pour identifier les vulnérabilités des systèmes des utilisateurs (ordinateurs
                   ou appareils).
                   Comme son nom l'indique, un kit d'exploits contient une liste d'exploits capables de tirer profit d'une faille (vulnérabilité)
                   au sein d'un programme, d'un ordinateur ou d'un appareil. Le kit est généralement intégré à un site dangereux ou piraté
                   de sorte que tout ordinateur ou appareil y accédant soit exposé à ses effets.
                   Lorsqu'un nouvel ordinateur ou appareil se connecte au site piégé, le kit recherche les failles potentielles qui pourraient
                   permettre l'introduction d'un exploit contenu dans la liste. S'il parvient à en trouver un, le kit le lance pour tirer parti de
                   la vulnérabilité.
                   Une fois l'ordinateur/appareil infecté, le kit d'exploits peut y exécuter sa charge utile malveillante. D'ordinaire, un autre
                   programme nuisible est installé et lancé sur l'ordinateur/appareil, permettant ainsi de réaliser divers types d'actions non
                   autorisées.
                   Les kits d'exploits sont conçus pour être simples d'utilisation et offrir une grande modularité de manière à ce que leurs
                   contrôleurs puissent gérer facilement les exploits et les charges utiles (ajout/suppression).

           1.3.8 Rootkits
                   Les rootkits sont des programmes qui complexifient la détection des autres logiciels malveillants.
                   Les programmes rootkits privent le système d'exploitation de ses fonctions légitimes. Généralement, un rootkit essaie
                   de masquer son installation et d'empêcher sa suppression en cachant l'exécution de processus, de fichiers ou de données
                   système du système d'exploitation. En général, les rootkits procèdent de la sorte pour cacher une activité malveillante
                   sur l'ordinateur.
F-Secure Linux Security 64 | 9

Protection contre les rootkits sur l'espace utilisateur
Si un pirate a obtenu l'accès au système et essaie d'installer un rootkit sur l'espace utilisateur en remplaçant plusieurs
utilitaires système, HIPS détecte les fichiers système modifiés et avertit l'administrateur.
10 | Installation

                                                                                                                       Chapitre
                                                                                                                                     2
            Installation
            Sujets :                                     Cette section contient des instructions d'installation du produit.

            •       Création du package d'installation   L'installation de Linux Security 64 nécessite la création préalable d'un package
                                                         d'installation dans F-Secure Policy Manager, puis son déploiement sur chaque
            •       Création du package de contenu
                                                         ordinateur cible.
                    pour les environnements isolés
            •       Déploiement du package
                    d'installation
            •       Désinstallation du produit
F-Secure Linux Security 64 | 11

2.1 Création du package d'installation
    Suivez ces instructions pour créer un package d'installation pour le déploiement sur les ordinateurs cible.
            Remarque : Pour installer F-Secure Linux Security 64 (et ce même pour un usage autonome), vous devez utiliser
            F-Secure Policy Manager en vue de configurer et de créer le package d'installation. Pour en savoir plus sur
            l'utilisation de Policy Manager, consultez le guide de l'administrateur Policy Manager.

    1. Dans Policy Manager Console, sélectionnez Outils > Packages d'installation dans le menu.
       La fenêtre Packages d'installation s'ouvre.
    2. Cliquez sur Importer.
    3. Sélectionnez le package d'installation Linux Security 64 que vous souhaitez utiliser, puis cliquez sur Importer.
    4. Sélectionnez le package d'installation importé dans la liste des packages, puis cliquez sur Exporter.
    5. Saisissez un nom et sélectionnez un dossier pour le fichier zip exporté.
       La fenêtre Assistant d'installation à distance s'ouvre.
    6. Cliquez sur Suivant.
    7. Saisissez la clé de licence du produit, puis cliquez sur Suivant.
    8. Saisissez l'adresse de Policy Manager Server :
       •   Si le package d'installation est destiné à des ordinateurs gérés de façon centralisée via Policy Manager, saisissez
           l'adresse de Policy Manager Server et modifiez les ports à utiliser pour la communication HTTP et HTTPS, si
           nécessaire.
       •   Si le package d'installation est destiné à un déploiement autonome sur des ordinateurs non connectés à Policy
           Manager, saisissez 0.0.0.0 en tant qu'adresse de Policy Manager Server.

