ビジネスセキュリティ

ソート順:
更新サーバのデフォルト アドレス記述によるF-Secure更新サーバへのアクセスは、グローバルで動的なコンテンツ配信ネットワークを使用するため、IP アドレスに基づいたアクセス制御ポリシーの設定には不向きです。そのため、IP アドレスでインターネットのアクセスを制限する環境では更新サーバのデフォルト アドレスを変更する必要があります。   ここで提供される代替アドレスは F-Secure プロテクション サービスの IP アドレスに関する記事で掲載されている F-Secure のネットワーク範囲に接続できるため、ネットワークに適したアクセス制御ポリシーを導入できます。   この直接アクセス設定の変更は、セキュリティ ポリシーやシステム環境上必要となる場合に限り行なってください。可能であれば、Web プロキシを使用したデフォルトの Web サーバ (fsbwserver.f-secure.com) に接続することを推奨します。    アンチウイルス Linux ゲートウェイを設定する   アンチウイルス Linux ゲートウェイを設定するには(Ver5.10以降)   テキストエディタで/opt/f-secure/fsigk/conf/fsigk.iniを開きます。 次の行に移動します: UPDATEURL= 行を次のように変更します: UPDATEURL=http://fsbwserver-direct.f-secure.com ファイルを保存します。 コマンド プロンプトで次のコマンドを実行して サービスを再起動します: /opt/f-secure/fsigk/libexec/fsigk-reload.sh ※Ver5.00をご利用のお客様は/opt/f-secure/fsigk/conf/dbupdate.confを上記のように編集し、下記コマンドを実行して反映させて下さい。  cd /opt/f-secure/fsigk; ./rc.fsigk_fsaua restart
記事全体を表示
  この記事の情報は、F-Secure インターネットゲートキーパーバージョン 4.10以降を対象としています。   山括弧 <> はメッセージによって内容が異なるフィールドを示しています。山括弧は参考用でメッセージに表示されません。     エラーメッセージの内容   メッセージ   CRITICAL [<場所>] bind=Address already in use(98) (addr=<アドレス>, port=<ポート>). # Please check whether other service(mail/web server,etc...) is already running on port <ポート>.   説明   設定したポートとアドレスに接続できないため、サービスを開始できません。bind() の Linux システム コールで指定したポートが利用されます。このエラーは指定したポートが使用中で、bind() が失敗するときに表示されます。   解決策   ポートを使用している他のサービスを確認して、サービスを必要に応じて停止してください。サービスが必要な場合、本製品が使用しているポートを別のものに設定してください。“netstat –anp” (診断情報は "system/netstat_anp.txt") を実行すると各ポートが使用しているプロセスを確認できます。   メッセージ   WARNING [<場所>] Maximum connections: warning: Client connections reached maximum connections(<最大値>). More request will be blocked/rejected. If there is many warnings, please increase 'Maximum Connections' settings(pre_spawn value of virusgw.ini) of this service. (<暫定値> will be good value as start line).    説明   接続できるクライアントの上限に達したときにログされます。上限に達した場合、処理を続けるためにクライアントの接続数を下げる必要があります。   接続数の上限に達した場合、バックログ (Linux listen() システム コールのバックログ) は5に設定され、最大6つの TCP 接続を “ESTABLISHED” (確立) の状態に設定することが可能です。上限に達したときの接続要求に対しては “SYN_RECV” の接続状態が指定されます。また、Linux による TCP 接続は処理されません。   接続数の上限はアクセス ログにある内部プロセス ID (“PROXY-STAT:[サービス タイプ]:[内部プロセス ID]:..") から確認できます。内部プロセス ID (識別子は 0 で始まる) は番号が低いほど優先度が高くなります。そのため、[内部プロセス ID]+1) は対象となるプロセスの開始時の同時接続数に適用されます。 ポート番号の ESTABLISH ステータスは netstat コマンドで確認できます: # netstat -anp | grep :9080 | grep ESTABLISHED | wc -l    (ポート9080は例です)     解決策   状況: 表示されるメッセージの数が少なく (たとえば、1時間ごとに)、製品が正常に動作し、増加している接続数は一時的なことと思われます。解決策: 設定を変更する必要はありません。 状況: デフォルトではスキャンのタイムアウト値は90秒に設定されています。これを無効 (0に設定)、またはより大きい値に設定すると、特定のファイルに対するスキャンの時間が長くなり、接続数の上限に達する原因にもなります。 解決策: タイムアウト値をデフォルトの90秒に戻してください。 状況: 製品とサーバまたはクライアントの間にネットワークの問題がある場合、接続数の上限に達する可能性があります。 解決策: ネットワークの問題を解消してください。 