F-Secure Linux Security 64
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
F-Secure Linux Security 64
Table des matières | F-Secure Linux Security 64 Table des matières Chapitre 1 : Présentation...............................................................................4 1.1 Fonctionnement du produit...............................................................................................................................5 1.2 Fonctionnalités clés et avantages.......................................................................................................................5 1.3 Qu'est-ce que du contenu dangereux...............................................................................................................6 1.3.1 Virus....................................................................................................................................................6 1.3.2 Applications potentiellement indésirables et applications indésirables.............................................6 1.3.3 Vers.....................................................................................................................................................7 1.3.4 Chevaux de Troie................................................................................................................................7 1.3.5 Portes dérobées..................................................................................................................................7 1.3.6 Exploits...............................................................................................................................................8 1.3.7 Kits d'exploits......................................................................................................................................8 1.3.8 Rootkits...............................................................................................................................................8 Chapitre 2 : Installation...............................................................................10 2.1 Création du package d'installation....................................................................................................................11 2.2 Création du package de contenu pour les environnements isolés...................................................................11 2.3 Déploiement du package d'installation............................................................................................................12 2.3.1 Retarder l'activation du produit........................................................................................................14 2.4 Désinstallation du produit...............................................................................................................................14 Chapitre 3 : Utilisation du produit................................................................16 3.1 Analyse en temps réel.......................................................................................................................................17 3.2 Vérification de l'intégrité..................................................................................................................................17 3.3 Mises à jour automatiques................................................................................................................................19 3.4 Utiliser les proxies HTTP...................................................................................................................................19 3.5 Exemple : gestion des profils de vérificateur d'intégrité.................................................................................20 3.6 Bases d'utilisation de F-Secure Policy Manager................................................................................................21 3.6.1 Utilisation de l'analyse en temps réel avec Policy Manager...............................................................21 3.6.2 Utilisation de la vérification de l'intégrité avec Policy Manager.......................................................24 3.6.3 Configuration des options de mise à jour automatique avec Policy Manager.................................24 3.7 Configuration des paramètres à l'aide de l'utilitaire lsctl.................................................................................26 3.7.1 Définition des types et de l'arborescence des paramètres...............................................................27 3.7.2 Utilisation des paramètres................................................................................................................28 3.7.3 Formats d'entrée et de sortie...........................................................................................................29 3.7.4 Utilisation de tableaux......................................................................................................................30 3.7.5 Charger les paramètres du produit à partir d'un fichier....................................................................31 3.7.6 Utilisation de lsctl et Policy Manager.................................................................................................31 3.7.7 Contrôle de l'état du produit............................................................................................................32 3.7.8 Paramètres de ligne de commande pour analyse en temps réel......................................................34 3.7.9 Paramètres de ligne de commande pour la vérification de l'intégrité.............................................36
F-Secure Linux Security 64 | Table des matières 3.7.10 Paramètres de ligne de commande pour mises à jour automatiques.............................................37 3.8 Utilisation de la ligne de commande................................................................................................................38 3.8.1 Démarrer et arrêter les services........................................................................................................38 3.8.2 Analyse manuelle de l'ordinateur depuis la ligne de commande.....................................................39 3.8.3 Test de la protection antivirus.........................................................................................................40 3.8.4 Exécution du vérificateur d'intégrité depuis la ligne de commande................................................41 3.8.5 Mise à jour manuelle du produit depuis la ligne de commande.......................................................41 3.8.6 Mise à jour manuelle du produit avec une archive de mise à jour....................................................42 Annexe A : Niveaux de gravité des alertes...................................................44 Annexe B : Services installés avec le produit................................................46 Annexe C : Services cloud............................................................................48
4 | Présentation Chapitre 1 Présentation Sujets : Le produit fournit une solution de sécurité intégrée et prête à l'emploi avec une protection en temps réel performante contre les virus et les applications • Fonctionnement du produit potentiellement indésirables. Il inclut également une fonctionnalité de prévention • Fonctionnalités clés et avantages des intrusions sur l'hôte (HIPS) qui vous protège contre toute tentative de • Qu'est-ce que du contenu dangereux connexion non autorisée à partir du réseau, modification non autorisée du système, ainsi que les rootkits d'espace utilisateur et de noyau. Les virus informatiques sont l'une des pires menaces pour la sécurité des données. Si certains se résument à des blagues inoffensives, d'autres peuvent détruire des données et constituent une véritable menace. La solution est facile à déployer et à gérer à l'aide de F-Secure Policy Manager. Vous pouvez également exécuter Linux Security 64 sans connexion à Policy Manager, auquel cas vous pouvez gérer les paramètres du produit à l'aide de l'utilitaire de ligne de commande. Remarque : Contrairement aux versions précédentes, Linux Security 64 n'inclut pas d'interface utilisateur Web distincte.