    9. Cliquez sur Terminer.

2.2 Création du package de contenu pour les environnements isolés
    Afin d'installer F-Secure Linux Security 64 dans un environnement isolé avec une connectivité réseau limitée, vous devez
    préparer un package de contenu supplémentaire pour le programme d'installation du produit.
            Remarque : Pour générer le package de contenu, utilisez un ordinateur disposant d'un accès réseau aux serveurs
            F-Secure et soit de Policy Manager Server (Linux ou Windows), soit d'un fspm-definitions-update-tool
            téléchargé (Linux).

    Le package d'installation créé à l'aide de Policy Manager Console installe la toute dernière version disponible du produit
    en la téléchargeant sur le réseau. Ignorez ces étapes si vous déployez uniquement le package sur des hôtes qui peuvent
    se connecter au réseau pour télécharger les données lors de l'installation.
    Le package supplémentaire pour les hôtes isolés fournit les composants nécessaires qui sont généralement téléchargés
    sur le réseau au cours de l'installation. Utilisez-le avec le package d'installation sur chacun des hôtes où vous comptez
    déployer le produit.
    Procédez comme suit pour créer le package de contenu.
            Remarque : Ces instructions sont pour Linux. Vous pouvez trouver le chemin de commande et la syntaxe pour
            Windows dans le guide de l'administrateur de Policy Manager.

    1. Ouvrez une ligne de commande.
    2. Sélectionnez le répertoire dans lequel vous souhaitez extraire l'outil de mise à jour des définitions Policy Manager.
       Assurez-vous d'utiliser un répertoire existant. Les exemples illustrés dans ces étapes utilisent  en tant qu'espace
       réservé de ce répertoire.
    3. Extrayez l'outil de mise à jour des définitions.
       •   Si vous disposez de Policy Manager Server, exécutez la commande suivante :

           /opt/f-secure/fspms/bin/prepare-fspm-definitions-update-tool
12 | Installation

                       •   Si vous avez téléchargé le fichier fspm-definitions-update-tool.tar.gz, exécutez la commande suivante :

                           tar -C  -xf /PATH/TO/fspm-definitions-update-tool.tar.gz

                    4. Téléchargez le fichier channels.json dans votre système à partir de l'emplacement suivant.
                    5. Copiez le fichier dans le répertoire  /fspm-definitions-update-tool/conf/.
                                  Remarque : Assurez-vous de ne pas modifier le nom du fichier channels.json lors de sa copie. Si une
                                  version précédente du fichier existe déjà dans le répertoire, vous pouvez la remplacer sans risque.

                    6. Assurez-vous que le répertoire /fspm-definitions-update-tool/data/ est vide ou n'existe
                       pas en exécutant la commande :

                       rm -rf /fspm-definitions-update-tool/data/

                    7. Exécutez la commande suivante pour créer le package de contenu :

                       /fspm-definitions-update-tool/fspm-definitions-update-tool

                       La sortie de cette commande est similaire à l'exemple suivant :

                       Checking for updates...
                       "fmlibunix64" is successfully updated to version "1579786361"
                       "fsbg-100-linux-x86_64" is successfully updated to version "1576151869"
                       "linuxsecurity-1200-linux-x86_64" is successfully updated to version "1576153361"
                       "fsbspamd-100-linux-x86_64" is successfully updated to version "1575373406"
                       "hydra-linux64" is successfully updated to version "1584976097"
                       "baseguard-100-linux-x86_64" is successfully updated to version "1582721318"
                       "aqualnx64" is successfully updated to version "1585032882"
                       Update check completed successfully, new updates downloaded.
                       Malware definitions archive is ready:
                       /tmp/fspm-definitions-update-tool/data/f-secure-updates.zip

                       La dernière ligne de la sortie indique le chemin d'accès du package de contenu du produit.
                               Remarque : Pour créer un autre package de contenu avec des mises à jour plus récentes, répétez les étapes 6
                               et 7. Un répertoire de données vide est requis pour créer des packages valides pour une utilisation avec F-Secure
                               Linux Security.