状況: 上記以外の場合 (複数のエラーがログされる、スキャンのタイムアウト値が変更されていない、ネットワークの問題はない) でサーバにアクセスできない場合、接続数が上限を超えている可能性があります。 解決策: 接続数の上限を必要に応じて上げてください。クライアントの接続数が判断できない場合、次の暫定値でシステムを検証してください: HTTP 200、SMTP 50、POP 50、FTP 10。システムの検証後、設定を必要に応じて変更してください。通常の環境では接続数の上限を2000より下に設定することが適切です。   接続数の上限を上げた場合、接続数をより多く許可できる代わりに追加のメモリが必要となります。1つの接続に500 KB ほど使用されます。   メッセージ   WARNING [<場所>] getaddrinfo failed. admin_mx_host=[<ホスト名>] admin_mx_port=[<ホストのポート>] gai_strerror=[<エラー内容>]    説明   ウイルスまたはスパム検出時に管理者へ通知する設定の SMTP サーバ (/opt/f-secure/fsigk/conf/fsigk.ini の “admin_mx_host”) に接続できません。   解決策   SMTP サーバのホスト名を確認してください。   メッセージ   WARNING [<場所>] connect=<エラー メッセージ>(<エラー コード>) cannot connect to admin mail server[<ホスト名>:<ホストのポート>]    説明   ウイルスまたはスパム検出時に管理者へ通知する設定の SMTP サーバ (/opt/f-secure/fsigk/conf/fsigk.ini の “admin_mx_host” と “admin_mx_port”) に接続できましたが、エラーが発生しました。   解決策   SMTP サーバのホスト名とポート番号を確認してください。   メッセージ   WARNING [<場所>] smtp error: Send command line: buf=[<応答行>] (expected <応答行>)    説明   ウイルスまたはスパム検出時に管理者への通知に使用される SMTP の応答メッセージがエラーを返しました。 送信コマンドが SMTP の接続ステータスを示します。"HELO/MAIL FROM/RCPT TO/DATA/QUIT" (各コマンドが送信された場合)、"GREETING" (接続が開始された場合) または "DATA END" (データが送信された場合) のいずれかを選択できます。   解決策   設定した SMTP サーバにメールを送信できるか [応答行] を確認してください。   メッセージ   CRITICAL [<場所>] semget=<エラー メッセージ>(<エラー コード>) semget failure. Childnum(pre_spawn=<Maximum value>) may be large. If needed, maximum semaphore number(SEMMNI) can be increased by adding a line like 'kernel.sem=250 128000 32 512' in '/etc/sysctl.conf' and running 'sysctl -p'.    説明   セマフォが確保できないため、サービスを開始できません。   解決策   サービス プロセス (fsigk_xxx) を中断した場合 (“kill -KILL” コマンドを使用してなど)、セマフォが解放されていなく、システム プロセスに残っているときにエラーが発生する可能性があります。その場合、サーバ (オペレーティング システム) を再起動してください。使用中のセマフォは “/proc/sysvipc/sem” から確認できます。   接続数の上限が高く設定されている場合、セマフォがより多く必要となるため、エラーが発生する可能性が高くなります。接続数の上限は2000より下に設定し、絶対に必要な場合を除いて2000以上に設定しないでください。通常の環境では接続数の上限を2000より下に設定することが適切です。   本製品はプロセスの数に応じてセマフォを必要とします。接続数の上限を上げたり、他のプロセスが多くのセマフォを使用とする場合、オペレーティング システムが使用できるセマフォの数を上げる必要があります。次の方法でセマフォの数を上げることができます。   次の行を /etc/sysctl.conf に追加します: kernel.sem=250 128000 32 512 次のコマンドを実行します: # sysctl -p 次のコマンドでセマフォの数が設定されたことを確認します: # cat /proc/sys/kernel/sem 250 128000 32 512 メッセージ   WARNING [<場所>] sendfile timeout: No data can be sent for 120 seconds. There may be a temporary network problem between receiver. / URL=[<URL>], n=<カウント>, written=<カウント>, filelen=<カウント>, writesize=<カウント>    説明   120秒以内にデータが送信されていないことでセッションが切断されたときにログされます。   解決策   ネットワークに問題があるか確認してください。   メッセージ   WARNING [<場所>] Too large header (><バイト制限>) ignored. URL=[<URL>]    説明   HTTP レスポンス ヘッダが大きい (17 KB 以上) 場合に表示されます。サービスは正常に動作しています。   解決策   特定のURL またはブラウザで問題が発生するか確認してください。   メッセージ   CRITICAL [<場所>] not enough diskspace in temporary directory [<ディレクトリ名>]. (<カウント> kB free?)