F-Secure Linux Security 64 | 5 1.1 Fonctionnement du produit Le produit détecte et prévient les intrusions, et protège contre les logiciels malveillants. Lorsque l'utilisateur télécharge un fichier sur Internet, par exemple, en cliquant sur un lien dans un e-mail, celui-ci est analysé au moment où il essaie de l'ouvrir. Si le fichier est infecté, le produit protège le système contre le logiciel malveillant. • L'analyse en temps réel vous offre une protection continue contre les virus et les applications potentiellement indésirables alors que les fichiers sont ouverts, copiés et téléchargés à partir du Web. L'analyse en temps réel fonctionne en arrière-plan, en toute transparence, et recherche les virus à chaque fois que vous accédez à des fichiers sur le disque dur, sur un support amovible ou sur des lecteurs réseau. Si vous tentez d'accéder à un fichier infecté, la protection en temps réel empêche automatiquement l'exécution du virus. • Lorsque l'analyse en temps réel est configurée pour analyser un nombre limité de fichiers, l'analyse manuelle vous permet d'analyser l'intégralité du système. Vous pouvez également utiliser l'analyse planifiée pour analyser régulièrement l'intégralité du système. • Les mises à jour automatiques actualisent en permanence les définitions de virus. Les bases de données de définitions de virus sont mises à jour automatiquement une fois le produit installé. Les mises à jour de définitions de virus sont signées par F-Secure. Le système de prévention des intrusions sur l'hôte (HIPS) détecte toutes les activités malveillantes sur l'hôte, ce qui permet de protéger le système à différents niveaux. • La vérification de l'intégrité protège le système contre les modifications non autorisées. Elle repose sur le concept d'une bonne configuration : le produit doit être installé avant que l'ordinateur ne soit connecté au réseau afin de garantir que la configuration du système est bonne et connue. Vous pouvez créer une ligne de base des fichiers système que vous souhaitez protéger, et empêcher l'utilisation de fichiers modifiés pour tous les utilisateurs. • Si un attaquant obtient un accès système shell et essaye d'ajouter un compte utilisateur pour se connecter au système par la suite, le système de prévention des intrusions sur l'hôte (HIPS) détecte les fichiers système modifiés et avertit l'administrateur. • Si un pirate a obtenu l'accès au système et essaie d'installer un rootkit sur l'espace utilisateur en remplaçant plusieurs utilitaires système, HIPS détecte les fichiers système modifiés et avertit l'administrateur. 1.2 Fonctionnalités clés et avantages Le produit offre une excellente protection contre les virus et les vers, tout en étant transparent pour les utilisateurs finaux. Le produit analyse les fichiers sur un large éventail de systèmes pris en charge par Linux. • Analyse les fichiers sur tout système de fichiers pris en charge par Linux. • Taux de détection supérieur grâce à plusieurs moteurs d'analyse. • Un moteur d'analyse heuristique peut détecter les fichiers suspects et potentiellement dangereux. • Le produit peut détecter et classer les applications potentiellement indésirables. • Le produit peut être configuré de sorte à empêcher les utilisateurs de contourner la protection. • Les fichiers sont analysés contre les virus lors de leur ouverture, de leur fermeture ou avant leur exécution. • Vous pouvez spécifier les fichiers à analyser, les modalités d'analyse, les actions à prendre lors de la détection de contenu malveillant et les modalités des alertes relatives aux infections. • Analyse cursive des fichiers d'archive. • Les mises à jour des bases de données de définitions de virus sont signées pour une question de sécurité. Le produit fonctionne de manière totalement transparente pour les utilisateurs finaux. • Les bases de données de définitions de virus sont automatiquement mises à jour sans intervention de l'utilisateur final. Les données critiques des fichiers système sont stockées et automatiquement vérifiées avant toute autorisation d'accès.
6 | Présentation • L'administrateur peut protéger les fichiers contre les modifications afin qu'il soit impossible, par exemple, d'installer une version trojan d'un logiciel. • Une alerte est envoyée à l'administrateur lorsqu'un fichier système modifié est détecté. Les paramètres par défaut s'appliquent à la plupart des systèmes. • Des stratégies de sécurité sont configurées et distribuées à partir d'un emplacement central. Le produit dispose de fonctions de surveillance et d'alerte complètes qui permettent d'avertir un administrateur du réseau d'entreprise lors de la détection d'un contenu infecté. 1.3 Qu'est-ce que du contenu dangereux Les fichiers et applications dangereux peuvent tenter de porter atteinte à l'intégrité de vos données ou d'obtenir un accès non autorisé à votre ordinateur en vue de dérober vos informations personnelles. 1.3.1 Virus Un virus est généralement un programme susceptible de s'attacher à des fichiers et de se répliquer indéfiniment. Il peut modifier et remplacer le contenu des autres fichiers de sorte à endommager l'ordinateur. Un virus est un programme qui s'installe normalement à l'insu de l'utilisateur d'un ordinateur. Une fois installé, le virus essaie de se répliquer. Il : • utilise certaines des ressources système ; • peut modifier ou endommager des fichiers sur l'ordinateur ; • essaie d'utiliser l'ordinateur pour infecter d'autres ordinateurs ; • peut permettre d'utiliser l'ordinateur à des fins illégales. 1.3.2 Applications potentiellement indésirables et applications indésirables Les applications potentiellement indésirables affichent des comportements ou des caractéristiques que vous êtes susceptible de considérer comme étant indésirables. De leur côté, les applications indésirables présentent des comportements ou des caractéristiques qui ont une incidence plus néfaste sur votre appareil ou vos données. Une application peut être identifiée comme potentiellement indésirable si elle peut : • affecter votre confidentialité ou votre productivité - par exemple, en divulguant des renseignements personnels ou en effectuant des actions non autorisées ; • entraîner une surconsommation des ressources de votre appareil - par exemple, en utilisant une quantité excessive de mémoire ou de stockage ; • compromettre la sécurité de votre appareil ou des informations qui y sont stockées - par exemple, en vous exposant à du contenu ou à des applications inattendus. Si ces comportements et caractéristiques peuvent avoir un impact variable (faible à sévère) sur votre appareil ou vos données, ils ne sont néanmoins pas assez dangereux pour que les applications en question soient considérées comme des programmes malveillants. Si une application présente des comportements ou des caractéristiques ayant un impact sévère, celle-ci est perçue comme indésirable. De telles applications sont traitées avec une grande prudence par le produit. Le produit gère une application différemment selon qu'il s'agit d'une application potentiellement indésirable ou indésirable : • Application potentiellement indésirable : le produit empêche automatiquement l'exécution de l'application. Si vous faites confiance à l'application avec certitude, vous pouvez demander au produit F-Secure de l'exclure de l'analyse. Vous devez disposer de droits d'administration pour exclure un fichier bloqué de l'analyse. • Application indésirable : le produit bloque automatiquement l'exécution de l'application.