            2.3 Déploiement du package d'installation
                    Une fois que vous avez créé le package d'installation, procédez comme suit pour le déployer sur les ordinateurs cible.
                    1. Copiez le package d'installation zip exporté sur les hôtes Linux de votre réseau.
                       Pour les hôtes isolés, copiez également le package de contenu zip qui inclut les composants normalement téléchargés
                       au cours de l'installation.
                    2. Installez le produit sur chaque hôte :
                       a) Connectez-vous à l'hôte Linux en tant que racine.
                       b) Vérifiez que les dépendances requises sont installées :
                           •     CentOS 7, RHEL 7, Oracle Linux 7, Amazon 2 : fuse-libs, libcurl, python
                           •     CentOS 8, CentOS Stream, RHEL 8, Oracle Linux 8 : fuse-libs, libcurl, python36
                           •     SUSE Linux Enterprise Server : libfuse2, libcurl4, python3
                           •     Debian 9 et Ubuntu 16.04 : libfuse2, libcurl3, python
                           •     Debian 10 et Ubuntu 18.04 : libfuse2, libcurl4, python
                           •     Ubuntu 20.04 : libfuse2, libcurl4, python3
                       c) Procédez à l'extraction du package d'installation exporté depuis Policy Manager Console dans un nouveau répertoire
                          vide.
                       d) Exécutez la commande d'installation.
                          La commande à utiliser varie selon si l'hôte peut se connecter aux systèmes backend F-Secure sur le réseau.
F-Secure Linux Security 64 | 13

       •     Pour installer la dernière version du produit sur le réseau, exécutez :

             bash f-secure-linuxsecurity/f-secure-linuxsecurity-installer

             Cette commande installe la dernière version du produit et le configure de manière à ce qu'il soit mis à jour
             automatiquement. Si vous souhaitez installer et continuer d'utiliser une version spécifique sans activer la mise
             à jour automatique, sélectionnez l'option --product-version pour spécifier la version de votre choix
             dans la commande du programme d'installation.
                      Remarque : Vous pouvez uniquement utiliser le programme d'installation fsls64-3.0.x.jar
                      avec des versions spécifiques du produit à partir de « linuxsecurity-2021_2 ».
       •     Pour installer le produit sur un hôte isolé à l'aide d'un package de contenu (f-secure-updates.zip),
             exécutez :

             bash f-secure-linuxsecurity/f-secure-linuxsecurity-installer
             --package=/PATH/TO/f-secure-updates.zip --automatic-updates=none

                      Remarque : Sur un hôte isolé, aucune mise à jour automatique du produit ou des définitions de virus
                      n'est installée ou téléchargée. Si vous souhaitez installer le produit à l'aide d'un package de contenu
                      tout en lui permettant de télécharger automatiquement les mises à jour sur le réseau, supprimez
                      l'option --automatic-updates=none de la commande
                      f-secure-linuxsecurity-installer.

Voici un exemple de sortie générée lors de l'installation du produit sur le réseau (notez que les cinq premières lignes sont
propres à Debian) :

 Selecting previously unselected package f-secure-linuxsecurity.
 (Reading database ... 26641 files and directories currently installed.)
 Preparing to unpack .../f-secure-linuxsecurity.deb ...
 Unpacking f-secure-linuxsecurity (12.0.9-1) ...
 Setting up f-secure-linuxsecurity (12.0.9-1) ...

 Installing F-Secure Linux Security...
 Installing F-Secure BaseGuard...
 Created symlink /etc/systemd/system/multi-user.target.wants/fsbg.service →
 /lib/systemd/system/fsbg.service.
 Created symlink /etc/systemd/system/multi-user.target.wants/fsbg-statusd.service →
 /lib/systemd/system/fsbg-statusd.service.
 Created symlink /etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-lspmd.service
  →
 /lib/systemd/system/f-secure-linuxsecurity-lspmd.service.
 Created symlink
 /etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-statusd.service →
 /lib/systemd/system/f-secure-linuxsecurity-statusd.service.
 Created symlink
 /etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-webserver.service →
 /lib/systemd/system/f-secure-linuxsecurity-webserver.service.

 The F-Secure license agreement is stored in:
  /opt/f-secure/linuxsecurity/doc/LICENSE

           Conseil : L'installation est réussie dès lors que l'emplacement du contrat de licence apparaît sur la dernière ligne
           de la sortie.

