ビジネスセキュリティ

ソート順:
回答  Linuxセキュリティのインストール後に、fsma/fsaua のユーザID 及びfcs グループIDを変更しますと、弊社製品が正常に動作しなくなる可能性がございます。ユーザID及びグループのIDを保持する必要がある場合には、 Linuxセキュリティのインストール前に、以下のように明示的にIDを指定し、弊社製品が利用するユーザ・グループを事前に作成することで対応可能です。   例)   # mkdir /opt/f-secure   # mkdir /var/opt/f-secure   # groupadd -g 2000 fsc   # useradd -r -d /opt/f-secure/fsma -g fsc -u 2000 fsma   # useradd -r -c "F-Secure Automatic Update Agent" -d /var/opt/f-secure/fsaua -g fsc -u 2001 fsaua
記事全体を表示
当記事では、弊社製品で発生した誤検知や、検知漏れの修正依頼について解説させていただきます。 誤検知や検知漏れと思われる状況が発生した場合、検体解析システム(SAS)により、エフセキュアセキュリティラボへの確認/修正リクエストをご提出いただけます。1.対象のファイル、2.検知が発生した端末の診断情報を採取し、下記URLからご提出ください。 なお、オフライン環境で弊社製品をご利用の場合はその旨をご記載下さい。     検体解析にてご提供可能な情報について下記のURLで解説させて頂いております。 https://community.f-secure.com/t5/ビジネスセキュリティ/お知らせ-新ウイルス対策エンジン-Capricorn/ta-p/114781       検体解析システム   (SAS) https://www.f-secure.com/en/web/labs_global/submit-a-sample   英文依頼例) Product name  :Client Security/PSB Computer Protection/etc Internet              :Off line(オフライン) / On line(オンライン) Request 安全だと思われるファイルが検知された場合 Could you kindly check if this file is realy malicious? This file is detected as malicious by F-secure product. 危険だと思われるファイルが検知されない場合 Could you kindly check if this  file is really safe? This file is not detected as malicious by F-secure product. (別アンチウイルス製品で検知された場合) This file is marked as malicious by other product(Product name:xxxx) 重要 下記チェックボックをチェックし、必要情報を入力してください。 情報入力せずにファイル提出した場合、ラボでは、誤検知/検知漏れの修正のみを行い、回答を行いません。     日本語対応をご希望の場合 日本語での対応をご希望のお客様は、以下手順を確認のうえ、指定のメールアドレス宛に検体ファイルをお送りください。日本サポートチームでの翻訳作業を経由する為日本営業時間内での順次対応となります。 [手順] 検体を暗号化ZIPで圧縮します。暗号化パスワードは「infected」でお願いいたします。 (検体取得の際には、リアルタイムスキャン機能を一時的にOFFにしていただく必要がございます) 診断情報 (fsdiag や diag) を取得します。 スキャンレポート(HTML)をファイルに保存します 。( Linux 製品についてはスキャンレポート(HTML)はございません。fsav コマンドの出力があればそれをスキャンレポートとして提出してください。) 「検体」「診断情報」「スキャンレポート」「カテゴリ」を添付/記載したメールを以下に送信します。 検体ファイルカテゴリ Malicious file(Virus,Trojans,,,)    :f-secure製品で検知しなかったが、危険と思われるファイル Potentially Unwanted Application:f-secure製品で検知しなかったが、危険と思われるアプリケーション False Positive                                  :f-secure製品で検知したが、安全と思われるファイル                                                            自社開発ツール等の場合は、その旨を記載ください。              検体送付先 アドレス: japan-samples@file-samples.f-secure.com 日本語対応は平日の月-金 9:30-12:00, 13:00-17:30 の間のみの対応となります。   急ぎの対応をお望みの場合は、前述の検体解析システム(SAS)をご利用くださいますようお願い致します。     備考 検体送付は通常サポート窓口では受け付けておりません。マルウェアの可能性のあるファイルは通常のサポート窓口には絶対に提出しないでください。
記事全体を表示
質問 「登録の処理が複数失敗しています。ネットワークの設定を確認して下さい」、というアラートが表示されます。 回答 クローズ環境で利用しているポリシーマネージャが、トークンの有効期限 30 日前になると、ポリシーマネージャコンソールで接続時、以下画面が表示されます。     トークンの有効期限はシステム上で確認できないため、ライセンス証明書を確認するか、この画面の表示にて有効期限が 30 日をきったことを認識して頂くことになります。
記事全体を表示
質問 ポリシーマネージャ Linux 版 Ver 12.00 以降、H2DB データベースの自動バックアップ機能が搭載されておりますが、ポリシーマネージャ管理者ガイド内の「4.2 バックアップを作成する」の項目に記載の手順でバックアップの実施後にバックアップデータはどちらのディレクトリに作成されるかご教示ください。 また、バックアップデータの復元手順についてもご教示ください。 「4.2 バックアップを作成する」の項目から抜粋: ------------------------------------------------------------------------------------------ 1. メニューからツール> サーバの構成を選択します。 2. [バックアップ] を選択します。 3. 自動バックアップのスケジュールを設定するには     a) [自動バックアップを有効にする] を選択します。     b) [日単位] または[週単位] のバックアップスケジュールを選択し、          自動バックアップを行う曜日と時間を選択します。 4. 保管するバックアップ数を選択します。 5. 今すぐにバックアップを行う場合、[今すぐバックアップ] をクリックします。 6. [OK] をクリックします。 ------------------------------------------------------------------------------------------ 回答 バックアップデータ (yyyy_mm_dd_nn_nn_nn.backup.zip) は、「/var/opt/f-secure/fspms/data/backup」のディレクトリに作成されます。 バックアップデータ (H2DB データベース) を復元したい場合は、下記の手順でバックアップデータ内に含まれている「fspms.h2.db」のファイルを配置する必要がございます。 手順: 1.ポリシーマネージャサーバを停止します。   # /etc/init.d/fspms stop 2.下記ディレクトリに「fspms.h2.db」ファイルを配置します。   /var/opt/f-secure/fspms/data/h2db 3.ポリシーマネージャサーバを起動します。   # /etc/init.d/fspms start   注意: fspms を停止させても (/etc/init.d/fspms stop が正常終了した場合でも)、fspms ユーザのプロセスがバックグラウンドでまだ実行中の場合があります。これらのプロセスは H2DB データベースをアクセス中の場合もあり、万が一、H2DB 更新中に H2DB データベースファイルが置換えられると、H2DB データベースが破損する原因となる場合があります。 このため、ポリシーマネージャサーバ fspms を停止させた後には、残存プロセスがいないことを確認して下さい。        # ps -fu fspms   bwserver や java プロセスが実行中の場合は、暫くお待ち下さい。 なお、fsavupd が cron で一定時間毎に実行されますが、こちらのプロセスは H2DB にはアクセスしませんので、実行中でも無視して構いません。
記事全体を表示
質問 ポリシーマネージャデータベースの修復ツールの使用方法について、ご教示ください。 回答 【ポリシーマネージャサーバ12.10以降(Windows)の場合】   ポリシーマネージャサーバ12.10以降、修復ツールがインストールディレクトリに同梱されております。   F-Secureインストールフォルダ\Management Server 5\binに、fspms-db-recover.batを実行します。   実行するコマンド (修復ツールが含まれるパスに、README-recover-db.txtをご参照)   1) デフォルトディレクトリのh2dbを修復します。(%F_SECURE_DIR%\Management Server 5\data\h2db) fspms-db-recover.bat <recovered-db-dir> ※デフォルトディレクトリのh2dbを修復する場合は、ポリシーマネージャサーバのサービスを停止してください。 2) 指定されたディレクトリからh2dbを修復します。 fspms-db-recover.bat -curDir=<corrupted-db-dir> <recovered-db-dir>   3) スキャンレポートを除き、h2dbを修復します。 fspms-db-recover.bat -noReports <recovered-db-dir>   4) 警告を除き、h2dbを修復します。 fspms-db-recover.bat -noAlerts <recovered-db-dir>   5) スキャンレポートと警告を除き、指定されたディレクトリからh2dbを修復します。 fspms-db-recover.bat -noReports -noAlerts -curDir=<corrupted-db-dir> <recovered-db-dir>   6) スキャンレポートと警告を除き、デフォルトディレクトリのh2dbを修復します。(%F_SECURE_DIR%\Management Server 5\data\h2db) fspms-db-recover.bat -noReports -noAlerts <recovered-db-dir> ※デフォルトディレクトリのh2dbを修復する場合は、ポリシーマネージャサーバのサービスを停止してください。 ※ 出力された<recovered-db-dir>には、以下のファイル含まれます。 * h2dbファイル(fspms.h2.db); * 鍵ファイル:admin.pub/admin.prv パスワード:'password' 修復ツールの実行例: > fspms-db-recover.bat c:\temp\h2db-recovered > fspms-db-recover.bat -curDir=c:\temp\h2db c:\temp\h2db-recovered > fspms-db-recover.bat -noAlerts -curDir=c:\temp\h2db c:\temp\h2db-recovered      【ポリシーマネージャサーバ12.10以降(Linux)の場合】    ポリシーマネージャサーバ12.10以降、修復ツールがインストールディレクトリに同梱されております。  /opt/f-secure/fspms/bin/fspms-db-recover   実行するコマンド (修復ツールが含まれるパスに、README-recover-dbをご参照)   1) デフォルトディレクトリのh2dbを修復します。(/var/opt/f-secure/fspms/data/h2db) fspms-db-recover <recovered-db-dir> ※デフォルトディレクトリのh2dbを修復する場合は、ポリシーマネージャサーバのサービスを停止してください。 2) 指定されたディレクトリからh2dbを修復します。 fspms-db-recover -curDir=<corrupted-db-dir> <recovered-db-dir>   3) スキャンレポートを除き、h2dbを修復します。 fspms-db-recover -noReports <recovered-db-dir>   4) 警告を除き、h2dbを修復します。 fspms-db-recover -noAlerts <recovered-db-dir>   5) スキャンレポートと警告を除き、指定されたディレクトリからh2dbを修復します。 fspms-db-recover -noReports -noAlerts -curDir=<corrupted-db-dir> <recovered-db-dir>   6) スキャンレポートと警告を除き、デフォルトディレクトリのh2dbを修復します。 (/var/opt/f-secure/fspms/data/h2db) fspms-db-recover -noReports -noAlerts <recovered-db-dir> ※デフォルトディレクトリのh2dbを修復する場合は、ポリシーマネージャサーバのサービスを停止してください。 ※ 出力された<recovered-db-dir>には、以下のファイル含まれます。 * h2dbファイル(fspms.h2.db); * 鍵ファイル:admin.pub/admin.prv パスワード:'password' 修復ツールの実行例: > fspms-db-recover /tmp/h2db-recovered > fspms-db-recover -curDir=/tmp/h2db /tmp/h2db-recovered > fspms-db-recover -noAlerts -curDir=/tmp/h2db /tmp/h2db-recovered
記事全体を表示
質問 ポリシーマネージャから集中管理している Linux セキュリティ (フルエディション) 製品のパターンファイルバージョンの確認は出来ますか? 回答 以下の項目内にて確認可能です。   ・ポリシーマネージャの詳細モードのステータスタブ内で、 F-Secure > F-Secure 自動更新エージェント > 統計 > ダウンロード>使用可能なパッケージ > 0/1/2
記事全体を表示