F-Secure Linux Security 64 | 7 1.3.3 Vers Les vers sont des programmes malveillants capables de s'autorépliquer sur les appareils ou via les réseaux informatiques, et de réaliser des actions nuisibles à l'insu de l'utilisateur. Les vers informatiques sont les seuls logiciels malveillants ayant la possibilité de s'autopropager sans action de l'utilisateur. Nombre d'entre eux sont conçus de sorte à tromper l'utilisateur. Ils peuvent prendre l'apparence d'images, de vidéos, d'applications ou de tout autre programme/fichier utiles. L'objectif consiste à gagner la confiance de l'utilisateur et de le pousser à installer le vers. D'autres vers sont en revanche entièrement furtifs, car ils exploitent les failles des appareils (ou des programmes qui y sont installés). Une fois installé, le vers utilise les ressources physiques de l'appareil pour s'autorépliquer et se propager via le réseau. La diffusion d'une grande quantité de copies est susceptible d'altérer les performances de l'appareil. Et si de nombreux appareils sont infectés - qui envoient alors des copies du vers -, le réseau lui-même peut être perturbé. Certains vers sont également capables d'endommager directement l'appareil touché (par exemple, en modifiant les fichiers qui y sont stockés, en installant d'autres applications nuisibles et en dérobant des données). La plupart des vers se propagent uniquement sur un type de réseau spécifique. Toutefois, certains peuvent se propager sur deux types ou plus, bien qu'ils restent relativement rares. D'ordinaire, les vers essaient de se propager à travers l'un des réseaux suivants (même s'il en existe d'autres qui ciblent des canaux moins populaires) : • Réseaux locaux • Réseaux de messagerie • Sites de réseaux sociaux • Connexions Peer-to-peer (P2P) • SMS ou MMS 1.3.4 Chevaux de Troie Les chevaux de Troie sont des logiciels en apparence légitimes ou attractifs, mais qui réalisent des actions dangereuses en arrière-plan, à l'insu de l'utilisateur. Les chevaux de Troie tirent leur nom d'une célèbre légende de la Grèce antique. Ils peuvent ressembler à des jeux, des économiseurs d'écran, des mises à jour d'application ou tout autre programme/fichier utile. Certains prennent l'apparence d'un logiciel existant, légitime et parfois même réputé, mais qui aura été modifié pour y dissimuler un parasite. L'utilisateur va télécharger et installer le programme, pensant avoir affaire à une version saine. Une fois installés, ils peuvent également utiliser des leurres pour entretenir l'illusion de leur légitimité. Par exemple, un cheval de Troie ayant pris l'apparence d'un économiseur d'écran ou d'un fichier document affichera une image ou un document. Pendant que l'attention de l'utilisateur est accaparée par ces leurres, le cheval de Troie effectue silencieusement des actions non autorisées en arrière-plan. En règle générale, les chevaux de Troie apportent des modifications nuisibles à l'appareil infecté (suppression/cryptage de fichiers, altération des paramètres des programmes, etc.) ou dérobent des données confidentielles qui y sont stockées. Ils peuvent être classés en fonction du type de leurs actions : • Trojan-downloader (Cheval de Troie téléchargeur) : se connecte à un site distant pour télécharger et installer d'autres programmes • Trojan-dropper (Cheval de Troie injecteur) : contient un ou plusieurs programmes supplémentaires qu'il installe • Trojan-pws (Cheval de Troie dérobeur de mots de passe) : dérobe les mots de passe stockés sur les appareils ou saisis dans un navigateur Web • Banking-trojan (Cheval de Troie bancaire de type trojan-pws) : cible les données permettant d'accéder aux comptes bancaires en ligne (noms d'utilisateur et mots de passe) • Trojan-spy (Cheval de Troie espion) : surveille l'activité sur les appareils et envoie des informations à un site distant 1.3.5 Portes dérobées Les portes dérobées sont des fonctionnalités ou des programmes visant à contourner les fonctions de sécurité de la cible. En règle générale, les pirates informatiques les utilisent pour obtenir un accès non autorisé ou perpétrer des actions nuisibles. À partir du moment où la conception/mise en œuvre d'une fonctionnalité dans un programme, un appareil, un portail ou un service pose un risque en matière de sécurité, cette dernière peut être considérée comme une porte dérobée. Par
