F-Secure Linux セキュリティ 11.xをインストールする前のチェックリスト
F-Secure Linux セキュリティをインストールする前に、Linux ディストリビューションによっては特定のソフトウェア パッケージのインストールや設定を必要とするものがあります。ここでは、最も一般的な設定と解決方法を説明します。
Prelink ディストリビューションを使用する
Prelink はバイナルの起動時間を短縮できますが製品の完全性チェッカーと競合します。
Prelink を無効にするには、OS の構成ファイルを探して (例: /etc/sysconfig/prelink
)、次の行、1) PRELINKING=yes
> PRELINKING=no
を変更して、製品をインストールする前に /etc/cron.daily/prelink
を実行します。
cron から prelink の自動実行を無効にすることを推奨します。ディストリビューションによっては cron から prelink を定期的に実行してダイナミック ライブラリのバイナリ起動時間を短縮するものもあります。Prelink はディスク上のバイナリと動的ライブラリを変更します。これは、システム ファイルの変更を検出する完全性チェッカーの機能と競合します。
F-Secure Linux セキュリティをすでにインストールした場合、次の説明にしたがいします。
- コマンドラインから
/opt/f-secure/fsav/bin/fsims on
を実行してソフトウェア インストール モードを有効にします。ソフトウェア インストール モードはシステム ファイルの変更を許可します。 /etc/sysconfig/prelink
を編集して、PRELINKING=yes
をPRELINKING=no
に変更します。/etc/cron.daily/prelink
を実行します。- コマンドラインから
/opt/f-secure/fsav/bin/fsims off
を実行してソフトウェア インストール モードを無効にします。
ソフトウェア インストール モードを無効にすると、システム ファイルの状態は完全性チェッカーのベースラインに保存されます。
Prelink を使用するには Prelink を有効にする前にソフトウェア インストール モードを有効にし、prelink の終了後にソフトウェア インストール モードを無効にします。これにより、prelink は以下のようにシステム ファイルの変更を許可します。
# /opt/f-secure/fsav/bin/fsims on # prelink -a # /opt/f-secure/fsav/bin/fsims off
注: この操作は簡単に自動化できません。ソフトウェア インストール モードを無効にすると新しいベースラインが作成されます。このベースラインは管理者が入力するパスワードにより署名が必要です。
プリインストールの要求
製品をインストールする前に次のパッケージをインストールする必要があります。64ビットの環境では 32ビットのランタイム サポートをインストールする前にMultiarch サポートを有効にする必要があるかもしれません。Dazuko カーネル ドライバを使用するディストリビューションではカーネル ヘッダとコンパイラ ツールも追加する必要があります。
カーネル ドライバを正常にコンパイルするには使用中のカーネルのパッケージ バージョン、カーネル レベルおよびカーネル ヘッダが一致している必要があります。
CentOS/RHEL 6 (32ビット)
yum install gcc glibc-devel glibc-headers kernel-devel make pam patch perl
Debian 7 (32/ビット)
sudo apt-get install gcc libc6-dev libpam-modules linux-headers-$(uname -r) make patch perl rpm
Debian 8、9 (32ビット)
sudo apt-get install rpm pam perl
Ubuntu 12.04、12.04.1、12.04.2 (32ビット)
sudo apt-get install gcc linux-headers-$(uname -r) perl rpm
Ubuntu 12.04.3、12.04.4、12.04.5 (32ビット)
sudo apt-get install rpm
SUSE Linux Enterprise Server 11 (32ビット)
sudo zypper in gcc kernel-default-devel make patch perl
Oracle Linux 6 RHCK (32ビット)
yum install gcc glibc-devel kernel-devel make patch perl
Amazon Linux 2017.03、2017.09、2018.03 (64ビット)
yum install libstdc++44.i686 pam.i686
CentOS/RHEL 6 (64ビット)
yum install gcc glibc-devel glibc-headers glibc.i686 glibc.x86_64 kernel-devel libstdc++.i686 libstdc++.x86_64 make pam.i686 pam.x86_64 patch perl zlib.i686 zlib.x86_64
CentOS/RHEL 7 (64ビット)
yum install glibc.i686 glibc.x86_64 libstdc++.i686 libstdc++.x86_64 pam.i686 pam.x86_64 perl zlib.i686 zlib.x86_64
Debian 7 (64ビット)
- Multiarch サポートを有効にします:
dpkg --add-architecture i386 apt-get update
- 次のパッケージをインストールします:
sudo apt-get install gcc libc6-dev libpam-modules:i386 libstdc++6:i386 linux-headers-$(uname -r) make patch perl rpm zlib1g:i386
Debian 8、9 (64ビット)
- Multiarch サポートを有効にします:
dpkg --add-architecture i386 apt-get update
- 次のパッケージをインストールします:
sudo apt-get install libpam-modules:i386 libstdc++6:i386 perl rpm zlib1g:i386
Ubuntu 12.04、12.04.1、12.04.2 (64ビット)
sudo apt-get install gcc libpam-modules:i386 libstdc++6:i386 linux-headers-$(uname -r) perl rpm zlib1g:i386
Ubuntu 12.04.3、12.04.4、12.04.5 (64ビット)
sudo apt-get install libpam-modules:i386 libstdc++6:i386 rpm zlib1g:i386
Ubuntu 14.04、16.04、18.04 (64ビット)
sudo apt-get install libc6-dev:i386 libpam-modules:i386 libstdc++6:i386 rpm zlib1g:i386
SUSE Linux Enterprise Server 11-SP1、11-SP2、11-SP3 (64ビット)
sudo zypper in gcc kernel-default-devel libgcc43-32bit libstdc++43-32bit make pam-modules-32bit patch perl
SUSE Linux Enterprise Server 11-SP4 (64ビット)
sudo zypper in gcc kernel-default-devel libgcc_s1-32bit libstdc++6-32bit make pam-modules-32bit patch perl
SUSE Linux Enterprise Server 12 (64ビット)
sudo zypper in libstdc++6-32bit libz1-32bit pam-32bit
Oracle Linux 6 RHCK (64ビット)
yum install gcc glibc-devel glibc-devel.i686 kernel-devel libstdc++.i686 make pam.i686 patch perl zlib.i686
Oracle Linux 7 UEK (64ビット)
yum install libstdc++.i686 pam.i686 zlib.i686
Linux Security の初期化
製品をインストールする前に必要なパッケージが不足していた場合、インストール後に次のコマンドを実行して F-Secure の全モジュールを初期化できます: /etc/init.d/fsma restart
Linux セキュリティのカーネル インターセプターのコンパイルが失敗した場合、次を実行します: /opt/f-secure/fsav/bin/fsav-compile-drivers
fsav-compile-driversは "fsma restart" も実行します.