質問 ポリシーマネージャLinux版 で「fspms-webapp-errors.log」に 「Trying to read data over limit」のエラーが大量に出力され続けます。 出力例: 18.09.2015 17:21:44,261 ERROR [com.fsecure.fspms.hostmodule.HostInterfaceHandler] - Error while handling host request com.fsecure.fspms.hostmodule.ReadingOverLimitException: Trying to read data over limit 回答 ポリシーマネージャLinux版 ver11.30以降、アップロードデータの最大値(1MB=1048576バイト)が設定されており、ホストからポリシーマネージャサーバへのステータス情報の送信時にデフォルトの最大値を超えました場合には今回の事象が発生します。   本事象が発生している場合には、以下のような影響が確認されております。 ● ポリシーマネージャコンソール側で一部のステータス情報が正常に表示されない ● ポリシーが反映されているにも関わらず、ポリシーマネージャコンソール側の表示にはポリシーが最新ではない旨の情報が表示されるなど 対処方法としては、下記の手順でホストからのアップデートデータの最大値設定を 変更(例えば、10MB=10485760バイト)することで、本事象を解消する事が出来ます。 <手順> 1.ポリシーマネージャの設定ファイルを開きます。  /etc/opt/f-secure/fspms/fspms.conf 2.下記のパラメータを変更します。  変更前: additional_java_args=""  変更後: additional_java_args="-DmaxUploadedPackageSize=<アップロードデータの最大値>"  例(最大値設定=10MBの場合):  additional_java_args="-DmaxUploadedPackageSize=10485760"   ※上記設定項目に既に別の設定が記述されている場合、""内にスペース区切りで追記して下さい。   設定例: additional_java_args="[設定1] [設定2] [設定3]" 3.fspmsの再起動を行い、設定が反映されます。  # /etc/init.d/fspms restart
記事全体を表示
質問 F-Secure 自動更新サーバへの接続失敗時のエラー内容について、教えてください。 syslog 内のエラー内容: Dec 25 19:18:47 test fsaua[3306]: Update check failed. There was an error connecting fsbwserver.f-secure.com (Connection failed) Dec 25 19:19:53 test fsaua[3676]: Downloaded 'F-Secure Hydra Update 2014-12-25_01' - 'hydralinux' version '1419499240' from fsbwserver.f-secure.com, 13785991 bytes (download size 3535 bytes) 回答 上記のメッセージ内容ですが、通常弊社更新サーバへの接続時にネットワーク接続やプロキシ接続等が不安定のために弊社更新サーバへの接続が失敗し、「Connection failed」のメッセージが出力されます。 上記のログ通り、その時の接続は失敗してもリトライが発生しますので、最終的にリトライが成功し、最新の定義ファイルに更新されている状況であれば、接続失敗のエラーメッセージは無視して頂いて問題はございません。 もし最新の定義ファイルに更新されていないようであれば、大変お手数ですが、ネットワークの接続状況に問題ないかを確認する必要がごさいます。 また、弊社サービスの再起動も試していただき、状況が改善されるかをご確認頂けますと幸いです。 Linuxセキュリティコマンドラインエディションの場合: # /etc/init.d/fsupdate stop # /etc/init.d/fsaua stop # /etc/init.d/fsaua start # /etc/init.d/fsupdate start Linuxセキュリティフルエディションの場合: # /etc/init.d/fsma stop # /etc/init.d/fsaua stop # /etc/init.d/fsaua start # /etc/init.d/fsma start
記事全体を表示
  ポリシーマネージャVer13.xxでは、基本的には管理クライアント(ポリシーマネージャコンソール上に登録されている)からの更新要求を受けてからポリシーマネジャ自身がパターンファイルの取得を行います。 ただし、Linuxセキュリティコマンドラインエディションのようにポリシーマネージャで管理できない製品の場合、これらの端末からポリシーマネージャに対して更新要求を行ってもポリシーマネージャ自身はパターンファイルの取得を行いません。(ポリシーマネージャコンソール上に1台も管理クライアントがない場合) このような場合には、LinuxセキュリティフルエディションVer11.xx等の自動更新にAUAを利用しているクライアントを1台ポリシーマネージャの管理クライアントとして登録することにより、ポリシーマネージャサーバはパターンファイルの更新を行いますため、管理外クライアントのLinuxセキュリティコマンドラインエディションについても、同ポリシーマネージャからパターンファイルを更新することができるようになります。 (Linuxセキュリティコマンドラインエディションがインストールされたサーバが直接インターネットに接続できない環境では、ポリシーマネージャを利用するのではなく、HTTPプロキシ経由で各Linuxセキュリティコマンドラインエディションがパターンファイルを取得しにいくような構成をご検討ください。) 非インターネット環境に設置されているポリシーマネージャVer13.xxについても、アーカイブを使用してポリシーマネージャのパターンファイルを更新することができますが、一台のLinuxセキュリティフルエディションVer11.xx(若しくは自動更新にGUTS2ではなくAUAを利用しているその他製品)を管理クライアントとしてポリシーマネージャに登録しないと、管理外クライアントのLinuxセキュリティコマンドラインエディションは、同ポリシーマネージャからパターンファイルの取得は行えません。 [注意事項] ※ポリシーマネージャにクライアントセキュリティVer13.xx等の自動更新にGUTS2を利用したWindowsクライアント製品が管理クライアントとして登録されていても、Linux製品用のパターンファイルをダウンロードしないため、管理外クライアントのLinuxセキュリティコマンドラインエディションは、このポリシーマネージャから更新をダウンロードすることができません。
記事全体を表示
質問 Linux セキュリティ コマンドラインエディションでのマニュアルスキャンの実行コマンド、手動更新コマンド、製品バージョンの確認コマンドをご教示ください。 回答 以下のコマンドをご使用ください。 ●マニュアルスキャンの実行コマンド  # fsav <スキャン対象のディレクトリか、またはファイル>  ※詳細情報は、fsav の man ページをご参照ください。 ●手動更新の確認コマンド [インターネット接続環境]  # dbupdate [非インターネット環境]  # dbupdate fsdbupdate9.run  ※事前にfsdbupdate9.runを下記URLからダウンロードし任意のディレクトリにコピーしたうえで上記コマンドを実行してください。  https://www.f-secure.com/ja_JP/web/business_jp/support/support-tools   ●製品バージョン及び定義ファイルバージョンの確認コマンド  # fsav --version  F-Secure Linux Security version 11.xx build xxx  → 製品のバージョンが「11.xx」となります。  Database version: 2018-xx-xx_xx  → 定義ファイルバージョンが「2018-xx-xx_xx」となります。 ※Linux セキュリティ フルエディションにおいても、上記のコマンドをご利用頂けます。
記事全体を表示
Linuxセキュリティコマンドラインエディションver10.xxからver11.xxへのバージョンアップ手順及び切り戻し手順について、記載いたします。 【アップグレード手順】 ①.製品インストーラー及びマニュアルを以下サイトよりご入手して下さい。 https://www.f-secure.com/ja_JP/web/business_jp/downloads/linux-security/latest ②.事前の設定ファイルバックアップ Linuxセキュリティコマンドラインエディションのみがインストールされている場合: # /etc/init.d/fsaua stop # /etc/init.d/fsupdate stop # tar cpsf <backup-filename>.tar /etc/opt/f-secure /var/opt/f-secure /opt/f-secure # /etc/init.d/fsaua start # /etc/init.d/fsupdate start Linuxセキュリティコマンドラインエディション及びポリシーマネージャver12.xxの共存環境の場合: # /etc/init.d/fsaua stop # /etc/init.d/fsupdate stop # /etc/init.d/fspms stop # tar cpsf <backup-filename>.tar /etc/opt/f-secure /var/opt/f-secure /opt/f-secure # /etc/init.d/fsaua start # /etc/init.d/fsupdate start # /etc/init.d/fspms start ※ このバックアップは、アップグレードに問題が生じ、切り戻しが必要になった際に利用する可能性があるものとなります。通常は利用いたしません。 ③.バージョン11.xxのインストール # ./fsls-<version>.<build> --command-line-only ※ 詳細情報については、Linuxセキュリティの管理者ガイド(「3.6.3 コマンドライン専用モードでのインストール」の項目)をご参照ください。 ※ver10.xx及びver11.xxのライセンスキーコードが異なりますので、 アップグレード時にver11.xx用のライセンスキーコードの入力が必要となります。 ※ インストール後にOSの再起動を実施する必要はございません。 ④.バージョンの確認方法 # fsav --version F-Secure Linux Security version 11.xx build xxx ← バージョンが11.xx であることを確認   【緊急時のバージョンの切り戻し手順】 <Linuxセキュリティコマンドラインエディションのみがインストールされている場合> ①.バージョン11.xxの完全アンインストール # /opt/f-secure/fsav/bin/uninstall-fsav ②.以下コマンドにて関連ディレクトリを削除 # rm -rf /opt/f-secure /etc/opt/f-secure /var/opt/f-secure ③.切り戻しバージョンの再インストール # ./f-secure-linux-security-<version>.<build> --command-line-only ④.旧バージョンでのバックアップより設定ファイルの上書きコピー # /etc/init.d/fsaua stop # /etc/init.d/fsupdate stop # cd / # rm -rf /var/opt/f-secure # tar xpsf <backup-filename>.tar # /etc/init.d/fsaua start # /etc/init.d/fsupdate start <Linuxセキュリティコマンドラインエディション及びポリシーマネージャver12.xxの共存環境の場合> ①.作業前にポリシーマネージャのバックアップ バックアップ方法: 詳細情報につきましては、ポリシーマネージャの管理者ガイド(「4.2 バックアップを作成する」の項目)を参照してください。 ②.ポリシーマネージャver12.xx及びLinux セキュリティコマンドラインエディションのアンインストール ポリシーマネージャver12.xxの場合: # rpm -e f-secure-policy-manager-server # rpm -e f-secure-policy-manager-console  Linuxセキュリティコマンドラインエディションの場合: # /opt/f-secure/fsav/bin/uninstall-fsav ③.以下コマンドにて関連ディレクトリを削除 # rm -rf /opt/f-secure /etc/opt/f-secure /var/opt/f-secure ④.Linuxセキュリティコマンドラインエディション(旧バージョン)及びポリシーマネージャver12.xxの再インストール ポリシーマネージャver12.xxの場合: # rpm -Uvh fspmaua-<バージョン>.<ビルド>.i386.rpm # rpm -Uvh fspms-<バージョン>.<ビルド>.i386.rpm # rpm -Uvh fspmc-<バージョン>.<ビルド>.i386.rpm ※ 64ビット環境であれば、64ビットのパッケージ(x86_64)のパッケージをご使用ください。 Linuxセキュリティコマンドラインエディション(旧バージョン)の場合: # ./f-secure-linux-security-<version>.<build> --command-line-only ⑤.旧バージョンでのバックアップより設定ファイルの上書きコピー # /etc/init.d/fsaua stop # /etc/init.d/fsupdate stop # /etc/init.d/fspms stop # cd / # rm -rf /var/opt/f-secure # tar xpsf <backup-filename>.tar # /etc/init.d/fsaua start # /etc/init.d/fsupdate start # /etc/init.d/fspms start ※ Linuxセキュリティフルエディション及びポリシーマネージャの自動更新エージェントのパッケージ(AUA)が共通のものとなります。 ※ 自動更新エージェントのパッケージ (AUA) をアンインストールするにはポリシ―マネージャサーバ(PMS)のパッケージを事前にアンインストールする必要がございます。
記事全体を表示
質問 Linux セキュリティの自動更新エージェント fsaua のパターンファイル取得失敗時の動作について教えて下さい。 回答 Linux セキュリティの自動更新エージェント fsaua によるパターンファイルダウンロード要求が完了しない場合の動作は、以下となります。 ※設定ファイル /etc/opt/f-secure/fsaua/fsaua_config がデフォルトの場合。   fsaua 起動時に、パターンファイルダウンロード要求発行します。   fsaua が何らかの理由でパターンファイルのダウンロードが開始出来なかった場合、 以下の間隔で fsbwserver への再接続を試行します。(1,2,4,8,16,32,60,60,...,60) ※単位は分 上記リトライ時間中にパターンファイルのダウンロードが開始できた場合、 その時点でパターンファイルダウンロード開始要求そのものは exit し、poll_interval で設定された秒経過した後、次回パターンファイル取得動作として、再度「1」の動作が開始します。   「2」で提示された間隔は、poll_interval がデフォルトの 3600 秒(1時間)に設定されて いる場合となります。 それ以上に設定されている場合(例えばpoll_interval=5400)、取得失敗時には以下の間隔で試行動作致します。   (1,2,4,8,16,32,64,90,90...以降全て90) ※単位は分   /etc/opt/f-secure/fsaua/fsaua_config の poll_interval を変更されました場合、それを有効にするためには、以下コマンドにて fsaua の再起動が必要です。 # service fsaua restart   この自動更新エージェントの動作は、Linux ゲートウェイ製品や Linux ポリシーマネージャ製品に含まれる fsaua でも同様です。ただし、Linux ゲートウェイ製品では fsaua の設定ファイルや起動・停止の方法が Linux セキュリティとは異なりますので、ご注意ください。  
記事全体を表示