8 | Présentation exemple, dans le cadre d'un portail en ligne, il peut s'agir d'un point d'accès administrateur secret avec mot de passe codé en dur. Lorsqu'il est spécialement conçu pour constituer une porte dérobée, un programme exploite généralement les défauts présents au sein du code de la cible. Il peut s'agir de bogues, de vulnérabilités ou de fonctionnalités non documentées. La porte dérobée constitue un moyen couramment utilisé par les pirates informatiques pour obtenir un accès non autorisé ou perpétrer des actions nuisibles leur permettant de contourner les fonctionnalités de sécurité, telles que les restrictions d'accès, l'authentification ou encore le chiffrement. 1.3.6 Exploits Les exploits sont des éléments ou des méthodes permettant à un individu ou à un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système d'exploitation ou un logiciel, que ce soit à distance ou à un niveau local. Un exploit peut se présenter sous la forme d'un objet ou d'une méthode. Par exemple, un élément de programme spécial, une portion de code ou encore une chaîne de caractères constituent tous des objets. Une méthode représente quant à elle une séquence spécifique de commandes. Un exploit est utilisé en vue d'exploiter une faille informatique ou une vulnérabilité dans un programme. En raison de l'unicité de chaque programme, les exploits sont minutieusement adaptés. Les pirates disposent d'une multitude de moyens d'introduire un exploit pour s'emparer de votre appareil ou ordinateur : • Intégration dans un programme piraté ou spécialement conçu - Lorsque vous installez et lancez le programme, l'exploit est exécuté. • Intégration dans une pièce jointe - Lorsque vous ouvrez la pièce jointe, l'exploit est exécuté. • Intégration dans un site Web piraté ou dangereux - Lorsque vous consultez le site en question, l'exploit est exécuté. Une fois exécuté, l'exploit altère le comportement du programme ciblé (par exemple, en le forçant à s'éteindre ou à modifier la mémoire/le stockage système de façon intempestive). Cela peut créer des conditions favorables à la réalisation d'actions nuisibles, comme le vol de données ou l'obtention d'un accès non autorisé à des sections protégées du système d'exploitation. 1.3.7 Kits d'exploits Les kits d'exploits sont des kits logiciels conçus pour identifier les vulnérabilités des systèmes des utilisateurs (ordinateurs ou appareils). Comme son nom l'indique, un kit d'exploits contient une liste d'exploits capables de tirer profit d'une faille (vulnérabilité) au sein d'un programme, d'un ordinateur ou d'un appareil. Le kit est généralement intégré à un site dangereux ou piraté de sorte que tout ordinateur ou appareil y accédant soit exposé à ses effets. Lorsqu'un nouvel ordinateur ou appareil se connecte au site piégé, le kit recherche les failles potentielles qui pourraient permettre l'introduction d'un exploit contenu dans la liste. S'il parvient à en trouver un, le kit le lance pour tirer parti de la vulnérabilité. Une fois l'ordinateur/appareil infecté, le kit d'exploits peut y exécuter sa charge utile malveillante. D'ordinaire, un autre programme nuisible est installé et lancé sur l'ordinateur/appareil, permettant ainsi de réaliser divers types d'actions non autorisées. Les kits d'exploits sont conçus pour être simples d'utilisation et offrir une grande modularité de manière à ce que leurs contrôleurs puissent gérer facilement les exploits et les charges utiles (ajout/suppression). 1.3.8 Rootkits Les rootkits sont des programmes qui complexifient la détection des autres logiciels malveillants. Les programmes rootkits privent le système d'exploitation de ses fonctions légitimes. Généralement, un rootkit essaie de masquer son installation et d'empêcher sa suppression en cachant l'exécution de processus, de fichiers ou de données système du système d'exploitation. En général, les rootkits procèdent de la sorte pour cacher une activité malveillante sur l'ordinateur.
F-Secure Linux Security 64 | 9 Protection contre les rootkits sur l'espace utilisateur Si un pirate a obtenu l'accès au système et essaie d'installer un rootkit sur l'espace utilisateur en remplaçant plusieurs utilitaires système, HIPS détecte les fichiers système modifiés et avertit l'administrateur.