Dans le cas d'une installation sur des hôtes isolés à l'aide du package de contenu, la sortie de commande inclut des lignes
supplémentaires. L'exemple suivant illustre la sortie affichée pour un environnement Red Hat Enterprise Linux 8.1 :

 Preparing content for installation...
  linuxsecurity-1200-linux-x86_64.1585581846
  aqualnx64.1585581033
  fsbspamd-100-linux-x86_64.1582614359
  fmlibunix64.1580813614
  hydra-linux64.1585289384
  baseguard-100-linux-x86_64.1585583363
  fsbg-100-linux-x86_64.1585581843

 Installing F-Secure Linux Security...
 Installing F-Secure BaseGuard...
 Created symlink /etc/systemd/system/multi-user.target.wants/fsbg-pmd.service →
 /usr/lib/systemd/system/fsbg-pmd.service.
 Created symlink /etc/systemd/system/multi-user.target.wants/fsbg-statusd.service →
14 | Installation

                     /usr/lib/systemd/system/fsbg-statusd.service.
                     Created symlink /etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-lspmd.service
                      → /usr/lib/systemd/system/f-secure-linuxsecurity-lspmd.service.
                     Created symlink
                     /etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-statusd.service →
                     /usr/lib/systemd/system/f-secure-linuxsecurity-statusd.service.
                     Created symlink
                     /etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-webserver.service →
                     /usr/lib/systemd/system/f-secure-linuxsecurity-webserver.service.

                     The F-Secure license agreement is stored in:
                      /opt/f-secure/linuxsecurity/doc/LICENSE
                     Installing virus definition databases...
                      aqualnx64.1585581033
                      fsbspamd-100-linux-x86_64.1582614359
                      fmlibunix64.1580813614
                      hydra-linux64.1585289384

                    Dans les installations centralisées, l'hôte s'affiche dans la liste Hôtes en attente de Policy Manager Console une fois
                    l'installation terminée.
                    Après avoir installé le produit, configurez les paramètres d'analyse des logiciels malveillants et de vérification d'intégrité
                    pour les utiliser.

            2.3.1 Retarder l'activation du produit
                    Au lieu d'activer le produit immédiatement pendant l'installation ou le déploiement, vous pouvez configurer l'activation
                    du produit pour qu'elle ait lieu la prochaine fois que l'ordinateur est mis sous tension.
                    Par exemple, vous souhaiterez peut-être retarder l'activation si vous installez le produit dans un modèle de machine
                    virtuelle utilisé pour plusieurs instances de machine virtuelle. Dans une telle configuration, vous pouvez installer le produit
                    dans le modèle et planifier l'activation pour le prochain démarrage de la machine virtuelle. Cette approche permet
                    d'activer séparément les machines virtuelles individuelles au fur et à mesure de leur utilisation.
                    Pour que l'activation ait lieu au prochain démarrage de l'ordinateur, utilisez le --next-boot argument dans la commande
                    du programme d'installation.
                    Par example:

                     bash f-secure-linuxsecurity/f-secure-linuxsecurity-installer --next-boot

                    Cela configure Linux Security 64 pour qu'il soit activé au prochain démarrage de l'ordinateur.

            2.4 Désinstallation du produit
                    Vous pouvez désinstaller le produit à partir de la ligne de commande.
                    1. Connectez-vous à l'hôte Linux en tant que racine.
                    2. Exécutez la commande de désinstallation :
                       •   Distributions RHEL : rpm -e f-secure-linuxsecurity
                       •   Distributions Debian : dpkg -r f-secure-linuxsecurity
                       En cas d'échec de la désinstallation avec la commande ci-dessus, exécutez la commande suivante si Policy Manager
                       Server n'est pas installé sur la même machine : rm -rf /opt/f-secure /etc/opt/f-secure
                       /var/opt/f-secure. Elle supprime les fichiers ou les services système restants, le cas échéant. Redémarrez
                       ensuite le système pour vous assurer que tous les services et les processus bloquants sont déchargés.
                       Si vous avez installé Policy Manager Server sur la même machine, ne supprimez pas l'ensemble des dossiers. Exécutez
                       plutôt les commandes suivantes pour supprimer uniquement les sous-dossiers nécessaires :
                       •   rm   -rf    /etc/opt/f-secure/baseguard
                       •   rm   -rf    /etc/opt/f-secure/fsbg
                       •   rm   -rf    /etc/opt/f-secure/linuxsecurity
                       •   rm   -rf    /opt/f-secure/baseguard
                       •   rm   -rf    /opt/f-secure/fsbg
                       •   rm   -rf    /opt/f-secure/linuxsecurity
                       •   rm   -rf    /var/opt/f-secure/baseguard
F-Secure Linux Security 64 | 15