質問 完全性検査機能を使用している環境で以下のようなメッセージが出力される場合があります。メッセージの意味 を教えて下さい。 Jun 16 04:03:04 TESTMACHINE fsma: F-Secure Linux Security: File /usr/bin/procmail failed integrity check due to  File content has been changed.   userinfo:uid 0/pid 15762 回答 上記メッセージは、Linux セキュリティ  フルエディションの完全性検査のセキュリティ警告のメッセージです。既知のファイルとして登録されているフ ァイルの内容が変更された場合にメッセージが送信されます。 (完全性検査に関しては、弊社管理者用ガイドの [5.4 完全性検査]のページをご参照ください) 既知のファイルのベースラインを作成すると、それ以降、それらのファイルに対するファイルアクセスの際に完 全性検査が実施され、下記の項目に変更があった場合には、それが検知され、警告メッセージが送信されます。     モード : 権限の変更     ユーザ : 所有者の変更     グループ : グループの変更     サイズ : ファイルサイズの変更     更新時間 : 更新日時の変更     ハッシュ : ファイル内容の変更 もし、管理画面 (WebUI) にも警告メッセージを出力するようにしている場合、何のプロセスがファイルの変更を行ったか表示されていま すので、ご確認ください。 完全性検査の機能をご利用したくない場合には、管理画面 (WebUI) のサマリのページで、完全性検査を無効にすることで監視しなくなります。
記事全体を表示
質問 PSB Linux を利用していますが、ライセンス認証が正常にされたかどうかを実機側で確認する方法を教えてください。 回答 ライセンス認証が正常にされたかどうかは実機側での以下のコマンド出力で確認できます。 # /opt/f-secure/fsav/libexec/license-check t   また、以下のログファイルの出力でもご確認できます。 /var/opt/f-secure/fsav/fslmalerter.log     以下出力例です。   認証済みの場合: # /opt/f-secure/fsav/libexec/license-check t FULLY LICENSED   /var/opt/f-secure/fsav/fslmalerter.log This is licensed version   ライセンス無効の場合: # /opt/f-secure/fsav/libexec/license-check t EVALUATION PERIOD EXPIRED   /var/opt/f-secure/fsav/fslmalerter.log This is eval version No days left, sending expired alert
記事全体を表示
質問 完全性検査で出力されるメッセージはどのようなものがありますか? 回答 以下のようなメッセージとなります。   ベースライン作成完了 Mar 19 18:15:57 localhost fsma: F-Secure Linux Security: Integrity checking baseline generated at host. Baseline HMAC is d09727915222b8f8b9ff0a84b729d6f67e005c0e046db6f28c0999479c42616a   userinfo:root ベースライン検査失敗 Mar 19 18:18:43 localhost fsma: F-Secure Linux Security: Integrity checking baseline verification failed. Baseline has been compromised or the passphrase used to verify the baseline is incorrect.    userinfo:root 監視対象ファイル内容変更の検出 Mar 19 15:33:59 localhost fsma: F-Secure Linux Security: File /test/test1.txt failed integrity check due to  File content has been changed.#012  userinfo:uid 0/pid 26109/dpy :0.0 監視対象ファイルのパーミッション、uid、gid、更新時間変更の検出 Mar 19 16:25:00 localhost fsma: F-Secure Linux Security: File /test/test1.txt failed integrity check due to  inode data has changed (one of permissions, uid, gid, modified time,...).#012  userinfo:uid 0/pid 5035/dpy :0.0
記事全体を表示
質問 Linuxセキュリティフルエディションの検出メッセージはどのようなものがありますか? 回答 以下のようなメッセージとなります。     ■リアルタイムスキャン マルウェア検出(駆除の失敗) Mar 19 13:20:23 localhost fsma: F-Secure Linux Security: Malicious code found in file /root/xxxxx.txt.#012Infection: EICAR_Test_File#012Action: failed.#012Both primary and secondary actions have failed#012  userinfo:uid 0/pid 26057/dpy :0.0 マルウェア検出(リネーム) Mar 19 13:18:17 localhost fsma: F-Secure Linux Security: Malicious code found in file /root/xxxxx.txt.#012Infection: EICAR_Test_File#012Action: The file was renamed.#012/root/xxxxx.txt.virus#012  userinfo:uid 0/pid 25519/dpy :0.0 マルウェア検出(駆除) Mar 19 13:26:48 localhost fsma: F-Secure Linux Security: Malicious code found in file /root/Disinfect/xxxxx.bin.#012Infection: Win32.Virtob.Gen.12#012Action: The file was disinfected.#012#012  userinfo:uid 0/pid 28224/dpy :0.0 マルウェア検出(削除) Mar 19 13:30:12 localhost fsma: F-Secure Linux Security: Malicious code found in file /root/xxxxx.txt.#012Infection: EICAR_Test_File#012Action: The file was deleted.#012#012  userinfo:uid 0/pid 29215/dpy :0.0 マルウェア検出(レポート/アクセスをブロック) Mar 19 13:34:56 localhost fsma: F-Secure Linux Security: Malicious code found in file /root/xxxxx.txt.#012Infection: EICAR_Test_File#012Action: none.#012#012  userinfo:uid 0/pid 30443/dpy :0.0 マルウェア検出(アクセスをブロック) ログの出力はなし リスクウェア検出(レポート/アクセスをブロック) Mar 19 13:40:33 localhost fsma: F-Secure Linux Security: Riskware found in file /root/xxxxx.bin: Riskware:W32/PWDump.F.#012Action: none.#012#012  userinfo:uid 0/pid 31886/dpy :0.0 リスクウェア検出(リネーム) Mar 19 13:43:08 localhost fsma: F-Secure Linux Security: Riskware found in file /root/xxxxx.bin.#012Infection: Riskware:W32/PWDump.F#012Action: The file was renamed.#012/root/d38c72914fa46d4b13b35b047bd13e248c41b09c.bin.riskware#012  userinfo:uid 0/pid 32459/dpy :0.0 リスクウェア検出(削除) Mar 19 13:45:25 localhost fsma: F-Secure Linux Security: Riskware found in file /root/xxxxx.bin.#012Infection: Riskware:W32/PWDump.F#012Action: The file was deleted.#012#012  userinfo:uid 0/pid 557/dpy :0.0 リスクウェア検出(アクセスをブロック) ログの出力はなし     ■マニュアルスキャン マルウェア検出(駆除の失敗) Mar 19 12:54:05 localhost fsma: F-Secure Security Platform: Malicious code found in file /root/xxxxx.txt.#012Infection: EICAR_Test_File#012Action: The scanner was unable to disinfect it.#012#012  userinfo:root マルウェア検出(リネーム) Mar 19 12:54:07 localhost fsma: F-Secure Security Platform: Malicious code found in file /root/xxxxx.txt.#012Infection: EICAR_Test_File#012Action: The file was renamed.#012#012  userinfo:root マルウェア検出(駆除) Mar 19 12:56:27 localhost fsma: F-Secure Security Platform: Malicious code found in file /root/xxxxx.bin.#012Infection: Win32.Virtob.Gen.12#012Action: The file was disinfected.#012#012  userinfo:root マルウェア検出(削除) Mar 19 13:07:04 localhost fsma: F-Secure Security Platform: Malicious code found in file /root/xxxxx.txt.#012Infection: EICAR_Test_File#012Action: The file was deleted.#012#012  userinfo:root マルウェア検出(スキャンを中止) Mar 19 13:10:56 localhost fsma: F-Secure Security Platform: Malicious code found in file /root/xxxxx.txt.#012Infection: EICAR_Test_File#012Action: The scan was aborted.#012#012  userinfo:root マルウェア検出(カスタム) Mar 19 13:54:51 localhost fsma: F-Secure Security Platform: Malicious code found in file /root/xxxxx.txt.#012Infection: EICAR_Test_File#012Action: Custom action was executed.#012#012  userinfo:root リスクウェア検出(レポートのみ) Mar 19 13:00:15 localhost fsma: F-Secure Security Platform: Riskware found in file /root/xxxxx.bin: Riskware:W32/PWDump.F.#012Action: none.#012#012  userinfo:root リスクウェア検出(リネーム) Mar 19 13:03:29 localhost fsma: F-Secure Security Platform: Riskware found in file /root/xxxxx.bin.#012Infection: Riskware:W32/PWDump.F#012Action: The file was renamed.#012#012  userinfo:root リスクウェア検出(削除) Mar 19 13:12:26 localhost fsma: F-Secure Security Platform: Riskware found in file /root/xxxxx.bin.riskware.#012Infection: Riskware:W32/PWDump.F#012Action: The file was deleted.#012#012  userinfo:root
記事全体を表示
質問 Linuxセキュリティコマンドラインエディションの検出メッセージはどのようなものがありますか? 回答 以下のようなメッセージとなります。   マルウェア検出(駆除失敗) Mar 19 16:47:57 localhost fsav: Malicious code found in file /root/sample/eicar.com.txt. Infection: EICAR_Test_File Action: The scanner was unable to disinfect it. マルウェア検出(リネーム) Mar 19 16:47:59 localhost fsav: Malicious code found in file /root/sample/eicar.com.txt. Infection: EICAR_Test_File Action: The file was renamed. マルウェア検出(駆除) Mar 19 16:49:58 localhost fsav: Malicious code found in file /root/sample/Disinfect/6510d627091873c2b57b597beff85ffe28381361.bin. Infection: Win32.Virtob.Gen.12 Action: The file was disinfected. マルウェア検出(削除) Mar 19 16:52:09 localhost fsav: Malicious code found in file /root/sample/eicar.com.txt.virus. Infection: EICAR_Test_File Action: The file was deleted. マルウェア検出(スキャン中止) Mar 19 16:53:58 localhost fsav: Malicious code found in file /root/sample/eicar.com.txt. Infection: EICAR_Test_File Action: The scan was aborted. マルウェア検出(カスタム) Mar 19 16:57:17 localhost fsav: Malicious code found in file /root/sample/eicar.com.txt. Infection: EICAR_Test_File Action: Custom action was executed. マルウェア検出(レポートのみ) Mar 19 16:59:16 localhost fsav: Malicious code found in file /root/sample/eicar.com.txt. Infection: EICAR_Test_File Action: none.