(ret=<リターン コード>)    説明   一時ディレクトリの空き容量が5 MB未満の場合に表示されます。サービスは開始されません。   解決策   一時ディレクトリの空き容量を増やしてください。   メッセージ   CRITICAL [<場所>] Realtime virus scan seems to be enabled. Please stop realtime virus scan, or exclude scanning for temporary directory(<ディレクトリ名>)    説明   アンチウイルス ソフトウェアの検出時および一時ディレクトリにリアルタイム ウイルス保護が有効の場合に表示されます。サービスは開始されません。   解決策   リアルタイム ウイルス保護を完全に無効にしてください。または一時ディレクトリを対して無効にしてください。   メッセージ   WARNING [<場所>] [<検出時のアクション>]:smtp error:[<送信コマンド名>]: buf=[<応答行>]    説明   ウイルスまたはスパム検出時に送信者/受信者への通知に使用される SMTP の応答メッセージがエラーを返しました。   [ウィルス検出時の動作] のオプションが「ブロック」、「削除後、受信者へ通知」、「削除」に設定されています。   送信コマンドが SMTP の接続ステータスを示します。"RSET/MAIL FROM/RCPT TO/DATA/QUIT" (各コマンドが送信された場合)、または "DATA END" (データが送信された場合) のいずれかを選択できます。   解決策   設定した SMTP サーバにメールを送信できるか [応答行] を確認してください。   メッセージ   WARNING [<場所>] NOOP command reply error [<応答行>]    説明   NOOP コマンドが FTP サーバに送信され、200以外が返された場合に表示されます。   解決策   FTP サーバが接続されていない、または NOOP コマンドに応答していないか確認してください。   メッセージ   CRITICAL/WARNING [<場所>] System call=Too many open files in system(23) <エラー メッセージ>    説明   開いているファイルが多すぎることを示します。システムで開けるファイルの上限に達したときにメッセージが表示されます。   次の方法で /proc/sys/fs/file-nr が処理したファイルの数を確認できます。 # cat /proc/sys/fs/file-nr [ファイル ハンドラ数] [使用中のファイル ハンドラ] [ファイル ハンドラの上限] (例: # cat /proc/sys/fs/file-nr 1864 504 52403)    解決策   “lsof” コマンドなどを使用して、ファイル ハンドラを多く使用しているプロセスがあるか確認してください。 システムに問題がなく、ファイル ハンドラの数が上限に近づいている場合、“/proc/sys/fs/file-max” を次のように変更することでファイル ハンドラの数を上げられます。   sysctl.conf (ファイル ハンドラ数の上限が65535に変更されます) に次の行を追加します: fs.file-max = 65535 変更を適用するために次のコマンドを実行してください: sysctl -p メッセージ   CRITICAL/WARNING [<場所>] open=No such file or directory(2) <エラー メッセージ>    説明   本製品で使用される一時ファイルが開けない場合に表示されます。   解決策   一時ファイルがコマンドまたは別のプログラムによって削除されたか確認してください。   メッセージ   CRITICAL [<場所>] Cannot find tproxy(version2) interface. Tproxy kernel patch is required. Please apply the tproxy patch and check that "/proc/net/tproxy" exists. Please see document for "transparent_tproxy" settings for details.    説明   TPROXY の使用設定 (ソース IP が使用され、transparent_tproxy=yes") が行われ、tproxy パッチが動作していないときに表示されます。   解決策   tproxy パッチがカーネルに適用されていない可能性があります。/proc/net/tproxy が存在するか確認してください。 Turbolinux 10 Server を使用している場合、次のことに注意してください: - kernel-2.6.8-5 以降を使用する必要があります。“uname -a” コマンドを使用して、カーネルのバージョンが 2.6.8-5 以降であることを確認してください。カーネルが古い場合、Turbolinux10 のカーネルをアップデートしてください。    iptable_tproxy モジュールを実装する必要があります。“iptable_tproxy” モジュールが “lsmod” コマンドの結果に含まれているか確認してください。含まれていない場合、次の方法でモジュールを含めてください: /etc/sysconfig/iptables-config で、iptables が iptable_tproxy を読み込むように IPTABLES_MODULES の行を次のように変更します: IPTABLES_MODULES="iptable_tproxy" iptables を再起動します: # /etc/rc.d/init.d/iptables restart /proc/net/tproxy が存在するか確認します。 インターネット ゲートウェイを再起動します。 tproxy(version1) を使用している場合、"transparent_tproxy_version=1" を設定ファイルに追加し、サービスを再起動してください。