Kaspersky Endpoint Security 11 для Linux

Здесь с уверенностью можно сказать, что в системе не полные исходники ядра.
С чем это может быть связано - тяжело предположить.
Для теста можно скачать/ загрузить/ установить исходники от Gentoo и попробовать скомпилировать указанные выше модули ядра.

И сколько по времени эта компиляция заняла?

Компилировать модули ядра на клиенткой стороне - так Себе затея.

Хз сколько времени. Если клиент хочет модуль - пусть компилит.

Самый прикол в том что данные модуль не поддерживается в ядрах 5*

Хотя посмотрю завтра в SLES и красной шапке на работе - там касперыч есть

Поставил исходники

emerge --ask sys-kernel/gentoo-sources

Запустил

/opt/kaspersky/kesl/bin/kesl-setup.pl

Вывод:

Compiling the kernel-level File Threat Protection module
Cleaning redirfs
make[1]: вход в каталог «/opt/kaspersky/kesl/src/kernel/redirfs»
make -C /lib/modules/5.10.73-calculate/build SUBDIRS=/opt/kaspersky/kesl/src/kernel/redirfs clean
make[2]: вход в каталог «/usr/src/linux-5.10.73-calculate»
scripts/Makefile.clean:15: Documentation/Makefile: Нет такого файла или каталога
make[3]: *** Нет правила для сборки цели «Documentation/Makefile». Останов.
make[2]: *** [Makefile:1832: _clean_Documentation] Ошибка 2
make[2]: выход из каталога «/usr/src/linux-5.10.73-calculate»
make[1]: *** [Makefile:20: clean] Ошибка 2
make[1]: выход из каталога «/opt/kaspersky/kesl/src/kernel/redirfs»
make: *** [Makefile:11: clean] Ошибка 1
Making link in redirfs
make[1]: вход в каталог «/opt/kaspersky/kesl/src/kernel/redirfs»
make -C /lib/modules/5.10.73-calculate/build SUBDIRS=/opt/kaspersky/kesl/src/kernel/redirfs modules
make[2]: вход в каталог «/usr/src/linux-5.10.73-calculate»
SYNC include/config/auto.conf.cmd
scripts/Makefile.build:44: scripts/basic/Makefile: Нет такого файла или каталога
make[4]: *** Нет правила для сборки цели «scripts/basic/Makefile». Останов.
make[3]: *** [Makefile:536: scripts_basic] Ошибка 2
Makefile:689: include/config/auto.conf.cmd: Нет такого файла или каталога
make[2]: *** [Makefile:712: include/config/auto.conf.cmd] Ошибка 2
make[2]: выход из каталога «/usr/src/linux-5.10.73-calculate»
make[1]: *** [Makefile:16: redirfs_build] Ошибка 2
make[1]: выход из каталога «/opt/kaspersky/kesl/src/kernel/redirfs»
make: *** [Makefile:5: all] Ошибка 1

Error: Could not compile the module.

Ставить можно как сказано выше, там конечно придется ещё и отсутствующие сорцы подкинуть, но толку будет мало - модуль redirfs всё равно не скомпилируется, а ждать, чтобы получить эту ошибку придется достаточно долго, т.к. всё ядро начнёт компилироваться.

Вот и вопрос - есть ли данные модуль вообще в ядре

А модуль redirfs.ko можно взять уже готовый? Приходилось принтеры настраивать, так недостающие lib-ы приходилось брать с других дистров.

Вроде как этот модуль в др. системах вообще не используется, а используется fanotify.
Возможно, что можно и без него обойтись, просто следует “модернизировать” скрипт постинсталла KESL.

вычитал по Касперу

Шаг 7. Определение типа перехватчика файловых операций
На этом этапе определяется тип перехватчика файловых операций для используемой операционной
системы. Для операционных систем, не поддерживающих технологию fanotify, будет запущена компиляция
модуля ядра.
Если в процессе компиляции модуля ядра не обнаружены необходимые пакеты, Kaspersky Endpoint Security
предлагает установить их. Если скачать пакеты не удалось, выводится сообщение об ошибке.
При наличии всех необходимых пакетов модуль ядра будет автоматически скомпилирован при запуске
задачи Защита о файловых угроз.
Вы можете выполнить компиляцию модуля ядра позже, после завершения первоначальной настройки
программы Kaspersky Endpoint Security.