記事全体を表示
質問 Linux セキュリティ (フルエディション) のファイアウォールに向けて、TYPE=4 CODE=0 の ICMP パケットをパケット生成テストツールで作成して送信すると、ICMP のルールを webUI からどのように追加しても、iptables で捕捉されません。 回答 パケット生成テストツールで作成されたパケットが、弊社製品の FW ルールでは iptables のルールに捕捉されずに`Not handled by any rule 'としてログされますことは、正常動作となります。   弊社製品のファイアウォールからの iptables ルールに捕捉されずに `Not handled by any rule' としてログされます場合、弊社製品でのファイアウォール設定には INVALID パケットを捕捉するオプションが付与されておりませんため、該当パケットは整合性の取れない --state INVALID パケットと判断されます。   WebUI での --state オプションあるいは --icmp-type オプション設定機能を許可する予定は残念ながら御座いませんで、結果としてこちらは製品ご利用上の制限事項となります。  
記事全体を表示
質問 Linux セキュリティの最大検査時間の変更方法を教えて下さい。 回答 ●スタンドアロン環境では、以下のように chtest コマンドにより設定を行います。 【現在の設定値の確認】 リアルタイム検査の最大検査時間: # /opt/f-secure/fsma/bin/chtest g 45.1.40.50.100 現在の値 (1/100 秒単位, デフォルト: 2500 (25秒)) を取得します。 マニュアル検査の最大検査時間: # /opt/f-secure/fsma/bin/chtest g 48.1.50.110.60 現在の値 (1/100 秒単位,デフォルト: 6000 (60秒)) を取得します。 リアルタイム検査のタイムアウト時の当該ファイルへのアクセス可否: # /opt/f-secure/fsma/bin/chtest g 45.1.40.50.110 現在の値 (1:許可, 0:拒否,デフォルト:1 (許可)) を取得します。 【設定】 リアルタイム検査の最大検査時間 (1/100秒単位): # /opt/f-secure/fsma/bin/chtest s 45.1.40.50.100 [設定値] マニュアル検査の最大検査時間 (1/100秒単位): # /opt/f-secure/fsma/bin/chtest s 48.1.50.110.60 [設定値] リアルタイム検査のタイムアウト時の当該ファイルへのアクセス可否: 拒否: # /opt/f-secure/fsma/bin/chtest s 45.1.40.50.110 0 許可: # /opt/f-secure/fsma/bin/chtest s 45.1.40.50.110 1 ●集中管理モードでは、ポリシマネージャの以下のメニューから設定頂けます。 [設定]=[リアルタイム検査]=[エラー処理]=[スキャン時間を制限] [設定]=[マニュアルスキャン]=[エラー処理]=[スキャン時間を制限] [設定]=[リアルタイム検査]=[エラー処理]=[スキャン後のアクション]
記事全体を表示
質問 Linux セキュリティ  フルエディションにおけるスキャン実施時の下記エラーについて教えて下さい。   エラー内容: fsma: F-Secure Linux Security: An error occurred while scanning [FileName] 回答 本メッセージ内容ですが、対象ファイルのスキャンの際、当該ファイルが使用中か、あるいは既に削除済みの状態であるために本事象が発生する可能性がございます。 こちらのメッセージを無視して頂いても問題ございませんが、頻繁に出力されている状況であれば、該当ファイルが含まれるディレクトリの除外設定をご検討ください。 【リアルタイムスキャンのスキャン対象外の設定方法】 WEBUI上で「詳細設定モード」を選択し、 「ウィルス保護」→「リアルタイムスキャン」→「スキャン対象のファイルとディレクトリ」 の項目にて除外したいディレクトリを設定し、画面右下にある「保存」のボタンをクリックししますと設定が反映されます。   【マニュアルスキャンのスキャン対象外の設定方法】 同様に、 「マニュアルスキャン」→「スキャン対象のファイルとディレクトリ」 の項目にて除外したいディレクトリを設定して頂けます。
記事全体を表示
質問 Linux セキュリティ  フルエディションにおけるスキャン実施時の下記エラーについて教えて下さい。   エラー内容: fsma: F-Secure Linux Security: Time limit exceeded while scanning [FileName] 回答 本エラーは、リアルタイムスキャンの実施中にファイルアクセスの負荷が多い場合や、ウイルス検査に十分な CPU リソースを確保できない場合、スキャンタイムアウト時間に達し、本メッセージが出力される可能性がございます。   以下の弊社 FAQ に記載されている方法でスキャンタイムアウト時間の設定変更を行って頂きますと事象の発生を回避出来る可能性がございますので、こちらの対応をご検討ください。   【Linux セキュリティのスキャンタイムアウト時間の変更方法】
記事全体を表示
質問 Linux セキュリティで 「File is too large」 のエラーが出力されます。 回答 従来より、Linux セキュリティでは 2GB 以上のサイズのファイルのスキャンは設計上出来ません。 2GB 以上のサイズをスキャンする場合、以前のバージョンではスキャナによるエラー出力はありませんでしたが、バージョン 10.20 以降にて本エラーが出力されるようになりました。
記事全体を表示
質問 Linux セキュリティ フルエディションのスタンドアロン環境でも policy.bpf ファイルを用いて設定項目の強制をする事が出来ますか? 回答 通常、設定情報(ポリシー)の強制(確定)は、ポリシマネージャからポリシーを配布することで行います。 しかしながら、特にウェブ管理画面での設定項目の変更を制限する必要がある場合、スタンドアロン環境でも policy.bpf ファイルを用いて設定いただけます。   設定項目の強制は、policy.bpf ファイルにより、各設定項目に対して「確定」と指定することで行います。 「確定」と指定した項目については、ウェブ管理画面上で変更することができなくなります。 この場合の手順は以下の通りとなります。この手順は Windows ポリシーマネージャを使う場合の例となります。   1. ポリシマネージャ (PM) のインストール 以下の場所から Windows ポリシーマネージャ製品を選択してダウンロードし、ポリシマネージャサーバ (PMS) とポリシマネージャコンソール (PMC) をインストールします。   https://www.f-secure.com/ja_JP/web/business_jp/downloads   2. ポリシマネージャコンソール (PMC) を起動します。 接続先ホストは http://localhost に設定します。 また、鍵 (admin.pub, admin.prv) を生成します。 (鍵はデフォルトで C:\Program Files\F-Secure\Administrator\ に保存されます。 admin.pub/admin.prv がないとポリシーを更新できませんので、バックアップを取ってください。)   メニューから[表示]=[詳細モード]を選択し、詳細モードにします。 メニューから[表示]=[組み込み制約エディタ]を選択し、「確定」などの"アクセス制限"を表示します。   3. MIB ファイルのインポート PMC でメニューから[ツール]=>[インストールパッケージ]を選択します。 Linux サーバセキュリティのパッケージに含まれる "fsav_linux_xxx_mib-signed.jar" を指定してインポートします。   4. PMC 上でホストの作成 PMC のポリシードメイン上でルートを選択し、右クリックメニューで[新規ホスト]を選択します。ホスト名は適当に "testhost" などを指定します。   5. ポリシー設定 "testhost" を選択し、真ん中のウィンドウでポリシーを設定します。 関係する製品名は以下の通りです。 「エフセキュア Linux セキュリティ フル エディション」(全般) 「F-Secure セキュリティ プラットフォーム」 (マニュアル検査関連の設定) 「F-Secure 自動更新エージェント」(自動更新関連の設定) 単に設定した場合、クライアント側の設定 (policy.ipf) で上書きされてしまう可能性があります。 設定値を強制するため、PMC の右ウィンドウで、設定した項目の[アクセス制御]の[確定]をチェックします。   6. ポリシーのエクスポート ポリシードメインで設定ホスト ("testhost") を選択し、メニューの[ファイル]=[ホストのポリシーファイルのエクスポート]を選択し、ポリシーをエクスポートします。ファイル名は "policy.bpf" とします。   7. Linux セキュリティ フルエディションをインストール スタンドアロンモードでインストールします。   8. 鍵とポリシーを Linux サーバにインストール 2 で作成した "admin.pub", "admin.prv" 及び、6 で作成した "policy.bpf" を Linux サーバの "/etc/opt/f-secure/fsma/policy/" ディレクトリにコピーします。 (admin.pub は既存の空ファイルに上書きします) なお、admin.prv は設定を行うための鍵になりますので実際には不要です。 policy.bpf の書き換えできないようにする場合、こちらのファイルはコピーしません。逆に、メンテナンスなどで設定変更の可能性が考えられる場合は、念のためコピーやバックアップを作成してください。 コピー後は "/etc/init.d/fsma restart" でサービスを再起動します。 上記手順で設定を制御いただけます。   また、定義ファイルについては、弊社定義ファイルサーバからダウンロードします。
記事全体を表示
いくつかの原因の可能性があります。 以下の事象とそれぞれの事象の対処方法がありますので、お試しください。これらに該当しない場合には、診断情報 fsdiag の出力を添えて、サポートセンターまでお問合せください。   【事象①】 Linux セキュリティ フルエディションを 64bit の CentOS および RHEL にインストール後、WebUI のステータスに「警告データベースに接続できません。」と表示される。 正常に使用できていて、突然表示されるようになった場合はこれには該当しません。   【原因①】 zlib.i686 のパッケージがインストールされていない場合に、本現象が発生する可能性があります。   【対処方法①】 zlib.i686 をインストール後、再度お試し下さい。    ------------------------------------------------------------------------------------------------   【事象②】 Linux セキュリティ フルエディションの WebUI で「警告データベースに接続できません」とメッセージが表示される。 関連のログファイル(postgresql.log)には以下のメッセージが記録されている。 FATAL: password authentication failed for user "fsalerts" 【原因②】 fsav-config 実行において、ユーザが fsav-config の実行を途中で中断した場合に、タイミングによってこのメッセージが出力されることがあります。これは製品の障害ではありません。 警告データベースは、fsav-config の実行で作成され、このタイミングで fsalerts というユーザとパスワードが設定されます。そのパスワードは乱数から生成され、この値は PostgreSQL データベースに設定されるとともに、このデータベースに接続する WebUI の設定ファイルに格納されます。この二つの設定の間に fsav-config が中断された場合、設定情報が一致しなくなります。 WebUI はこの設定ファイル内のパスワードを使用し、警告データベースに fsalerts ユーザ権限でアクセスしますので、パスワードが一致しない場合に今回の現象が発生します。 fsav-config においてデータベースを作成後、リモートアクセス設定の質問が行われ、この処理の最後で WebUI の設定ファイルにパスワードを設定しますので、fsav-config の途中で中断された場合、中断のタイミングによっては作成済データベースのパスワードと WebUI 設定ファイル内のパスワードが一致しなくなり、結果的にパスワード認証エラーとなります。 【対処方法②】 改めて fsav-config コマンドを実行し、最後まで完了させることで解決します。 # /opt/f-secure/fsav/fsav-config   ------------------------------------------------------------------------------------------------   【事象③】 Linux セキュリティ フルエディションの WebUI で「警告データベースに接続できません」とメッセージが表示される。 関連のログファイル(postgresql.log)には以下のメッセージが記録されている。   LOG:  could not translate host name "localhost", service "28078" to address: Name or service not known WARNING:  could not create listen socket for "localhost" FATAL:  could not create any TCP/IP sockets   【原因③】 PostgreSQL は localhost という名前を使用して通信しようとしますので、localhost の名前解決ができない場合、ログに表示されるメッセージの原因となります。   