tproxy version1 は今後未対応になる可能性がありますので version2 の使用を推奨します。   メッセージ   WARNING [<場所>] vsc_start() error    説明   ウイルス定義ファイルまたはスキャン エンジンのライブラリを読み込みできません。   解決策   ウイルス定義ファイルまたはスキャン エンジンのファイルが削除された場合、次のコマンドでインストールを上書きしてください:    rpm パッケージ: # rpm -Uvh --force fsigk-xxx-0.i386.rpm  deb パッケージ: # dpkg –r fsigk # dpkg –i fsigk-xxx_all.deb    SELinux を使用している場合、/var/log/messages にエラーがあってポリシーがプロセスの読み込みを拒否しているか確認してください。また、SELinux を無効にしてエラーが発生するか確認してください。/etc/sysconfig/selinux で "SELINUX=disabled" を変更することで SELinux を無効にできます。無効にした後、サーバを再起動してください。   メッセージ   WARNING [<場所>] child(<インデックス>) stopped.(sig=17[SIGCHLD], si_code=3[CLD_DUMPED],status=<チャイルドのステータス>, childid=<ID>, cur_pid=<処理 ID>,pid=<チャイルド プロセス ID>    WARNING [<場所>] core dumped(child proxy process). Please send core file(core or core.xxx) on the installation directory and diag.tar.gz to support center. (child=<インデックス>,sig=17[SIGCHLD], si_code=3[CLD_DUMPED],status=<チャイルドのステータス>(<ステータス文字列>),childid=<ID>,cur_pid=<処理 ID>,pid=<チャイルド プロセス ID>)    WARNING [<場所>] Error recovery: restarting service...    説明   プロキシ プロセスが異常終了 (core dump) したことを示します。また、サービスが再起動しました。エラー メッセージは3つ続けて表示されます。   解決策   サービスの再起動と復元が自動的に行われます。再起動中はサービスが停止されます (約10秒)。   メッセージが表示される場合、製品に問題がある可能性が高いです。F-Secure にサポートを依頼する場合、インストール ディレクトリ (/opt/f-secure/fsigk/) にある “core” で始まるファイルをすべて F-Secure に送ってください。 製品の最新版を使用していない場合、最新版にアップデートしてください。   メッセージ   WARNING [<場所>] accept=Connection reset by peer(104) main/accept_loop/accept(s=<Id>)    説明   このメッセージはカーネル2.2を使用している環境で接続後にすぐに切断した場合に表示される可能性があります。メッセージが表示されても本製品は正常に動作します。   解決策   カーネル2.2は未対応になりました。可能な場合、ディストリビューションをアップデートしてください。   メッセージ   CRITICAL [<場所>] LICENSE_ERROR#ret=-1#msg=License Expired    説明   体験版のライセンスが切れたことを示します。   解決策   ライセンスを購入し、製品のアクティベーションを行うためにライセンス キーコードを入力してください。   メッセージ   WARNING [<場所>] Commtouch database error: Initial database update may be on going. Wait a moment. (dlopen(./databases/commtouchunix.0/libfsasd-lnx32.so) failed. dlerror(): ./databases/commtouchunix.0/libfsasd-lnx32.so: cannot open shared object file: No such file or directory)  WARNING [<場所>] Commtouch database error: Initial database update may be on going. Wait a moment. (FsasFunctionsInitialize failed.)    説明   commtouch のスパム スキャン エンジンにデータベースが存在しないことを示します   解決策   データベースのダウンロードが完了するまで待ちます。   メッセージ   WARNING [<場所>] fsas_open_session(./fsasd-socket) failed.    説明   'fsasd' プロセスが実行していないことを示します。   解決策   fsasd サービスを開始するために "/etc/init.d/rc.fsigk_fsasd start" または "/etc/init.d/rc.virusgw_fsasd start" を実行してください。   メッセージ   WARNING [<場所>] fsav_open_session: Cannot connect to fsavd's socket(./fsavd-socket-0). fsavd may be not running. Please run 'rc.fsigk_fsavd restart' to restart fsavd.    説明   スキャン エンジン (fsavd) のソケット (./fsavd-socket-0) に接続できません。スキャン エンジン (fsavd) が実行されていない可能性があります。   解決策   スキャン エンジン (fsavd) は Web コンソールから実行された場合、自動的に開始されます。プロキシ サービスをコマンドラインから実行した場合、スキャン エンジン (fsavd) を事前に開始する必要があります。“/opt/f-secure/fsigk/rc.fsigk_fsavd restart” コマンドでスキャン エンジンを再起動できます。