тут пишут как проверить fanotify

Check if fanotify has been enabled before enabling on-access scanning.

calculate kernel # zgrep FANOTIFY /proc/config.gz
CONFIG_FANOTIFY=y

calculate bin # cat /boot/config-$(uname -r) | grep FANOTIFY
CONFIG_FANOTIFY=y

хотя тут вывод такой

cat /boot/config-$(uname -r) | grep FANOTIFY
CONFIG_FANOTIFY=y
CONFIG_FANOTIFY_ACCESS_PERMISSIONS=y

ещё про ClamAV:

Troubleshooting

Some OS distributors have disabled fanotify, despite kernel support. You can check for fanotify support on your kernel by running the command:

cat /boot/config-<kernel_version> | grep FANOTIFY

You should see the following:

CONFIG_FANOTIFY=y
CONFIG_FANOTIFY_ACCESS_PERMISSIONS=y

If you see this…

CONFIG_FANOTIFY_ACCESS_PERMISSIONS is not set

… then ClamAV’s On-Access Scanner will still function, scanning and alerting on files normally in real time. However, it will be unable to block access attempts on malicious files. We call this notify-only mode.

судя по логам на Альте
должна быть проверка на FANOTIFY

Checking if fanotify is available…
Using fanotify interceptor

в папке bin есть файл fanotify-checker

тут пишут :

Oh yes, I see it’s compiled without FANOTIFY and FANOTIFY_ACCESS_PERMISSIONS

I’ll enable both, recompile kernel and try again, thanks.

Может попробовать перекопилировать с этими опциями?

CONFIG_FANOTIFY=y
CONFIG_FANOTIFY_ACCESS_PERMISSIONS=y

вписал в модуль:
App.pm
в секцию:

sub check_fanotify_available

код:

print “Fanotify status:$fanotify_checker”;

вот вывод:

Fanotify status:/opt/kaspersky/kesl/bin/fanotify-checkerCannot use fanotify

значит скрипт установки не видит fanotify в calculate linux

попробовал по инструкции
собрать ядро

но не нашёл опции CONFIG_FANOTIFY_ACCESS_PERMISSIONS
вот тут пишут что выставить

 File Systems --->
 	[*] Filesystem wide access notification
 	[*]	fanotify permissions checking

опцию в конфиге ядра не нашёл:

[*] fanotify permissions checking

PS: оказывается нужно как пишут тут выбрать

Depends on: FANOTIFY [=y] && SECURITY [=y]

I initially had the same problem :-)
One has to enable "Security options ---> [*] Enable different security models".

и появиться нужный пункт:

[*] fanotify permissions checking

PS2:
пересобрал ядро с нужными опциями, теперь мой код пишет:
Fanotify status:/opt/kaspersky/kesl/bin/fanotify-checkerUsing fanotify interceptor

удалил каспера, почистил каталоги после удаления и заново установил, теперь скрипт установки пишет:

Configuring file interceptors

Checking if fanotify is available...

Warning: Cannot load application configuration file
Using fanotify interceptor
Starting Kaspersky Endpoint Security 11.2.0 for Linux. This can take some
time. Please wait.

Error: Please accept EULA and Privacy Policy first.
kesl not started

судя по всему не может найти INI файл kesl.ini. Вот пример [тут] (Скрипт для конфигурирования Kaspersky Endpoint Security при установке).
Kaspersky Endpoint Security — ALT Linux Wiki

Параметры файла конфигурации тут

Попробовал, всё равно выходит ошибка.

PS3: вычитал тут

В файле /var/opt/kaspersky/kesl/common/kesl.ini добавьте следующий параметр

взял сделал и закинул готовый файл (правда без лицензии) в /var/opt/kaspersky/kesl/common/kesl.ini
Запустил скрипт установки, он подумал какое-то время и выдал:

Configuring file interceptors

Checking if fanotify is available...
Using fanotify interceptor
Starting Kaspersky Endpoint Security 11.2.0 for Linux. This can take some
time. Please wait.