【対処方法③】 /etc/hosts において localhost エントリが設定されているかをご確認ください。 設定されていない場合、/etc/hosts ファイルに localhost エントリを追加し、fsma サービスを再起動することで解決します。   例 127.0.0.1             localhost   ------------------------------------------------------------------------------------------------   【事象④】 Linux セキュリティ フルエディションの WebUI で「警告データベースに接続できません」とメッセージが表示される。 関連のログファイル(postgresql.log)に何も記録されない。正常時に記録される以下の PostgreSQL の起動時(サービス fsma の起動時)のメッセージが記録されていない。   LOG:  autovacuum launcher started LOG:  database system is ready to accept connections 【原因④】 postgresql.log ファイルの Owner は fsma, Group は fsc である必要があります。このファイルの Owner, Group がこれ以外に設定されている場合、PostgreSQL 起動スクリプトが正常に出力を行えなくなるため、PostgreSQL が起動できなくなります。結果的に「警告データベースに接続できません」のメッセージが発生します。   【対処方法④】 postgresqlo.log ファイルの Owner, Group をご確認ください。このファイルの Owner/Group が fsma/fsc でない場合、postgresql.log ファイルのパーミッションを fsma/fsc に正しく設定し、fsma サービスを再起動することで復旧します。   また、ファイルの Owner/Group が変更された原因の可能性として、ログローテーションが考えられます。 postgresql.log ファイルは、Linux セキュリティ  フルエディションで提供しているログローテーション設定を使い、ログがローテートされます。 ここで、お客様がログローテートの際に作成されるファイルの Owner/Group のデフォルト値 の設定を行うと、その設定が postgresql.log ファイルのログローテート時にも適用され、弊社で期待している fsma/fsc 以外の設定になります。 この結果、fsma ユーザで動作する PostgreSQL 起動スクリプトが書込を行えなくなります。   この場合の対応としては、/etc/logrotate.d/fs-linux-security ファイルの postgresql.log セクションに以下のように "create 0644 fsma fsc" 文を追加することで、予期しないファイルの Owner/Group が設定されることを防ぐことができます。   /var/opt/f-secure/common/postgresql/postgresql.log {         create 0644 fsma fsc         postrotate                 if [ -f /var/opt/f-secure/common/postgresql/data/postmaster.pid ]; then                         kill -HUP `head -n 1 /var/opt/f-secure/common/postgresql/data/postmaster.pid`;                 fi         endscript }   ------------------------------------------------------------------------------------------------   【事象⑤】 LinuxセキュリティフルエディションのWebUI で、「警告データベースに接続できません」とメッセージが表示される。 製品のインストールログ(fsav_install.log)には以下のメッセージが記録されている。 creating template1 database in /var/opt/f-secure/common/postgresql/data/base/1 ... FATAL:  could not create semaphores: No space left on device      【原因⑤】 弊社製品のインストール時に、セマフォ数の最大値に達した原因でPostgreSQLのデータベースが正常に作成できず、 PostgreSQLのデーモンが起動できない場合、「警告データベースに接続できません」のメッセージが出力されます。 【対処方法⑤】 セマフォ数の最大値を増やして頂き、製品の再インストールを実施して下さい。 ご参考まで、通常下記コマンドで現在のセマフォ数の最大値をご確認頂けます。 # cat /proc/sys/kernel/sem 出力例: 250 32000 32 128 (セマフォ数の最大値が「128」の場合) また、下記のコマンドで「/etc/sysctl.conf」の設定ファイルを編集することで、 セマフォ数の最大値を変更することが出来ます。 # echo "kernel.sem = 250 32000 32 200" >> /etc/sysctl.conf ※セマフォ数の最大値を「200」に変更した場合の例となります。
記事全体を表示
質問 Linuxセキュリティフルエディションにおける警告転送でのsyslogのfacility/priorityはどのようになりますか? 回答 Linuxセキュリティフルエディションにおける警告転送でsyslogを利用した場合のfacility/priorityは、それぞれ以下のようになります。 [facility]   facilityはデフォルトでは、"daemon"になっております。   集中管理環境の場合、ポリシーマネージャの以下の項目にて設定を変更頂けます。   F-Secure 管理エージェント(F-Secure Management Agent)     +設定(Settings)        +警告の送信(Alerting)           +警告エージェント(Alert Agents)              +システムロガー, syslog(System logger, syslog)                 +機能(Facility)   スタンドアロン環境の場合、以下のコマンドで設定を変更・取得いただけます。    設定取得:        /opt/f-secure/fsma/bin/chtest g 11.1.18.2.11.20    設定変更:        /opt/f-secure/fsma/bin/chtest ss 11.1.18.2.11.20 [facility(例:LOG_LOCAL0)]   設定可能なfacility文字列は以下の通りです。     LOG_AUTH/LOG_AUTHPRIV/LOG_CRON/LOG_DAEMON/LOG_FTP/LOG_KERN        /LOG_LOCAL0/LOG_LOCAL1/LOG_LOCAL2/LOG_LOCAL3/LOG_LOCAL4/LOG_LOCAL5/LOG_LOCAL6/LOG_LOCAL7        /LOG_LPR/LOG_MAIL/LOG_NEWS/LOG_SYSLOG/LOG_USER/LOG_UUCP [priority]   priorityとLinuxセキュリティフルエディションの警告レベルの関係は以下の通りです。   警告レベル                     syslogのpriority   -----------------------------------------------------------   情報(Informational,1)                                         => info   警告(Warning,2)                                                  => warning   エラー(Error,3)                                                      => err   重大なエラー(Fatal error,4)                            => emerg   セキュリティ警告(Security 5)                         => alert
記事全体を表示
現象 ローテーションの実施時、「/var/log/messages」に下記のエラーメッセージが出力され、ローテーション処理が失敗してしまいます。 logrotate: ALERT exited abnormally with [1]" 上記以外に、下記のようなエラーメッセージも多数出力されます。 error: stat of /var/opt/f-secure/fssp/dbupdate.log failed: Permission denied 診断 RedHat をご利用のお客様より本お問い合わせが御座いました。   SELinux の「Enforcing」モードが設定されている場合、SELinux のセキュリティコンテキストによる影響で「/var/log」以外のディレクトリ配下にあるログファイルが正常にローテートできない可能性がございます。 解決策 下記の Redhat サイトに記載のある解決策を行う必要がございます。 関連の Redhat ページ: https://access.redhat.com/solutions/39006
記事全体を表示
質問 Linux セキュリティの各ログの出力先と概要について教えて下さい。 回答 ●以下LinuxセキュリティフルエディションVer11.10の出力です   /var/opt/f-secure/fsaua/fsaua.log   自動更新エージェントのログ   /var/opt/f-secure/fsaua/fsauadbg.log   自動更新エージェントのデバックログ(デバックログの設定した場合のみ)   /var/opt/f-secure/fssp/aua_api.log   fsaua と fsupdated 間の動作に関するログ   /var/opt/f-secure/fssp/dbupdate.log   パターンファイル更新動作全体に関するログ   /var/opt/f-secure/fssp/log/fsupdated.log   パターンファイル更新に関するログ(fsupdate デーモンに関するログ)   /var/opt/f-secure/fsav/tomcat/catalina.out   Web管理画面の動作ログ   /var/opt/f-secure/common/postgresql/postgresql.log   PostgreSQL データベースのログ   /var/opt/f-secure/fsav/fsadhd.log   以下の警告データベース管理プロセスのログ   F-Secure Alert Database Handler Daemon (/opt/f-secure/fsav/bin/fsadhd.run)   /var/opt/f-secure/fsav/fsavpmd.log   fsavpmd (集中管理インターフェース) のログ   /var/opt/f-secure/fsav/fsfwd.log   ファイアウォールサービス (fsfwd) のログ   /var/opt/f-secure/fsav/fslmalerter.log   ライセンス管理サービス (fslmalerter) のログ   /var/opt/f-secure/fsav/fsoasd.log   リアルタイム検査サービス (fsoasd) のログ   /var/opt/f-secure/fsav/fsoasd-fsavd.log   リアルタイムスキャンで利用されるスキャンエンジン(fsavd)のログ   ※Ver11.10で追加(Ver11.00では本ログファイルは存在しません。)   /var/opt/f-secure/fsma/log/fsma.log   集中管理エージェント (fvch) に関するログ   /var/opt/f-secure/fssp/log/clstate_update.log   製品ステータス上位通知に関するログ   ※PSBモードで利用の場合のみ存在します。   /opt/f-secure/fsav/tomcat/logs/catalina.YYYY-MM-DD.log   /opt/f-secure/fsav/tomcat/logs/host-manager.YYYY-MM-DD.log   /opt/f-secure/fsav/tomcat/logs/localhost.YYYY-MM-DD.log   /opt/f-secure/fsav/tomcat/logs/manager.YYYY-MM-DD.log   管理画面 (WebUI) が使用している tomcat に関するログ   /opt/f-secure/fsav/install.log   Linuxセキュリティインストール時のログ ●以下LinuxセキュリティコマンドラインエディションVer11.10の出力です   /var/opt/f-secure/fsaua/fsaua.log   自動更新エージェントのログ   /var/opt/f-secure/fsaua/fsauadbg.log   自動更新エージェントのデバックログ(デバックログの設定した場合のみ)   /var/opt/f-secure/fssp/aua_api.log   fsaua と fsupdated 間の動作に関するログ   /var/opt/f-secure/fssp/dbupdate.log   パターンファイル更新動作全体に関するログ   /var/opt/f-secure/fssp/log/fsupdated.log   パターンファイル更新に関するログ(fsupdate デーモンに関するログ)   /opt/f-secure/fsav/install.log   Linuxセキュリティインストール時のログ