記事全体を表示
質問 Linux 製品のパターンファイルファイルのリセット方法について教えてください 回答 各Linux 製品によってパターンファイルのリセット方法が異なります。 詳細手順は以下の通りです。 <アンチウイルス Linux ゲートウエイ v5.x の場合> # cd /opt/f-secure/fsigk; make stop # ps -efl | grep fsupdated (更新関連のプロセス(fsupdated)の起動状態を確認します) # kill <残っているfsupdatedプロセスのPID> (残っているものがある場合、強制終了を行います) # rm -rf /opt/f-secure/fsigk/fsaua/data/content/* # cd /opt/f-secure/fsigk; make start # /opt/f-secure/fsigk/dbupdate (外部接続可能な環境) または # /opt/f-secure/fsigk/dbupdate fsdbupdate9.run (非インターネット環境) *: fsdbupdate9.run は最新版を別途入手しておく。 <ポリシーマネージャサーバ(Ver12.40以前)の場合> # /etc/init.d/fsaua stop # /etc/init.d/fspms stop (プロセスの完全停止を確認すること) # rm -rf /var/opt/f-secure/fsaua/data/content/* # rm -rf /var/opt/f-secure/fsaus/data/db # rm -rf /var/opt/f-secure/fsaus/data/misc # rm -f /var/opt/f-secure/fspms/logs/fspms-fsauasc.state # rm -f /var/opt/f-secure/fsaua/data/subscriptions/* # /etc/init.d/fsaua start # /etc/init.d/fspms start # sudo -u fspms /opt/f-secure/fspms/bin/fsavupd --debug (外部接続可能な環境) または # ./fsdbupdate9.run (非インターネット環境) *:fsdbupdate9.run は最新版を別途入手しておく。 *:fspmsサービスを停止させても、現在処理中の場合にはstopコマンド終了後もサービスが停止していない場合    があります。このため、stopコマンド完了後、プロセスの停止をpsコマンドで確認してください。 *:外部接続可能な環境において最後に実行する fsavupdコマンドは、cronで定期的に実行されるジョブとして   登録されています。このため、そのジョブの実行を待てば手動で実行する必要はありません。今直ぐ更新したい   場合に実行してください。   多重実行による不要な負荷の発生を防ぐため、ジョブの実行時刻を確認することをお勧めします。 <ポリシーマネージャサーバ(Ver13.00以降)の場合> # /etc/init.d/fspms stop (プロセスの完全停止を確認すること) # rm -rf /var/opt/f-secure/fspms/data/guts2/* # /etc/init.d/fspms start *:fspmsサービスを停止させても、現在処理中の場合にはstopコマンド終了後もサービスが停止していない場合   があります。このため、stopコマンド完了後、プロセスの停止をpsコマンドで確認してください。 <Linuxセキュリティフルエディションの場合> # /etc/init.d/fsma stop # /etc/init.d/fsaua stop # ps -efl | grep fsupdated (更新関連のプロセス(fsupdated)の起動状態を確認します) # kill <残っているfsupdatedプロセスのPID> (残っているものがある場合、強制終了を行います) # rm -rf /var/opt/f-secure/fsaua/data/content/* # /etc/init.d/fsaua start # /etc/init.d/fsma start # dbupdate (外部接続可能な環境) または # dbupdate fsdbupdate9.run (非インターネット環境) *: fsdbupdate9.run は最新版を別途入手しておく。 <Linuxセキュリティコマンドラインエディションの場合> # /etc/init.d/fsaua stop # /etc/init.d/fsupdate stop # ps -efl | grep fsupdated (更新関連のプロセス(fsupdated)の起動状態を確認します) # kill <残っているfsupdatedプロセスのPID> (残っているものがある場合、強制終了を行います) # rm -rf /var/opt/f-secure/fsaua/data/content/* # /etc/init.d/fsaua start # /etc/init.d/fsupdate start # dbupdate (外部接続可能な環境) または # dbupdate fsdbupdate9.run (非インターネット環境) *: fsdbupdate9.run は最新版を別途入手しておく。 外部接続可能な環境でfsauaを起動すると、必要な最新パターンファイルのダウンローが自動的に開始されます。ここで行うdbupdateコマンドは更新状況確認が目的です。dbupdate コマンド自身はデフォルトで15分のタイムアウトを持っており、更新が15分以内に完了しない場合、dbupdate コマンドは終了してしまいますが、更新自身はバックグラウンドで継続して行われていますので、dbupdateコマンドの終了は影響ありません。 この場合、再度dbupdateコマンドを実行すると、引続きバックグラウンドで実行されている更新状況の確認が行えます。    
