F-Secure Linux セキュリティ 11.xをインストールする前のチェックリスト

F-Secure Linux セキュリティ 11.xをインストールする前のチェックリスト - F-Secure Community

F-Secure Linux セキュリティをインストールする前に、Linux ディストリビューションによっては特定のソフトウェアパッケージのインストールや設定を必要とするものがあります。ここでは、最も一般的な設定と解決方法を説明します。

Prelink ディストリビューションを使用する

Prelink はバイナルの起動時間を短縮できますが製品の完全性チェッカーと競合します。

Prelink を無効にするには、OS の構成ファイルを探して (例: /etc/sysconfig/prelink)、次の行、1) PRELINKING=yes > PRELINKING=no を変更して、製品をインストールする前に /etc/cron.daily/prelink を実行します。

cron から prelink の自動実行を無効にすることを推奨します。ディストリビューションによっては cron から prelink を定期的に実行してダイナミックライブラリのバイナリ起動時間を短縮するものもあります。Prelink はディスク上のバイナリと動的ライブラリを変更します。これは、システムファイルの変更を検出する完全性チェッカーの機能と競合します。

F-Secure Linux セキュリティをすでにインストールした場合、次の説明にしたがいします。

コマンドラインから /opt/f-secure/fsav/bin/fsims on を実行してソフトウェアインストールモードを有効にします。ソフトウェアインストールモードはシステムファイルの変更を許可します。
/etc/sysconfig/prelink を編集して、PRELINKING=yes を PRELINKING=no に変更します。
/etc/cron.daily/prelink を実行します。
コマンドラインから /opt/f-secure/fsav/bin/fsims off を実行してソフトウェアインストールモードを無効にします。

ソフトウェアインストールモードを無効にすると、システムファイルの状態は完全性チェッカーのベースラインに保存されます。

Prelink を使用するには Prelink を有効にする前にソフトウェアインストールモードを有効にし、prelink の終了後にソフトウェアインストールモードを無効にします。これにより、prelink は以下のようにシステムファイルの変更を許可します。

# /opt/f-secure/fsav/bin/fsims on
# prelink -a
# /opt/f-secure/fsav/bin/fsims off

注: この操作は簡単に自動化できません。ソフトウェアインストールモードを無効にすると新しいベースラインが作成されます。このベースラインは管理者が入力するパスワードにより署名が必要です。

プリインストールの要求

製品をインストールする前に次のパッケージをインストールする必要があります。64ビットの環境では　32ビットのランタイムサポートをインストールする前にMultiarch サポートを有効にする必要があるかもしれません。Dazuko カーネルドライバを使用するディストリビューションではカーネルヘッダとコンパイラツールも追加する必要があります。

カーネルドライバを正常にコンパイルするには使用中のカーネルのパッケージバージョン、カーネルレベルおよびカーネルヘッダが一致している必要があります。

CentOS/RHEL 6 (32ビット)

yum install gcc glibc-devel glibc-headers kernel-devel make pam patch perl

Debian 7 (32/ビット)

sudo apt-get install gcc libc6-dev libpam-modules linux-headers-$(uname -r) make patch perl rpm

Debian 8、9 (32ビット)

sudo apt-get install rpm pam perl

Ubuntu 12.04、12.04.1、12.04.2 (32ビット)

sudo apt-get install gcc linux-headers-$(uname -r) perl rpm

Ubuntu 12.04.3、12.04.4、12.04.5 (32ビット)

sudo apt-get install rpm

SUSE Linux Enterprise Server 11 (32ビット)

sudo zypper in gcc kernel-default-devel make patch perl

Oracle Linux 6 RHCK (32ビット)

yum install gcc glibc-devel kernel-devel make patch perl

Amazon Linux 2017.03、2017.09、2018.03 (64ビット)

yum install libstdc++44.i686 pam.i686

CentOS/RHEL 6 (64ビット)

yum install gcc glibc-devel glibc-headers glibc.i686 glibc.x86_64 kernel-devel libstdc++.i686 libstdc++.x86_64 make pam.i686 pam.x86_64 patch perl zlib.i686 zlib.x86_64

CentOS/RHEL 7 (64ビット)

yum install glibc.i686 glibc.x86_64 libstdc++.i686 libstdc++.x86_64 pam.i686 pam.x86_64 perl zlib.i686 zlib.x86_64

Debian 7 (64ビット)

Multiarch サポートを有効にします:
```
dpkg --add-architecture i386
apt-get update
```

次のパッケージをインストールします:

sudo apt-get install gcc libc6-dev libpam-modules:i386 libstdc++6:i386 linux-headers-$(uname -r) make patch perl rpm zlib1g:i386

Debian 8、9 (64ビット)

Multiarch サポートを有効にします:
```
dpkg --add-architecture i386
apt-get update
```

次のパッケージをインストールします:

sudo apt-get install libpam-modules:i386 libstdc++6:i386 perl rpm zlib1g:i386

Ubuntu 12.04、12.04.1、12.04.2 (64ビット)

sudo apt-get install gcc libpam-modules:i386 libstdc++6:i386 linux-headers-$(uname -r) perl rpm zlib1g:i386

Ubuntu 12.04.3、12.04.4、12.04.5 (64ビット)

sudo apt-get install libpam-modules:i386 libstdc++6:i386 rpm zlib1g:i386

Ubuntu 14.04、16.04、18.04 (64ビット)

sudo apt-get install libc6-dev:i386 libpam-modules:i386 libstdc++6:i386 rpm zlib1g:i386

SUSE Linux Enterprise Server 11-SP1、11-SP2、11-SP3 (64ビット)

sudo zypper in gcc kernel-default-devel libgcc43-32bit libstdc++43-32bit make pam-modules-32bit patch perl

SUSE Linux Enterprise Server 11-SP4 (64ビット)

sudo zypper in gcc kernel-default-devel libgcc_s1-32bit libstdc++6-32bit make pam-modules-32bit patch perl

SUSE Linux Enterprise Server 12 (64ビット)

sudo zypper in libstdc++6-32bit libz1-32bit pam-32bit

Oracle Linux 6 RHCK (64ビット)

yum install gcc glibc-devel glibc-devel.i686 kernel-devel libstdc++.i686 make pam.i686 patch perl zlib.i686

Oracle Linux 7 UEK (64ビット)

yum install libstdc++.i686 pam.i686 zlib.i686

Linux Security の初期化

製品をインストールする前に必要なパッケージが不足していた場合、インストール後に次のコマンドを実行して F-Secure の全モジュールを初期化できます: /etc/init.d/fsma restart

Linux セキュリティのカーネルインターセプターのコンパイルが失敗した場合、次を実行します: /opt/f-secure/fsav/bin/fsav-compile-drivers

fsav-compile-drivers

は "fsma restart" も実行します.