記事全体を表示
質問 アンチウィルス Linux ゲートウェイ Ver 5.xx へのバージョンアップ後に、WEB 管理画面上で SMTP プロキシの受信先ドメイン制限の設定項目が表示されなくなりました。 Ver5.xx での設定方法及び確認方法についてご教示ください。 回答 アンチウィルス Linux ゲートウェイ Ver 5.xx  の場合は、WEB 管理画面上で SMTP プロキシの受信先ドメイン制限の設定変更、及び、内容確認が出来ない仕様となっています。 このため、以下の手順にて設定ファイルを直接確認や編集していただく必要がございます。 【手順】 1.設定ファイルを開きます。   /opt/f-secure/fsigk/conf/fsigk.ini 2.下記パラメータにて設定内容を確認・変更します。  acl_rcpt=      (有効・無効の設定)  smtp_rcpt=     (各ドメインの指定箇所)  例:  acl_rcpt=yes  smtp_rcpt=aaa.com bbb.com 3.下記スクリプトを実行することで変更した設定が反映されます。  # /opt/f-secure/fsigk/libexec/fsigk-reload.sh 【補足】 記述方法の詳細については、以下の管理者ガイド(P56、「5.3 アクセス制御」の項目)をご参照下さい。https://download.f-secure.com/corpro/igk/current/fsigk-5.22-adminguide-jpn.pdf
記事全体を表示
[現象] 暗号化圧縮ファイルが添付されたメールを受信した場合、クライアントセキュリティ Ver 11 シリーズまではその添付された暗号化圧縮ファイルを受信できていたのに、Ver12.00 では同じ暗号化圧縮ファイルが削除され、受信できません。   [説明] ファイルが添付されたメールを受信すると、メールとその添付ファイルに対しスキャンが行われます。 ここで、添付されたファイルのスキャンに失敗した場合の動作のデフォルト設定が、Ver 11 シリーズまでと、Ver 12.00 では以下の様に異なります。   Ver スキャン失敗時の動作 11 シリーズ レポートのみ 12.00 添付ファイルを削除   圧縮ファイルのスキャンには、それを解凍する必要があります。ここで、暗号化圧縮ファイルを解凍するためには暗号化パスワードが必要ですが、弊社製品ではこのパスワードを知ることができませんので、弊社製品では暗号化圧縮ファイルを解凍できないため 、暗号化圧縮ファイルのスキャンは常に失敗することになります(Ver 11 シリーズでも、暗号化圧縮ファイルのスキャンは失敗します)。 暗号化圧縮ファイルが添付されたメールを受信すると、添付された暗号化圧縮ファイルのスキャンは失敗することになり、クライアントセキュリティ Ver 12.00 でのスキャン失敗時の動作のデフォルト設定の変更の結果、自動的にその添付されている暗号化圧縮ファイルが削除されます。 [対象製品] クライアント セキュリティ Ver 12.00 クライアント セキュリティ プレミアム Ver 12.00 [対処方法] Ver 12.00 のデフォルト動作を Ver 11 シリーズと同じ設定にしたい場合には、ポリシーマネージャによる集中管理において、以下のスクリーンショットを参照頂き、[スキャン失敗時の処理]を "レポートのみ" へ変更し、右側の鍵マークをクリックしてロック状態としてからポリシー配布を行ってください。    
記事全体を表示
以下の手順で、Linux セキュリティ 11.00 にホットフィックス 1 の適用が可能です。 本ホットフィックス 1 は Java の脆弱性に対するものであり、Java を version 8 update 74 にアップデートします。その他に、セキュリティの改善及び修正も含まれております。 作業の実施前には必ずホットフィクスのリリースノート (英語) もご確認下さい。 ※以下、ホットフィックスのダウンロード URL 及びリリースノートとなります。   ホットフィックスのダウンロード URL:   https://download.f-secure.com/corpro/ls/current/fsls-11-hf1.tar.gz   リリースノート (英文) の URL:   http://download.f-secure.com/corpro/ls/current/fsls-11-hf1-readme.txt ● Linux セキュリティ 11.00(コマンドラインエディション/フルエディション/PSB 版)    1. パッチをダウンロードし、解凍して下さい。    2.解凍ディレクトリに移動し、以下のコマンドを実行します。   # ./fsls-11-hf1.sh    3.以下の方法でホットフィックスの適用状況を確認可能です。   <Linuxセキュリティフルエディション/PSB版の場合>      適用前:   ● Javaのバージョン情報     [root@localhost ~]# /opt/f-secure/fsav/java/bin/java -version     java version "1.8.0_66"     Java(TM) SE Runtime Environment (build 1.8.0_66-b17)     Java HotSpot(TM) Client VM (build 25.66-b17, mixed mode)   ● 「Anti-Virus CLI Command line client」のバージョン情報               [root@localhost ~]# fsav --version               F-Secure Linux Security version 11.00 build 79              F-Secure Anti-Virus CLI Command line client version:              F-Secure Anti-Virus CLI version 1.0  build 0060     適用後:   ● Javaのバージョン情報      [root@localhost ~]# /opt/f-secure/fsav/java/bin/java -version     java version "1.8.0_74"     Java(TM) SE Runtime Environment (build 1.8.0_74-b02)     Java HotSpot(TM) Client VM (build 25.74-b02, mixed mode)       ※Java のバージョンが 「1.8.0_74」 と表示されていれば、              ホットフィックスは正常に適用されています。   ● 「Anti-Virus CLI Command line client」のバージョン情報                [root@localhost ~]# fsav --version              F-Secure Linux Security version 11.00 build 79              F-Secure Anti-Virus CLI Command line client version:              F-Secure Anti-Virus CLI version 1.0  build 0064           ※バージョン情報が「version 1.0 build 0064」と表示されていれば、               ホットフィックスは正常に適用されます。         <Linuxセキュリティコマンドラインエディションの場合>         適用前:   ● 「Anti-Virus CLI Command line client」のバージョン情報         [root@localhost ~]# fsav --version              F-Secure Linux Security version 11.00 build 79              F-Secure Anti-Virus CLI Command line client version:              F-Secure Anti-Virus CLI version 1.0  build 0060   適用後:   ● 「Anti-Virus CLI Command line client」のバージョン情報               [root@localhost ~]# fsav --version               F-Secure Linux Security version 11.00 build 79               F-Secure Anti-Virus CLI Command line client version:               F-Secure Anti-Virus CLI version 1.0  build 0064       ※バージョン情報が「version 1.0 build 0064」と表示されていれば、           ホットフィックスは正常に適用されます。 ※注意事項     1. 本ホットフィックスの内容は、標準の Oracle 社の提供物と同等です。本ホットフィックスはエフセキュア製品で提供し、エフセキュア製品でのみ使用されているプライベートな Java  のみをアップデートします。システム上の他の Java 環境には影響はありません。     2. 本ホットフィクス適用に伴い WebUI サービスの再起動が行われますが、システム再起動の追加作業は不要です。普段WebUIを無効にして運用しており本ホットフィックスを適用する場合は、WebUIを一時的に有効にしたうえで本ホットフィックスを適用して下さい。     3. 本ホットフィックスのJava 8 を利用するためには GNU C ライブラリ (glibc) バージョン 2.4 以降が必要となります。     4. 本ホットフィックスの適用が失敗しました場合には、変更されたファイルをバックアップからリストアされますので、手動による切り戻し作業を実施する必要はございません。     5. 本ホットフィックスを適用しますと、新しいコンポーネントを製品内で再構築させるために「/opt/f-secure/fsav/fsav-config」を実行します。これにより、Web ブラウザで受理されるべきリモートWebアクセス用の新しい証明書が作成されます。以前の設定は全て引き継がれます。
記事全体を表示
質問 v4.x では、webui から設定を変更すると対象のプロキシのみ再起動されていましたが、v5.10 では、webui から設定を変更すると fsavd, fsaua, fsupdated など他のプロセスも再起動される場合があります。   v4.x  と同様にプロキシの再起動だけを行いたいです。 回答 /opt/f-secure/fsigk/conf/fsigk.ini の設定をエディタで直接編集変更した場合、各プロキシの再起動のみで正常に動作致します。   詳しくは以下アドミンガイドの P25 [7.1 Configuration file settings] をご参照下さい。 【fsigk v5.10 アドミンガイド】 http://download.f-secure.com/corpro/igk/current/fsigk-5.10.12-rtm-adminguide-eng.pdf   webUI にて設定変更されます際には fsigk.ini 以外の設定も変更が可能となりますため、webUI からの変更では他プロセスの再起動も伴いますよう設計変更されております。   大変申し訳御座いませんが、fsigk.ini 以外の設定項目と他プロセスとの紐付けは公開されておりません。
記事全体を表示
質問 hosts.allow 内設定の、複数設定の方法を教えて下さい。 回答 hosts.allow 内の以下オプションが  v5.10 より fsigk.ini に追加されました。マニュアルには記述が御座いませんが、以下の設定は fsigk-generate-configuration.sh ではなく、fsigk-reload.sh にて読み込みがされます。   http_from= http_to= http_pass_to=   複数設定時の書式につきましては以下アドミンガイドの P27 及び 7.3 Access Control をご参照下さい。 また、man page hosts_access(5) もご確認下さい。   【fsigk v5.10 アドミンガイド】 http://download.f-secure.com/corpro/igk/current/fsigk-5.10.12-rtm-adminguide-eng.pdf
記事全体を表示
質問 Linux ゲートウェイ v5.10 では複数インストール(suffix=)の利用が出来ないのでしょうか? 回答 Linux ゲートウェイ v5.10 では複数インストールはご利用できません。 マニュアルに記述が御座いますものの、リリースノート上で v5.10 より複数インストールの機能の削除をご案内させて頂いております。   複数サーバ+ロードバランサー等にて運用頂くことが可能です。
記事全体を表示