Error: kesl could not be started

причём в kesl.ini установщик добавил ещё новые параметры.

Интересно, собрал своё ядро, Каспер ставит исходники ядра старые при установке. Куда-то девается моё новое ядро - при загрузке его нет. Пытаюсь установить исходники снова, пишет:

USE="-minimal -vmlinuz" emerge -a sys-kernel/calculate-sources

Local copy of remote index is up-to-date and will be used.

Local copy of remote index is up-to-date and will be used.

These are the packages that would be merged, in order:

Calculating dependencies... done!
[ebuild  NS   ~] sys-kernel/calculate-sources-5.15.5 [5.10.73, 5.10.82] USE="-minimal* -vmlinuz*" 

WARNING: One or more updates/rebuilds have been skipped due to a dependency conflict:

sys-kernel/calculate-sources:5.10.82

  (sys-kernel/calculate-sources-5.10.82:5.10.82/5.10.82::calculate, ebuild scheduled for merge) USE="desktop firmware grub symlink themes -build -fsync -minimal -muqss -uksm -vmlinuz" ABI_X86="(64)" conflicts with
    sys-kernel/calculate-sources[minimal(-),vmlinuz(-)] required by (app-antivirus/kesl-11.2.0.4528:0/0::linuxbuh, installed) USE="" ABI_X86="(64)"
                                                       


The following keyword changes are necessary to proceed:
 (see "package.accept_keywords" in the portage(5) man page for more details)
# required by sys-kernel/calculate-sources (argument)
=sys-kernel/calculate-sources-5.15.5 ~amd64

Would you like to add these changes to your config files? [Yes/No]

Если снести каспера, то всё приходит в норму. Каспер нужен, что делать?

Здравствуйте уважаемые участники форума!
Получается, что пока совсем нет сейчас более менее внятного механизма антивирусной защиты в гетерогенных сетях, ввиду невозможности полного отказа от продуктов Microsoft во многих сферах, так и отсутствие продуктов импортозамещения способных это сделать - как пример для доказательства спорных вопросов по госзакупкам в ФАСе независимый регистратор работает только на платформе Microsoft.
Попробую обратится в Kaspersky с просьбой помочь в данном вопросе. Ведь некоторые антивирусные продукты у них разработаны с использованием Gentoo. Надеюсь получится!
ЗЫ: ClamAV покойся с миром…

В Касперском отмахнулись - от слова совсем.
Даже не буду говорить, как они Gentoo назвали, про Calculate Linux типа вообще не слышали.
Пошёл в сторону Dr.Web -
https://download.geo.drweb.com/pub/drweb/unix/workstation/11.1/drweb-11.1.3-av-linux-amd64.run
Для бизнеса заказал по форме trial. Заказал простую - есть ещё ФСТЭК и ФСБ, но так как Calculate Linux не входит в список совместимых ОС - даже не знаю - имеет ли смысл пытаться заказать - это же от правообладателя зависит уже: Антивирус Dr.Web — О компании «Доктор Веб»
Домашняя 30 дневная версия стартует только вручную, хотя стоит в автозагрузке:
sudo /etc/init.d/drweb-configd start
SpiDer Gate отрабатывает:

В оф.документации “Dr.Web” написано, что проблем с установкой быть не должно. В случае чего, отсутствующие модули можно скомпилировать.

А вообще конечно интересно - полноценно ли работает указанное защитное программное обеспечение в “Gentoo”/ “Calculate”, т.к. фильтрация http это не показатель - есть ещё https и ф/с.

По крайней мере тестовый файлик Eicar тест антивирусов — это маленький кусок текста, который определяется, как вирус всеми современными антивирусами - даже в .txt не даёт сохранить - тут же помещает в карантин.
Но как вообще работает - практика покажет, ещё конечно отзывы почитать.
Снимок экрана от 2022-04-03 16-29-53
Снимок экрана от 2022-04-03 16-33-10

1 Like