10 | Installation Chapitre 2 Installation Sujets : Cette section contient des instructions d'installation du produit. • Création du package d'installation L'installation de Linux Security 64 nécessite la création préalable d'un package d'installation dans F-Secure Policy Manager, puis son déploiement sur chaque • Création du package de contenu ordinateur cible. pour les environnements isolés • Déploiement du package d'installation • Désinstallation du produit
F-Secure Linux Security 64 | 11 2.1 Création du package d'installation Suivez ces instructions pour créer un package d'installation pour le déploiement sur les ordinateurs cible. Remarque : Pour installer F-Secure Linux Security 64 (et ce même pour un usage autonome), vous devez utiliser F-Secure Policy Manager en vue de configurer et de créer le package d'installation. Pour en savoir plus sur l'utilisation de Policy Manager, consultez le guide de l'administrateur Policy Manager. 1. Dans Policy Manager Console, sélectionnez Outils > Packages d'installation dans le menu. La fenêtre Packages d'installation s'ouvre. 2. Cliquez sur Importer. 3. Sélectionnez le package d'installation Linux Security 64 que vous souhaitez utiliser, puis cliquez sur Importer. 4. Sélectionnez le package d'installation importé dans la liste des packages, puis cliquez sur Exporter. 5. Saisissez un nom et sélectionnez un dossier pour le fichier zip exporté. La fenêtre Assistant d'installation à distance s'ouvre. 6. Cliquez sur Suivant. 7. Saisissez la clé de licence du produit, puis cliquez sur Suivant. 8. Saisissez l'adresse de Policy Manager Server : • Si le package d'installation est destiné à des ordinateurs gérés de façon centralisée via Policy Manager, saisissez l'adresse de Policy Manager Server et modifiez les ports à utiliser pour la communication HTTP et HTTPS, si nécessaire. • Si le package d'installation est destiné à un déploiement autonome sur des ordinateurs non connectés à Policy Manager, saisissez 0.0.0.0 en tant qu'adresse de Policy Manager Server. 9. Cliquez sur Terminer. 2.2 Création du package de contenu pour les environnements isolés Afin d'installer F-Secure Linux Security 64 dans un environnement isolé avec une connectivité réseau limitée, vous devez préparer un package de contenu supplémentaire pour le programme d'installation du produit. Remarque : Pour générer le package de contenu, utilisez un ordinateur disposant d'un accès réseau aux serveurs F-Secure et soit de Policy Manager Server (Linux ou Windows), soit d'un fspm-definitions-update-tool téléchargé (Linux). Le package d'installation créé à l'aide de Policy Manager Console installe la toute dernière version disponible du produit en la téléchargeant sur le réseau. Ignorez ces étapes si vous déployez uniquement le package sur des hôtes qui peuvent se connecter au réseau pour télécharger les données lors de l'installation. Le package supplémentaire pour les hôtes isolés fournit les composants nécessaires qui sont généralement téléchargés sur le réseau au cours de l'installation. Utilisez-le avec le package d'installation sur chacun des hôtes où vous comptez déployer le produit. Procédez comme suit pour créer le package de contenu. Remarque : Ces instructions sont pour Linux. Vous pouvez trouver le chemin de commande et la syntaxe pour Windows dans le guide de l'administrateur de Policy Manager. 1. Ouvrez une ligne de commande. 2. Sélectionnez le répertoire dans lequel vous souhaitez extraire l'outil de mise à jour des définitions Policy Manager. Assurez-vous d'utiliser un répertoire existant. Les exemples illustrés dans ces étapes utilisent en tant qu'espace réservé de ce répertoire. 3. Extrayez l'outil de mise à jour des définitions. • Si vous disposez de Policy Manager Server, exécutez la commande suivante : /opt/f-secure/fspms/bin/prepare-fspm-definitions-update-tool
12 | Installation • Si vous avez téléchargé le fichier fspm-definitions-update-tool.tar.gz, exécutez la commande suivante : tar -C -xf /PATH/TO/fspm-definitions-update-tool.tar.gz 4. Téléchargez le fichier channels.json dans votre système à partir de l'emplacement suivant. 5. Copiez le fichier dans le répertoire /fspm-definitions-update-tool/conf/. Remarque : Assurez-vous de ne pas modifier le nom du fichier channels.json lors de sa copie. Si une version précédente du fichier existe déjà dans le répertoire, vous pouvez la remplacer sans risque. 