質問 Linux ゲートウェイ v5.10 の webUI にはウィルス検出時の動作の設定項目がありません。設定を変更したい場合はどうすればいいですか? 回答 本機能はデフォルトで削除の動作となります。設定の変更は、以下設定ファイルにて可能となります。 /opt/f-secure/fsigk/conf/fsigk.ini   [http] action={pass,delete} [smtp] action={pass,deny,blackhole,delete,sendback} [pop] action={pass,delete} [ftp] action={pass,delete}
記事全体を表示
質問 Linux ゲートウェイ v5.10 の webUI には、SPAM 検知の CUSTOM 設定がありません。 CUSTOME 設定の SPAM 検知を行いたい場合、どのように設定すれば良いでしょうか? 回答 【回答】 v4.x からのアップグレードの場合、v4.12 でご利用の設定ファイル      /インストールパス/conf/spam/custom.txt を、v5.10 の以下のディレクトリに     /opt/f-secure/fsigk/conf/spam/  上書きして下さい。   v5.10 新規インストールの場合、上記ディレクトリに custom.txt という名前のファイルを作成し、内容をエディタで編集してください。   最後に webUI 上で SPAM 検知を有効にして頂きますと、CUSTOM 設定での SPAM 検知が稼動致します。   将来のバージョンにて webUI からの個別設定機能搭載予定です。
記事全体を表示
質問 Linux ゲートウェイ v5.10 において、 dbupdate のプロキシ設定では、ホスト名、ポート番号、auth に使用するユーザ名、パスワードがそれぞれの設定項目として fsigk.ini に存在しますが、orsp では orspservice_http_proxy の一つだけになっています。 dbupdate と同様に認証設定を行いたい場合、どのように記述すればよいのでしょうか? 回答 → fsaua の http_proxies 設定と同じ記述になります。 以下書式を参考に設定頂けます。   # http_proxies=[http://][user[:passwd]@]<address>[:port][,[http://][user[:passwd]@]<address>[:port]] # # Examples: # http_proxies=http://proxy1:8080/,http://backup_proxy:8880/
記事全体を表示
質問 Linux ゲートウェイ V5.xx の WebUI に検知メールの本文編集画面がありません。 回答 Ver5.xx から WebUI から編集することができなくなりました。このため、直接 /opt/f-secure/fsigk/conf/template_admin.txt を編集していただく必要がございます。   その際、ファイルに直接日本語を記述する場合には、「iso-2022-jp」に変換して記述する必要がございます。変換していない場合、文字化けが発生します。
記事全体を表示
質問 Linux ゲートウェイバージョン 4 シリーズから 5.20 へのバージョンアップ時に、設定が引き継がれない項目について教えて下さい。 回答 回答 以下設定につきましては、バージョンアップ後にデフォルトの状態に戻ります。   ■アップデートサーバの設定を変更されている場合 バックアップを取得したfsaua_config-templateファイルより必要な設定を/opt/f-secure/fsigk/fsaua/etc/fsaua_config-template に貼り付けて下さい。   ■スキャン動作の設定 上記設定に関しては直接編集を推奨しておりません。ご利用の環境の特性で特別な設定がされているような場合、旧設定ファイル    /install_path/fssp/etc/fssp-template.conf の該当箇所を、    /opt/f-secure/fsigk/fssp/etc/fssp-template.conf に貼り付けて下さい。   ■カスタム SPAM 設定 アップグレード時にリネームされる以下ファイルが既存のお客様設定となります。   /opt/f-secure/fsigk/conf/spam/custom.txt.rpmorig   /opt/f-secure/fsigk/conf/spam/files.txt.rpmorig 上記ファイルの内容をそれぞれ custom.txt と files.txt に貼り付けて下さい。 5.20 のデフォルト設定が必要ない場合は、リネームにて上書き対応して頂けます。   ■WEBUIへのログインパスワード アップグレード時に既存のログインパスワードが引き継がれませんので、 デフォルトパスワード(admin)以外の場合には手動によるパスワードの 再設定を実施して頂く必要があります。   再設定の方法: デフォルトのパスワード(admin)でWEBUIへのログイン後に左側にある 「管理パスワード」の項目を選択し、パスワード変更を行って下さい。   ■ログローテートの設定 既存の設定ファイル   /etc/logrotate.d/logrotate.virusgw のローテート設定内容を、新しいテンプレート   /opt/f-secure/fsigk /misc/logrotate.fsigk と比較・編集後、新しいテンプレートより /etc/logrotate.d/ に設置して下さい。 ログファイルの上位パスは既存の install_path (デフォルト: /home/virusgw/) から /opt/f-secure/fsigk/ へ変更となります。   以下の KB もご参照下さい。   【Linux ゲートウェイのログのローテーションの注意】   ★変更した設定の反映にはサービスの再起動が必要です。   # cd /opt/f-secure/fsigk   # make restart
記事全体を表示
質問 アンチウィルス Linux ゲートウェイ Ver 4.xx では、WEB 管理画面上で接続元及び接続先によるアクセス制御の設定変更及び内容変更が可能ですが、アンチウィルス Linux ゲートウェイ Ver 5.xx へのアップグレード後に同様の設定項目が表示されなくなりました。 Ver 5.xx でのアクセス制御の設定変更及び確認方法についてご教示ください。 バージョン4.xx での設定箇所: プロキシ設定(HTTP/SMTP/POP/FTP)   >アクセス制御    >接続元/接続先 回答 アンチウィルス Linux ゲートウェイ Ver 5.xx の場合は、WEB 管理画面上で接続元及び接続先によるアクセス制御の設定変更、及び、内容確認が出来ない仕様となっています。 このため、以下の手順にて設定ファイルを直接確認や編集していただく必要がございます。 【手順】 1. 設定ファイルを開きます。  /opt/f-secure/fsigk/conf/fsigk.ini 2. 下記パラメータにて設定内容を確認・変更します。  [http]  <接続元によるアクセス制御の場合>  acl_from= yes/no    (有効・無効の設定)       http_from=           (ホストの指定)  <接続先によるアクセス制御の場合>  acl_to= yes/no        (有効・無効の設定)         http_to=             (ホストの指定) 3. 下記スクリプトを実行することで変更した設定が反映されます。  # /opt/f-secure/fsigk/libexec/fsigk-reload.sh   【補足】 1. アクセス制御の記述方法については、以下の管理者ガイド(P56、「5.3 アクセス制御」の項目)をご参照下さい。    https://download.f-secure.com/corpro/igk/current/fsigk-5.22-adminguide-jpn.pdf 2. 他のプロキシ(SMTP/POP/FTP)を設定する場合には、「http_xx」の部分を「smtp_xx/pop_xx/ftp_xx」にご変更ください。
記事全体を表示
Linuxゲートウエイのバージョン5.22のマニュアルに誤記が確認されています。 現在、修正したLinuxゲートウエイ ver5.22のマニュアルをリリーズ済みです。 ●P42、「アクセス制御」の「To these hosts(acl_to)」項目に関する注意事項 誤①: 注:設定ファイルでこの設定を有効にする場合、 /opt/f-secure/fsigk/conf/fsigk.iniファイルにある <protocol>_fromフィールドで対象のホストを指定してください。 /opt/f-secure/fsigk/libexec/fsigk-reload.shコマンドを 実行して設定を更新します。構文については、hosts_access(5)の manページを参照してください。 正①: 注:設定ファイルでこの設定を有効にする場合、 /opt/f-secure/fsigk/conf/fsigk.iniファイルにある <protocol>_toフィールドで対象のホストを指定してください。 /opt/f-secure/fsigk/libexec/fsigk-reload.shコマンドを 実行して設定を更新します。構文については、hosts_access(5)の manページを参照してください。 --------------------------------------------------------------------------------------- ●P61、「動作概要」の「コマンド名」配下にある 「ウェブ管理画面 自動起動コマンド」の項目 誤②: /opt/f-secure/fsigk/rc.fsigk_admin ウェブ管理画面 自動起動コマンド 正②: /opt/f-secure/fsigk/rc.fsigk_fsigkwebui ウェブ管理画面 自動起動コマンド
記事全体を表示
注意: この記事は、エフセキュア アンチウィルス Linuxゲートウェイ バージョン 4.xx またはバージョン 5.xx を使用しているお客様が対象となります。 スパムフィルタリング機能を使用しており、リアルタイム ブラックリスト (RBL) を有効にしている場合には、この記事を必ずお読みください。 リアルタイム ブラックリスト(RBL:Real time black list)は、スパムに関連するコンピュータまたはネットワークのアドレスを公開するために使用されています。RBLを有効にしますと、スパムフィルタリング機能はRBLを使用してスパムメッセージを検出するようになります。ソースIPアドレス(SMTPを使用した場合)と受信したヘッダフィールドのIPアドレスがRBLサーバに登録されているメールはスパムとして検出されます。 現在、新規インストールされたアンチウィルスLinuxゲートウェイでは、RBLによるスパム検査オプションはデフォルトでオフになっています。また、RBLのサービスは、デフォルトで「Spamhaus」及び「SpamCop」というサードパーティベンダーを参照するように設定されています。ここで、必要に応じて、ユーザーがこれらのサービスを追加または削除することができます。しかしながら、RBLサーバの使用前に、それぞれの使用条件をお読み頂き、予め同意していただく必要がございます。これは、アンチウィルスLinuxゲートウェイ バージョン5.22 まで使用されている以下のデフォルト・サーバーに対しても同様です。       sbl-xbl.spamhaus.org:http://www.spamhaus.org/organization/dnsblusage/       bl.spamcop.net:https://www.spamcop.net/ 現在、「Spamhaus」については、無料サービスと商用サービスの2種類を提供しております。お客様は慎重に使用条件を評価し、無料でご利用の対象となるか否かを判断する必要がございます。 「SpamCop」については、基本的に無料で使用できます。 アンチウィルスLinuxゲートウェイの将来のリリースでは、これらのデフォルト・サーバーの情報を製品の設定から削除し、代わりに管理者ガイドに推奨として記載するように変更する予定です。 参考 Using Real-time Blackhole Lists for spam filtering in F-Secure Internet Gatekeeper https://community.f-secure.com/t5/Business/Using-Real-time-Blackhole-Lists/ta-p/73422
記事全体を表示
質問 Linux ゲートウェイの FTP プロキシで、パッシブモード (PASV) で利用しようとすると、ログインはできるが、その後のコマンドが動作しない。 回答 一般的に、FTP は 21 番ポートを制御ポートとして利用、20 番ポートをデータ転送ポートとします。 パッシブモードの場合、クライアントからの PASV 要求を受け、FTP サーバとクライアントが 20 番のデータ転送ポートに換わるデータ転送ポートを定めます。 Linux ゲートウェイはポート番号決定をモニタし、該当ポートの転送データをスキャン致しまして、両者間で定めたポート番号の制御等を行う機能は御座いません。   パッシブモードで FTP 接続は可能だが、その後の ls コマンド等がタイムアウトするような場合、該当マシン、または経路上の FW の設定により該当ポートが塞がれている可能性が高いです。
記事全体を表示
質問 Linux ゲートウェイでのメールチェック時に、ウイルスと SPAM のチェックはどちらが先にされますか? 回答 Linux ゲートウェイのメールのスキャンは、 以下順序でチェックがされます。 1 ウイルス検査 2 SPAM 検査
記事全体を表示