記事全体を表示
Question 質問:  特定のサイトに接続できなかったり、応答が遅くなることがあります。 原因は何でしょうか?   対象 OS: 当該製品がサポートするすべての Linux オペレーティングシステム Answer 回答:  他の Web サイトアクセスでは発生しないが、特定の Web サイトアクセス時のみ接続に問題が出る場合など、Linux ゲートウェイが中継送信した HTTP/1.0 リクエスト が接続先 Webサーバの設定等により、処理できないケースがございます。   このような HTTP のバージョンが問題となるケースでは、以下の手順をお試しいただくことで、改善が期待できる可能性がございます。   ○  Linux ゲートウェイ エキスパートオプションの use_http11=yes を設定する(デフォルト:無設定)   Linux ゲートウェイでは、デフォルトでは HTTP/1.1 リクエストに対して HTTP/1.0 に変換してサーバに送信しますが、下記の手順で HTTP/1.1 透過機能 を用いることで改善が期待できる可能性があります。 また、この機能についてはバージョンアップで随時改善されていますので、最新版にアップデートいただく事をお勧めいたします。   <インストールディレクトリ> /conf/fsigk.ini の [http] のエントリ内に use_http11=yes という記述を入れて # <インストールディレクトリ>/rc.fsigk_http restart にて、HTTPプロキシプロセス の再起動を行ってください。   ○ Windows ブラウザ側で設定を変更する   インターネットオプションの詳細設定タブ 「HTTP 1.1を使用する」 「プロキシ接続でHTTP 1.1を使用する」のチェックボックスを外す。設定後はブラウザを再起動してください。   ○  Linux ゲートウェイのkeepalive=yes設定をnoにする。 その後、設定の反映のため # <インストールディレクトリ>/rc.fsigk_http restart にて、HTTPプロキシプロセス の再起動を行ってください。   ○ Linuxゲートウェイにipv6=no設定を追記する。  (IPV6での名前解決を行なわないように設定) <インストールディレクトリ>/conf/fsigk.ini [http] ipv6=no その後、設定の反映のため # <インストールディレクトリ>/rc.fsigk_http restart にて、HTTPプロキシプロセス の再起動を行ってください。   ※ なお、接続の問題につきましては、サーバ負荷やイーサネットの MTU 値、名前解決の失敗など、多種の要因が考えられますので、厳密にはパケットログを採取するなどで原因の特定を行ってください。 ※通常インストールディレクトリは/opt/f-secure/fsigkになります。
記事全体を表示
Linux 製品に技術的な問題が発生した場合、調査用の診断情報(FSDIAG)ファイルを作成して当社のテクニカルサポートに送信することができます。各 Linux製品の診断情報作成手順は以下の通りです。   <Linux セキュリティフルエディション/コマンドラインエディションの場合> ①/opt/f-secure/fsav/bin/fsdiag をroot権限で実行します。 ②カレントディレクトリに「fsdiag.tar.gz」が作成されます   <アンチウイルス Linux ゲートウエイの場合> 1)コマンドラインから作成する場合 root ユーザで以下のコマンドを実行すると、作業ディレクトリに診断情報ファイル diag.tar.gz が作成されます。既存の診断情報ファイルがある場合には上書きされます。 # cd /opt/f-secure/fsigk # make diag 2)ウェブ管理画面(GUI)から作成する場合 ウェブ管理画面にログイン後、以下の操作を行ってくだい。 画面左側のメニューで「システム情報」を選択してください。「ステータス」と「診断」のタブが表示されますので、「診断」タブを選択肢てください。 「診断情報ファイルをダウンロード」をクリックすると、ご利用のブラウザの設定に従ったディレクトリに診断上ファイル diag.tar.gz が保存されます。   <Linux 版ポリシーマネージャサーバの場合> ①/opt/f-secure/fspms/bin/fsdiag をroot権限で実行します。 ②カレントディレクトリに「fsdiag.tar.gz」が作成されます。   <ThreatShieldの場合> 1)コマンドラインから作成する場合 ①/opt/f-secure/threatshield/libexec/fsdiag.shをroot権限で実行します。 ②/var/opt/f-secure/threatshield配下に「diag-threatshield-yyyymmddxxxxxxx.tar.gz」が作成されます。 2)ウェブ管理画面(GUI)から作成する場合 ウェブ管理画面にログイン後、以下の操作を行ってくだい。 画面左側のメニューで「サポート」を選択してください。サポート画面の診断にて[ダウンロード]をクリックすると、ご利用のブラウザの設定に従ったディレクトリに診断情報ファイルが保存されます。   全般的な注意 diag 診断情報ファイルには、各製品のログファイルが含まれます。ログファイルのローテートを行っている場合、ファイル拡張子が異なる結果になりますので、診断情報ファイルには含まれません。現象発生していない状態の診断情報を採取する場合は、場合によっては、現象発生時の日時の情報を含むログファイルを別途採取していただく必要があります。 diag 診断情報ファイルには、システムの messages 情報等が含まれます。診断情報は全てのファイル内容ではなく、最新の数百行 (messages は 300 行) のみとなります。場合によっては、現象発生時の日時の情報を含むファイルを別途採取していただく必要があります。