   •   rm -rf /var/opt/f-secure/fsbg
   •   rm -rf /var/opt/f-secure/linuxsecurity

La commande de désinstallation ne supprime pas les fichiers de configuration ou les fichiers journaux créés par le produit.
Consultez les répertoires du produit à la recherche d'éventuels fichiers restants et supprimez-les si vous êtes certain de
n'en avoir plus aucune utilité.
16 | Utilisation du produit

                                                                                                                   Chapitre
                                                                                                                                 3
           Utilisation du produit
           Sujets :                                      Vous pouvez configurer les paramètres du produit via l'utilitaire de ligne de
                                                         commande lsctl ou F-Secure Policy Manager Console dans le cas d'ordinateurs
           •    Analyse en temps réel                    gérés de façon centralisée.
           •    Vérification de l'intégrité
           •    Mises à jour automatiques
           •    Utiliser les proxies HTTP
           •    Exemple : gestion des profils de
                vérificateur d'intégrité
           •    Bases d'utilisation de F-Secure Policy
                Manager
           •    Configuration des paramètres à l'aide
                de l'utilitaire lsctl
           •    Utilisation de la ligne de commande
F-Secure Linux Security 64 | 17

3.1 Analyse en temps réel
    L'analyse en temps réel protège votre ordinateur en analysant les fichiers lorsque vous y accédez et en bloquant l'accès
    aux fichiers contenant des logiciels malveillants.
            Remarque : Les fichiers et répertoires individuels qui nécessitent une analyse en temps réel doivent être spécifiés
            sur le portail Elements Endpoint Protection (EPP).

    L'analyse en temps réel fonctionne comme suit :
    1. L'ordinateur essaie d'accéder à un fichier.
    2. Le fichier est immédiatement analysé pour détecter les logiciels malveillants avant que l'ordinateur n'accède au fichier.
    3. Si un logiciel malveillant est découvert dans le fichier, l'analyse en temps réel bloque l'accès au fichier afin d'empêcher
       le logiciel malveillant de nuire à l'ordinateur.
    4. Sur la base des paramètres, l'analyse en temps réel peut renommer ou supprimer le fichier infecté.
    Les fichiers analysés sont classés comme étant propres, malveillants, potentiellement indésirables ou suspects. Au contraire
    des fichiers infectés dont l'ouverture est bloquée, les fichiers propres ne sont pas affectés par l'analyse en temps réel.
    Le temps pris et les ressources système utilisées par l'analyse en temps réel dépendent du contenu, de l'emplacement
    et du type de fichier.
    Fichiers dont l'analyse prend plus de temps :
    •   Les fichiers compressés, comme les archives .zip. Notez que ces fichiers ne sont par défaut pas analysé.
    •   Fichiers sur les systèmes de fichiers du réseau :
    •   Les fichiers volumineux peuvent être affectés.
    L'analyse en temps réel peut ralentir votre ordinateur lorsque vous accédez à de nombreux fichiers en même temps.
    Concepts associés
    Paramètres de ligne de commande pour analyse en temps réel page 34
    Paramètres liés à l'analyse en temps réel disponibles pour lsctl.
    Tâches associées
    Utilisation de l'analyse en temps réel avec Policy Manager page 21
    L'analyse en temps réel protège votre ordinateur en analysant les fichiers lorsque vous y accédez et en bloquant l'accès
    aux fichiers contenant des logiciels malveillants.
    Analyse manuelle de l'ordinateur depuis la ligne de commande page 39
    Vous pouvez analyser manuellement l'ordinateur à la recherche d'éventuels programmes malveillants depuis la ligne de
    commande d'un hôte Linux sur lequel le produit est installé.