6. Assurez-vous que le répertoire /fspm-definitions-update-tool/data/ est vide ou n'existe pas en exécutant la commande : rm -rf /fspm-definitions-update-tool/data/ 7. Exécutez la commande suivante pour créer le package de contenu : /fspm-definitions-update-tool/fspm-definitions-update-tool La sortie de cette commande est similaire à l'exemple suivant : Checking for updates... "fmlibunix64" is successfully updated to version "1579786361" "fsbg-100-linux-x86_64" is successfully updated to version "1576151869" "linuxsecurity-1200-linux-x86_64" is successfully updated to version "1576153361" "fsbspamd-100-linux-x86_64" is successfully updated to version "1575373406" "hydra-linux64" is successfully updated to version "1584976097" "baseguard-100-linux-x86_64" is successfully updated to version "1582721318" "aqualnx64" is successfully updated to version "1585032882" Update check completed successfully, new updates downloaded. Malware definitions archive is ready: /tmp/fspm-definitions-update-tool/data/f-secure-updates.zip La dernière ligne de la sortie indique le chemin d'accès du package de contenu du produit. Remarque : Pour créer un autre package de contenu avec des mises à jour plus récentes, répétez les étapes 6 et 7. Un répertoire de données vide est requis pour créer des packages valides pour une utilisation avec F-Secure Linux Security. 2.3 Déploiement du package d'installation Une fois que vous avez créé le package d'installation, procédez comme suit pour le déployer sur les ordinateurs cible. 1. Copiez le package d'installation zip exporté sur les hôtes Linux de votre réseau. Pour les hôtes isolés, copiez également le package de contenu zip qui inclut les composants normalement téléchargés au cours de l'installation. 2. Installez le produit sur chaque hôte : a) Connectez-vous à l'hôte Linux en tant que racine. b) Vérifiez que les dépendances requises sont installées : • CentOS 7, RHEL 7, Oracle Linux 7, Amazon 2 : fuse-libs, libcurl, python • CentOS 8, CentOS Stream, RHEL 8, Oracle Linux 8 : fuse-libs, libcurl, python36 • SUSE Linux Enterprise Server : libfuse2, libcurl4, python3 • Debian 9 et Ubuntu 16.04 : libfuse2, libcurl3, python • Debian 10 et Ubuntu 18.04 : libfuse2, libcurl4, python • Ubuntu 20.04 : libfuse2, libcurl4, python3 c) Procédez à l'extraction du package d'installation exporté depuis Policy Manager Console dans un nouveau répertoire vide. d) Exécutez la commande d'installation. La commande à utiliser varie selon si l'hôte peut se connecter aux systèmes backend F-Secure sur le réseau.
F-Secure Linux Security 64 | 13 • Pour installer la dernière version du produit sur le réseau, exécutez : bash f-secure-linuxsecurity/f-secure-linuxsecurity-installer Cette commande installe la dernière version du produit et le configure de manière à ce qu'il soit mis à jour automatiquement. Si vous souhaitez installer et continuer d'utiliser une version spécifique sans activer la mise à jour automatique, sélectionnez l'option --product-version pour spécifier la version de votre choix dans la commande du programme d'installation. Remarque : Vous pouvez uniquement utiliser le programme d'installation fsls64-3.0.x.jar avec des versions spécifiques du produit à partir de « linuxsecurity-2021_2 ». • Pour installer le produit sur un hôte isolé à l'aide d'un package de contenu (f-secure-updates.zip), exécutez : bash f-secure-linuxsecurity/f-secure-linuxsecurity-installer --package=/PATH/TO/f-secure-updates.zip --automatic-updates=none Remarque : Sur un hôte isolé, aucune mise à jour automatique du produit ou des définitions de virus n'est installée ou téléchargée. Si vous souhaitez installer le produit à l'aide d'un package de contenu tout en lui permettant de télécharger automatiquement les mises à jour sur le réseau, supprimez l'option --automatic-updates=none de la commande f-secure-linuxsecurity-installer. Voici un exemple de sortie générée lors de l'installation du produit sur le réseau (notez que les cinq premières lignes sont propres à Debian) : Selecting previously unselected package f-secure-linuxsecurity. (Reading database ... 26641 files and directories currently installed.) Preparing to unpack .../f-secure-linuxsecurity.deb ... Unpacking f-secure-linuxsecurity (12.0.9-1) ... Setting up f-secure-linuxsecurity (12.0.9-1) ... Installing F-Secure Linux Security... Installing F-Secure BaseGuard... Created symlink /etc/systemd/system/multi-user.target.wants/fsbg.service → /lib/systemd/system/fsbg.service. Created symlink /etc/systemd/system/multi-user.target.wants/fsbg-statusd.service → /lib/systemd/system/fsbg-statusd.service. Created symlink /etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-lspmd.service → /lib/systemd/system/f-secure-linuxsecurity-lspmd.service. Created symlink /etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-statusd.service → /lib/systemd/system/f-secure-linuxsecurity-statusd.service. Created symlink /etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-webserver.service → /lib/systemd/system/f-secure-linuxsecurity-webserver.service. The F-Secure license agreement is stored in: /opt/f-secure/linuxsecurity/doc/LICENSE Conseil : L'installation est réussie dès lors que l'emplacement du contrat de licence apparaît sur la dernière ligne de la sortie. Dans le cas d'une installation sur des hôtes isolés à l'aide du package de contenu, la sortie de commande inclut des lignes supplémentaires. L'exemple suivant illustre la sortie affichée pour un environnement Red Hat Enterprise Linux 8.1 : Preparing content for installation... linuxsecurity-1200-linux-x86_64.1585581846 aqualnx64.1585581033 fsbspamd-100-linux-x86_64.1582614359 fmlibunix64.1580813614 hydra-linux64.1585289384 baseguard-100-linux-x86_64.1585583363 fsbg-100-linux-x86_64.1585581843 Installing F-Secure Linux Security... Installing F-Secure BaseGuard... Created symlink /etc/systemd/system/multi-user.target.wants/fsbg-pmd.service → /usr/lib/systemd/system/fsbg-pmd.service. Created symlink /etc/systemd/system/multi-user.target.wants/fsbg-statusd.service →
14 | Installation /usr/lib/systemd/system/fsbg-statusd.service. Created symlink /etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-lspmd.service → /usr/lib/systemd/system/f-secure-linuxsecurity-lspmd.service. Created symlink /etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-statusd.service → /usr/lib/systemd/system/f-secure-linuxsecurity-statusd.service. Created symlink /etc/systemd/system/multi-user.target.wants/f-secure-linuxsecurity-webserver.service → /usr/lib/systemd/system/f-secure-linuxsecurity-webserver.service. The F-Secure license agreement is stored in: /opt/f-secure/linuxsecurity/doc/LICENSE Installing virus definition databases... aqualnx64.1585581033 fsbspamd-100-linux-x86_64.1582614359 fmlibunix64.1580813614 hydra-linux64.1585289384 Dans les installations centralisées, l'hôte s'affiche dans la liste Hôtes en attente de Policy Manager Console une fois l'installation terminée. Après avoir installé le produit, configurez les paramètres d'analyse des logiciels malveillants et de vérification d'intégrité pour les utiliser. 2.3.1 Retarder l'activation du produit Au lieu d'activer le produit immédiatement pendant l'installation ou le déploiement, vous pouvez configurer l'activation du produit pour qu'elle ait lieu la prochaine fois que l'ordinateur est mis sous tension. Par exemple, vous souhaiterez peut-être retarder l'activation si vous installez le produit dans un modèle de machine virtuelle utilisé pour plusieurs instances de machine virtuelle. Dans une telle configuration, vous pouvez installer le produit dans le modèle et planifier l'activation pour le prochain démarrage de la machine virtuelle. Cette approche permet d'activer séparément les machines virtuelles individuelles au fur et à mesure de leur utilisation. Pour que l'activation ait lieu au prochain démarrage de l'ordinateur, utilisez le --next-boot argument dans la commande du programme d'installation. Par example: bash f-secure-linuxsecurity/f-secure-linuxsecurity-installer --next-boot Cela configure Linux Security 64 pour qu'il soit activé au prochain démarrage de l'ordinateur. 2.4 Désinstallation du produit Vous pouvez désinstaller le produit à partir de la ligne de commande. 1. Connectez-vous à l'hôte Linux en tant que racine. 2. Exécutez la commande de désinstallation : • Distributions RHEL : rpm -e f-secure-linuxsecurity • Distributions Debian : dpkg -r f-secure-linuxsecurity En cas d'échec de la désinstallation avec la commande ci-dessus, exécutez la commande suivante si Policy Manager Server n'est pas installé sur la même machine : rm -rf /opt/f-secure /etc/opt/f-secure /var/opt/f-secure. Elle supprime les fichiers ou les services système restants, le cas échéant. Redémarrez ensuite le système pour vous assurer que tous les services et les processus bloquants sont déchargés. Si vous avez installé Policy Manager Server sur la même machine, ne supprimez pas l'ensemble des dossiers. Exécutez plutôt les commandes suivantes pour supprimer uniquement les sous-dossiers nécessaires : • rm -rf /etc/opt/f-secure/baseguard • rm -rf /etc/opt/f-secure/fsbg • rm -rf /etc/opt/f-secure/linuxsecurity • rm -rf /opt/f-secure/baseguard • rm -rf /opt/f-secure/fsbg • rm -rf /opt/f-secure/linuxsecurity • rm -rf /var/opt/f-secure/baseguard
F-Secure Linux Security 64 | 15 • rm -rf /var/opt/f-secure/fsbg • rm -rf /var/opt/f-secure/linuxsecurity La commande de désinstallation ne supprime pas les fichiers de configuration ou les fichiers journaux créés par le produit. Consultez les répertoires du produit à la recherche d'éventuels fichiers restants et supprimez-les si vous êtes certain de n'en avoir plus aucune utilité.