記事全体を表示
各製品のサポートOSについては、各製品のリリースノートに記載がございますため こちらをご確認ください。また、製品のバージョンによってはサポートOSが異なり ますため、バージョンアップ前には必ずリリースノートをご確認いただくようお願 い致します。 例えば、LinuxセキュリティVer11.00とVer11.10では下記のようにサポートOSが異な りますのでご注意ください。 (下記サポートOSはリリースノートからの抜粋になります。) [LinuxセキュリティVer11.00のサポートOS] The following 32-bit Linux distributions are supported: CentOS 6.0-6.7 Debian 7.0-7.9 Oracle Linux 6.6, 6.7 RHCK* Red Hat Enterprise Linux 6.0-6.7 SUSE Linux Enterprise Server 11 SP1, SP3, SP4 Ubuntu 12.04.(1-5) 14.04.(1-3) The following 64-bit (AMD64/EM64T) distributions are supported: CentOS 6.0-6.7, 7.0-7.1 Debian 7.0-7.9 Debian 8.0, 8.1 ** Oracle Linux 6.6, 6.7 RHCK * Oracle Linux 7.1 UEK RHEL 6.0-6.7, 7.0-7.1 SUSE Linux Enterprise Server 11 SP1, SP3, SP4 SUSE Linux Enterprise Server 12 Ubuntu 12.04.(1-5), 14.04.(1-3) [LinuxセキュリティVer11.10のサポートOS] The following 32-bit Linux distributions are supported: CentOS 6.7, 6.8 Debian 7.10, 7.11 Debian 8.5, 8.6 * Oracle Linux 6.7, 6.8 RHCK ** Red Hat Enterprise Linux 6.7, 6.8 SUSE Linux Enterprise Server 11 SP3, SP4 Ubuntu 14.04.(4-5), 16.04, 16.04.1 The following 64-bit (AMD64/EM64T) distributions are supported: CentOS 6.7, 6.8, 7.1-1503, 7.2-1511 *** Debian 7.10, 7.11 Debian 8.5, 8.6 * Oracle Linux 6.7, 6.8 RHCK ** Oracle Linux 7.2, 7.3 UEK RHEL 6.7, 6.8, 7.2, 7.3 *** SUSE Linux Enterprise Server 11 SP3, SP4 SUSE Linux Enterprise Server 12, 12 SP1 Ubuntu 14.04.(4-5), 16.04, 16.04.1 リリースノートは各製品のダウンロードサイト内にございます。 https://www.f-secure.com/ja_JP/web/business_jp/downloads ※旧バージョンのインストーラが必要な場合には、サポートセンターへお問い合わせ下さい。  但し、ご提供できるものは現行でサポートされているバージョンのみとなります。  サポート終了した製品バージョンのインストーラについてはご提供できかねますのでご了承  下さい。 ※現行サポートされている製品バージョン、及びサポート終了に関する情報については、下記  URLからご確認下さい。  https://www.f-secure.com/ja_JP/web/business_jp/support/supported-products
記事全体を表示
以下のリンクからLinux製品に関するドキュメントがダウンロードできます。   [LinuxSecurity] Linuxセキュリティフルエディション導入ガイド https://drive.google.com/file/d/0B_HNDWBk6NV1a09aM3MxSmpsSzA/view?usp=sharing Linuxセキュリティフルエディション導入ガイド(集中管理) https://drive.google.com/file/d/0B_HNDWBk6NV1czczT29hcGpta0E/view?usp=sharing 完全性検査ご利用ガイド https://drive.google.com/file/d/0B_HNDWBk6NV1N1dIenN0ekEwY1k/view?usp=sharing   [IGK(Linuxゲートウェイ)] IGKバージョンアップガイド(Ver4.06以降→Ver5.xx) https://drive.google.com/file/d/0B_HNDWBk6NV1MDJMVkZ0YXlZS00/view?usp=sharing   [PolicyManager for Linux] PolicyManager for Linux バージョンアップガイド(Ver11.xx→Ver12.40) https://drive.google.com/file/d/0B_HNDWBk6NV1MExVcmtId0NDNEk/view?usp=sharing   PolicyManager for Linux バージョンアップガイド(Ver11.xx→Ver12.2x) https://drive.google.com/file/d/0B_HNDWBk6NV1ZmgtbkE2MUVwODg/view?usp=sharing PolicyManager for Linux バージョンアップガイド(Ver13.xx→Ver14.xx) https://drive.google.com/file/d/1GtiM6xCgiM7wKxmqd1F7e12_ygb9DlW0/view?usp=sharing 顧客ID登録ガイド https://drive.google.com/open?id=0B_HNDWBk6NV1NDMxR1BOWmNibkE  