現象 Linux ゲートウェイ経由で動画が再生出来ない場合がある 診断 Linux ゲートウェイは、稼動しているサーバ上に一旦コンテンツを保存することでスキャンが可能となる仕組みで動作しています。 このため、動画再生のプラグインの仕様により、動画が再生出来ない事象が発生するケースがあります。 解決策 動画配信サイトのホスト名をスキャン対象から除外する事で再生が可能です。   また、flash のコンテンツでは、ローカルのプレーヤーのプラグインバージョンがコンテンツ側よりも古い場合、上位互換機能が働くため、配信サイト側で更新された新しいコンテンツのみが再生出来ないといった事例があります。 弊社ではこの上位互換の機能の詳細は不明ですが、プレーヤーのバージョンを最新にする事で再生が可能になるケースが報告されております。  
記事全体を表示
質問 Linux ゲートウエイを使用している状態で「Too long header lines」のエラーが出力される場合があります。エラー内容について教えて下さい。 error.log 内のエラーメッセージ: "WARNING [parse_header:proxy_common.c:1735] [172.**.***.***/50014/4] [127.0.0.1/10025/11] parse_header: Too long header lines …省略 len=5551,limit=5500). ignored" 回答 5500 行以上のメールヘッダがあった場合、5500 行目以降のヘッダーが処理できなかったために今回のメッセージが出力されます。 こちらは現在の制限事項となりますので、このメッセージを無視して頂いても問題はございません。
記事全体を表示
現象 Linux ゲートウエイを経由している状態で一部のサイトが表示されず、クライアント側、及び、Linux ゲートウイサーバ側で下記のようなエラーメッセージが出力される場合があります。 ※経由しない場合、問題無く表示できます。 クライアント側でのエラー: -------------------------------------------------------------------- 指定したウェブページを表示することができません。 入力した URL 等が正しくない可能性がございますのでご確認ください。 The server refuse to browse the page. The URL or other input may not be correct. Please confirm the value. URL: http://www.TARGET-HOST.com/japanese/index.html ERROR: CONNECT(www.TARGET-HOST.com:80)/connect: No route to host -------------------------------------------------------------------- Linux ゲートウエイサーバ側でのエラー: -------------------------------------------------------------------- 2014-12-26 09:02:08 : 1419552128.199     27 192.168.1.204 TCP_MISS/503 0 GET http://www.TARGET-HOST.com/japanese/index.html - DIRECT/2xx.2xx.1xx.5x - DETECT-STAT:CLEAN::::: ACTION:NONE: PROXY-STAT:http:60:4044:192.168.1.204:1:0:0:: PROTOCOL-STAT::: PROXY-ERROR:CONNECT(www.TARGET-HOST.com%3a80)/connect%3a+No+route+to+host: -------------------------------------------------------------------- 診断 「use_http11=yes」の設定や、ホスト名による検査対象外設定等を実施しても同様の事象が発生する場合、接続先サーバ側で特定の IP アドレスによるアクセス制御が行われている可能性がございます。 ※特定のホスト(Linux ゲートウエイを経由せず、許可されている IP アドレスを持つホスト)からのアクセスのみが可能な状態です。   「use_http11=yes」の設定につきましては以下 KB もご参照下さい。 【特定のサイトに接続できなかったり、応答が遅くなることがあります】 解決策 ブラウザ側 (IE 等) でプロキシ除外設定の対応を行う必要がございます。 www.TARGET-HOST.com/japanese/index.html - DIRECT/210.2
記事全体を表示
質問 Linux ゲートウェイを通過するパケットをキャプチャする方法を教えてください。 回答 以下手順は参考情報となります。 ※将来のサードパーティコマンドの実装の変更、サードパーティソフトウェアの変更により実際に即した手順にて実施下さい。 ※サードパーティコマンド、サードパーティソフトウェア利用方法の詳細は、それぞれのベンダー様にお問い合わせ下さい。   Linux ゲートウェイで障害が発生した場合、Linux ゲートウェイのパケットキャプチャが障害の原因判明の手がかりになる場合があります。 パケットキャプチャは tcpdump コマンドで作成できます。 【tcpdump 作成方法】   Linux ゲートウェイが導入された PC 上で、root 権限で以下のコマンドを実行し、パケットキャプチャを開始します。 # tcpdump -i any -p -s 0 -l -w <file_name.cap> (<file_name.cap>には任意のファイル名(例:linuxgw-20060505.cap)を指定してください) 障害となっている事象を再現させます。 Ctrl-C を押してキャプチャを終了します。 キャプチャした結果が<file_name.cap>として保存されます。 キャプチャ後は"# tcpdump -n -r <file_name.cap>"を実行して、キャプチャした結果を参照できることをご確認ください。 コマンド実行例:     # tcpdump -i any -p -s 0 -l -w linuxgw-20070101.cap     tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes     ●●●ここで問題を再現●●●     ●●●問題再現後、Ctrl-C コマンドで終了●●●     80 packets captured     80 packets received by filter     0 packets dropped by kernel     # tcpdump -n -r linuxgw-20070101.cap     reading from file linuxgw-20070101.cap, link-type LINUX_SLL (Linux cooked)     14:46:02.087325 IP 192.168.3.110.ssh > 192.168.3.100.38877: P 3536306927:3536307055(128) ack 3370430943 win 2728     14:46:02.087331 IP 192.168.3.110.ssh > 192.168.3.100.38877: P 0:128(128) ack 1 win 2728     14:46:02.087430 IP 192.168.3.100.38877 > 192.168.3.110.ssh: . ack 128 win 19292     14:46:02.087430 IP 192.168.3.100.38877 > 192.168.3.110.ssh: . ack 128 win 19292     ... 取得したキャプチャ結果(xxx.cap)は、Windows 上の Wireshark(旧Ethereal )等でも確認・解析いただけます。 Wireshark URL:http://www.wireshark.org/   ファイルの読み込み: xxx.cap をダブルクリック。又はメニューから「File」=「Open..」で開きます。 ストリーミングの確認: パケットを選択し、右クリックから「Followin TCP Stream」を選択します
記事全体を表示
質問 「telnet」のコマンドでアンチウイルス Linux ゲートウェイに接続すると、Linux ゲートウェイの製品情報が表示されますが、製品バージョンなどの情報を公開しないように設定することは可能でしょうか。 telnetでの出力例: > telnet ***** 25 220 localhost.localdomain F-Secure/fsigk_smtp/522/localhost.localdomain quit 221 2.0.0 Bye 回答 以下の手順にてアンチウイルス Linux ゲートウェイの上級者向けオプションの「表示製品名変更機能(product_name)」を使用することによって対応可能です。 バージョン5.xx の場合: 1.以下の設定ファイルを開きます。   /opt/f-secure/fsigk/conf/fsigk.ini 2.「fsigk.ini」に下記パラメータを追加します。   product_name=<表示の文字列> 3.弊社サービスを再起動し、設定が反映されます。  # cd /opt/f-secure/fsigk; make restart ※上級者向けオプションに関する詳細情報は、以下のファイルをご参照下さい。 バージョン5.xx の場合: /opt/f-secure/fsigk/doc/expert-options-fsigk_JP.txt 上記ファイルから抜粋: ---------------------------------------------- ●表示製品名変更機能 項目名: product_name=sss (sss: 文字列(0〜100文字)) デフォルト値: product_name=F-Secure/virusgw_サービス名/バージョン番号/ホスト名 説明:   本製品での表示製品名を設定します。製品名は以下の表示で用います。    - FTP over HTTPでの応答ヘッダの"Server:"フィールド    - HTTPのViaヘッダフィールド    - SMTP/POPのX-Virus-Status, X-Spam-Statusヘッダフィールド    - SMTPのグリーティングメッセージ、中継拒否メッセージ、Receivedヘッダ、その他       本製品が生成する応答メッセージ   空白文字、空の文字列は避けることをおすすめいたします。 ---------------------------------------------- 注意: 本設定を変更すると、上記「説明」にもありますように、各応答ヘッダの情報が変更されますので、ご注意ください。
記事全体を表示
質問 Linuxセキュリティ フルエディション ver11.00 へのバージョンアップ後、下記画面の通り「HTTP ステータス404」 でWEBUIへの接続ができない状態となり、「The requested resource is not available」のメッセージが表示されていますが、原因及び対処方法についてご教示下さい。   回答 Linuxセキュリティ  ver11.00 へのバージョンアップ時に、完全性検査機能関連のファイル(fsicout.txt)が存在している場合には、該当ファイルが含まれるディレクトリ(/opt/f-secure/fsav/tomcat/webapps/fsecure)が正常に削除できなくなる為、今回の事象が発生してしまいます。以下の手順にて「fsicout.txt」のファイルの一時退避及び手動によるディレクトリ削除を実施することで、本事象を解消することが出来ます。     [手順] ①.「fsicout.txt」のファイルを一時的に別のディレクトリ(例:/tmp)にコピーします。          # cp  /opt/f-secure/fsav/tomcat/webapps/fsecure/fsicout.txt /tmp   ②.以下のコマンドで手動によるディレクトリ削除を実施します。           # rm -rf /opt/f-secure/fsav/tomcat/webapps/fsecure   ③.サービスの再起動を実施します。           # /etc/init.d/fsma restart   ④.①にてコピーされた「fsicout.txt」のファイルを元のディレクトリにコピーします。           # cp /tmp/fsicout.txt /opt/f-secure/fsav/tomcat/webapps/fsecure/     ※「fsicout.txt」のファイルについては、WEBUI 画面上で完全性検査のベースラインの作成時に、作成されるものとなります。 ※Linuxセキュリティフルエディションの次期バージョン以降にて修正する予定です。
記事全体を表示
質問 利用している製品のサポート期限 (EOL) が過ぎた後の製品の動作について教えて下さい。 回答 サポート期限 (EOL) を過ぎても、製品の動作そのものには影響はなく、直ちに製品が動作しなくなることはありません。   ただし、サポート期限 (EOL) 終了後は、ご利用の製品におけるパターンファイルに対する動作の保障をさせて頂きます事が出来なくなってしまいます。 これは、弊社配信サーバ内でのパターンファイル整合性検査から、サポート期限を迎えたバージョンが除外されるためとなります。 また、サポート期限終了後、いつパターンファイルが更新されなくなるかの事前のご案内をさせて頂きます事が難しくなっております。   従いまして、製品のサポート期限を迎えます前に、サポート対象のバージョンへのバージョンアップを実施して頂きますよう、御願い致します。
記事全体を表示