16 | Utilisation du produit Chapitre 3 Utilisation du produit Sujets : Vous pouvez configurer les paramètres du produit via l'utilitaire de ligne de commande lsctl ou F-Secure Policy Manager Console dans le cas d'ordinateurs • Analyse en temps réel gérés de façon centralisée. • Vérification de l'intégrité • Mises à jour automatiques • Utiliser les proxies HTTP • Exemple : gestion des profils de vérificateur d'intégrité • Bases d'utilisation de F-Secure Policy Manager • Configuration des paramètres à l'aide de l'utilitaire lsctl • Utilisation de la ligne de commande
F-Secure Linux Security 64 | 17 3.1 Analyse en temps réel L'analyse en temps réel protège votre ordinateur en analysant les fichiers lorsque vous y accédez et en bloquant l'accès aux fichiers contenant des logiciels malveillants. Remarque : Les fichiers et répertoires individuels qui nécessitent une analyse en temps réel doivent être spécifiés sur le portail Elements Endpoint Protection (EPP). L'analyse en temps réel fonctionne comme suit : 1. L'ordinateur essaie d'accéder à un fichier. 2. Le fichier est immédiatement analysé pour détecter les logiciels malveillants avant que l'ordinateur n'accède au fichier. 3. Si un logiciel malveillant est découvert dans le fichier, l'analyse en temps réel bloque l'accès au fichier afin d'empêcher le logiciel malveillant de nuire à l'ordinateur. 4. Sur la base des paramètres, l'analyse en temps réel peut renommer ou supprimer le fichier infecté. Les fichiers analysés sont classés comme étant propres, malveillants, potentiellement indésirables ou suspects. Au contraire des fichiers infectés dont l'ouverture est bloquée, les fichiers propres ne sont pas affectés par l'analyse en temps réel. Le temps pris et les ressources système utilisées par l'analyse en temps réel dépendent du contenu, de l'emplacement et du type de fichier. Fichiers dont l'analyse prend plus de temps : • Les fichiers compressés, comme les archives .zip. Notez que ces fichiers ne sont par défaut pas analysé. • Fichiers sur les systèmes de fichiers du réseau : • Les fichiers volumineux peuvent être affectés. L'analyse en temps réel peut ralentir votre ordinateur lorsque vous accédez à de nombreux fichiers en même temps. Concepts associés Paramètres de ligne de commande pour analyse en temps réel page 34 Paramètres liés à l'analyse en temps réel disponibles pour lsctl. Tâches associées Utilisation de l'analyse en temps réel avec Policy Manager page 21 L'analyse en temps réel protège votre ordinateur en analysant les fichiers lorsque vous y accédez et en bloquant l'accès aux fichiers contenant des logiciels malveillants. Analyse manuelle de l'ordinateur depuis la ligne de commande page 39 Vous pouvez analyser manuellement l'ordinateur à la recherche d'éventuels programmes malveillants depuis la ligne de commande d'un hôte Linux sur lequel le produit est installé. 3.2 Vérification de l'intégrité La vérification de l'intégrité protège les fichiers système importants des modifications non autorisées. La vérification de l'intégrité vous permet de détecter toute modification de fichiers protégés et d'empêcher leur utilisation, quelles que soient les autorisations système. Pour utiliser la vérification de l'intégrité, vous devez ajouter les fichiers que vous voulez protéger à une liste de ligne de base. Les fichiers de cette liste sont protégés contre les modifications non autorisées. La vérification de l'intégrité fonctionne en comparant des fichiers sur le disque aux attributs de la ligne de base, qui forment une liste de propriétés de fichiers signée de manière chiffrée. Elle envoie des alertes à l'administrateur en cas de tentatives de modification des fichiers surveillés. Remarque : Certains aspects de la vérification de l'intégrité varient selon le type du système de fichiers utilisé. Les systèmes pris en charge comprennent notamment Ext4, ZFS, BTRFS, NFS et CiFS. En substance, la vérification de l'intégrité exploite les attributs des fichiers, lesquels sont disponibles dans la plupart des systèmes modernes. Le tableau suivant apporte des précisions sur la façon dont la vérification de l'intégrité gère les divers événements associés aux fichiers inclus dans la ligne de base.
18 | Utilisation du produit Événement Options de vérification de l'intégrité Un processus non approuvé modifie un fichier. Configuré avec les paramètres d'action de lecture et d'écriture : • Si l'action d'écriture est définie sur deny, la tentative de modification est bloquée et aucune alerte n'est envoyée. • Si l'action d'écriture est définie sur allow, la vérification de l'intégrité envoie une alerte de modification à l'administrateur. • Si l'action de lecture est définie sur deny, la vérification de l'intégrité bloque toute tentative ultérieure d'ouverture une fois le fichier modifié. Un processus approuvé modifie un fichier. Si le fichier programme d'un processus est inclus dans la ligne de base et qu'il n'a pas été falsifié, alors le processus en question est considéré comme approuvé. Le cas échéant, la vérification de l'intégrité n'intervient pas. Suppression d'un fichier La vérification de l'intégrité n'empêche pas l'événement et n'envoie pas d'alerte. Modification du nom d'un fichier La vérification de l'intégrité n'empêche pas l'événement et n'envoie pas d'alerte. En revanche, elle continue de surveiller le fichier renommé. Création d'un lien dur ou mou vers un fichier La vérification de l'intégrité suit le lien. Remplacement d'un fichier La vérification de l'intégrité n'empêche pas l'événement et n'envoie pas d'alerte. Modification des autorisations du fichier La modification n'est pas bloquée, mais les paramètres d'action de lecture et d'écriture déterminent si les tentatives ultérieures d'ouverture du fichier sont bloquées ou déclenchent une alerte. Modification de la propriété du fichier La modification n'est pas bloquée, mais les paramètres d'action de lecture et d'écriture déterminent si les tentatives ultérieures d'ouverture du fichier sont bloquées ou déclenchent une alerte. Modification des attributs du fichier Cela inclut les étiquettes SELinux. La vérification de l'intégrité n'empêche pas l'événement et n'envoie pas d'alerte. Remarque : À propos des alertes envoyées par la vérification de l'intégrité : • Les alertes tampering signalent qu'un processus accède à un fichier qui a déjà été falsifié. • Les alertes tampering-action signalent qu'un processus falsifie un fichier. Elles sont uniquement envoyées si l'action d'écriture est définie sur allow.
Vous pouvez aussi lire