3.2 Vérification de l'intégrité
    La vérification de l'intégrité protège les fichiers système importants des modifications non autorisées.
    La vérification de l'intégrité vous permet de détecter toute modification de fichiers protégés et d'empêcher leur utilisation,
    quelles que soient les autorisations système.
    Pour utiliser la vérification de l'intégrité, vous devez ajouter les fichiers que vous voulez protéger à une liste de ligne de
    base. Les fichiers de cette liste sont protégés contre les modifications non autorisées.
    La vérification de l'intégrité fonctionne en comparant des fichiers sur le disque aux attributs de la ligne de base, qui
    forment une liste de propriétés de fichiers signée de manière chiffrée. Elle envoie des alertes à l'administrateur en cas de
    tentatives de modification des fichiers surveillés.
            Remarque : Certains aspects de la vérification de l'intégrité varient selon le type du système de fichiers utilisé.
            Les systèmes pris en charge comprennent notamment Ext4, ZFS, BTRFS, NFS et CiFS. En substance, la vérification
            de l'intégrité exploite les attributs des fichiers, lesquels sont disponibles dans la plupart des systèmes modernes.

    Le tableau suivant apporte des précisions sur la façon dont la vérification de l'intégrité gère les divers événements associés
    aux fichiers inclus dans la ligne de base.
18 | Utilisation du produit

                   Événement                                                  Options de vérification de l'intégrité

                   Un processus non approuvé modifie un fichier.              Configuré avec les paramètres d'action de lecture et
                                                                              d'écriture :
                                                                              •   Si l'action d'écriture est définie sur deny, la tentative
                                                                                  de modification est bloquée et aucune alerte n'est
                                                                                  envoyée.
                                                                              •   Si l'action d'écriture est définie sur allow, la
                                                                                  vérification de l'intégrité envoie une alerte de
                                                                                  modification à l'administrateur.
                                                                              •   Si l'action de lecture est définie sur deny, la vérification
                                                                                  de l'intégrité bloque toute tentative ultérieure
                                                                                  d'ouverture une fois le fichier modifié.

                   Un processus approuvé modifie un fichier.                  Si le fichier programme d'un processus est inclus dans la
                                                                              ligne de base et qu'il n'a pas été falsifié, alors le processus
                                                                              en question est considéré comme approuvé. Le cas échéant,
                                                                              la vérification de l'intégrité n'intervient pas.

                   Suppression d'un fichier                                   La vérification de l'intégrité n'empêche pas l'événement et
                                                                              n'envoie pas d'alerte.

                   Modification du nom d'un fichier                           La vérification de l'intégrité n'empêche pas l'événement et
                                                                              n'envoie pas d'alerte. En revanche, elle continue de
                                                                              surveiller le fichier renommé.

                   Création d'un lien dur ou mou vers un fichier              La vérification de l'intégrité suit le lien.

                   Remplacement d'un fichier                                  La vérification de l'intégrité n'empêche pas l'événement et
                                                                              n'envoie pas d'alerte.

                   Modification des autorisations du fichier                  La modification n'est pas bloquée, mais les paramètres
                                                                              d'action de lecture et d'écriture déterminent si les tentatives
                                                                              ultérieures d'ouverture du fichier sont bloquées ou
                                                                              déclenchent une alerte.

                   Modification de la propriété du fichier                    La modification n'est pas bloquée, mais les paramètres
                                                                              d'action de lecture et d'écriture déterminent si les tentatives
                                                                              ultérieures d'ouverture du fichier sont bloquées ou
                                                                              déclenchent une alerte.

                   Modification des attributs du fichier                      Cela inclut les étiquettes SELinux. La vérification de
                                                                              l'intégrité n'empêche pas l'événement et n'envoie pas
                                                                              d'alerte.

                          Remarque : À propos des alertes envoyées par la vérification de l'intégrité :
                          •   Les alertes tampering signalent qu'un processus accède à un fichier qui a déjà été falsifié.
                          •   Les alertes tampering-action signalent qu'un processus falsifie un fichier. Elles sont uniquement
                              envoyées si l'action d'écriture est définie sur allow.
Vous pouvez aussi lire