記事全体を表示
fsdbupdate9.run は AUA version8 以降を使用した Linux 上の弊社セキュリティ製品のユーティリティで、Linux 上の弊社セキュリティ製品のデーターベースや Windows 上の弊社セキュリティ製品群 のためのアンチウイルス、スパイウェア、スパム、ペアレンタルコントロール等のすべてのデータベースを含んでいます。 (本手動更新ツールは、インターネットに接続してない環境でのパターンファイル更新に利用できます。)   [対象製品] • エフセキュア Linux ゲートウェイ 5.xx 以降 • エフセキュア Linux セキュリティ フルエディション / コマンドラインエディション 11.xx 以降 [入手方法] fsdbupdate9.runを下記URLの「fsdbupdate (Linux 用)」からダウンロード下さい。 パターンファイルの内容は適宜更新されるため、後日、再度パターンファイルを更新する場合には、毎回最新版の fsdbupdate9.run ファイルをダウンロードしてください。 https://www.f-secure.com/ja_JP/web/business_jp/support/support-tools [適用方法] ・エフセキュア アンチウイルス Linux ゲートウェイ root ユーザで、以下のように fsdbupdate9.run のパス名を引数に指定して、dbupdate コマンドを実行して更新してください。この例では、Linux ゲートウェイ V5.xx において、カレントディレクトリに fsdbupdate9.run があると仮定しています。 # /opt/f-secure/fsigk/dbupdate ./fsdbupdate9.run ・エフセキュア Linux セキュリティ root ユーザで、以下のように引数に fsdbupdate9.run のパス名を指定して、dbupdate コマンドを実行して更新してください。この例ではカレントディレクトリに fsdbupdate9.run があると仮定しています。 # dbupdate ./fsdbupdate9.run [注意] ・ dbupdate コマンドにおいて、パターンファイルのデータベース更新がデフォルトの15分以内に完了しなかった場合、実行した dbupdate コマンドはタイムアウトエラーで終了してしまいます。しかし、バックグラウンドでデータベース更新処理は継続実行を行っています。この場合、引数なしで再度 dbupdate コマンドを実行することで、進行状況を確認することができます。タイムアウト時間の調整を行う場合は dbupdate のヘルプを参照してください。 ・ fsdbupdate9.run には Linux 製品のパターンファイルだけでなく、Windows製品の全てのパターンファイルが含まれています。このため、実行時には一時的に全てのパターンファイルが展開されます。一時的にディスクの領域を使用しますが、最終的に必要なパターンファイルのみが適用され、不要なパターンファイルは削除されます。この処理はfsauaが行いますので、fsauaは停止させないでください。fsauaを停止させた場合、不要なパターンファイルの削除が行われません。結果、ディスク領域に不要なパターンファイルが残存することになります。
記事全体を表示
質問 Linux ゲートウェイバージョン 4 シリーズから 5.20 へのバージョンアップ時に、設定が引き継がれない項目について教えて下さい。 回答 回答 以下設定につきましては、バージョンアップ後にデフォルトの状態に戻ります。   ■アップデートサーバの設定を変更されている場合 バックアップを取得したfsaua_config-templateファイルより必要な設定を/opt/f-secure/fsigk/fsaua/etc/fsaua_config-template に貼り付けて下さい。   ■スキャン動作の設定 上記設定に関しては直接編集を推奨しておりません。ご利用の環境の特性で特別な設定がされているような場合、旧設定ファイル    /install_path/fssp/etc/fssp-template.conf の該当箇所を、    /opt/f-secure/fsigk/fssp/etc/fssp-template.conf に貼り付けて下さい。   ■カスタム SPAM 設定 アップグレード時にリネームされる以下ファイルが既存のお客様設定となります。   /opt/f-secure/fsigk/conf/spam/custom.txt.rpmorig   /opt/f-secure/fsigk/conf/spam/files.txt.rpmorig 上記ファイルの内容をそれぞれ custom.txt と files.txt に貼り付けて下さい。 5.20 のデフォルト設定が必要ない場合は、リネームにて上書き対応して頂けます。   ■WEBUIへのログインパスワード アップグレード時に既存のログインパスワードが引き継がれませんので、 デフォルトパスワード(admin)以外の場合には手動によるパスワードの 再設定を実施して頂く必要があります。   再設定の方法: デフォルトのパスワード(admin)でWEBUIへのログイン後に左側にある 「管理パスワード」の項目を選択し、パスワード変更を行って下さい。   ■ログローテートの設定 既存の設定ファイル   /etc/logrotate.d/logrotate.virusgw のローテート設定内容を、新しいテンプレート   /opt/f-secure/fsigk /misc/logrotate.fsigk と比較・編集後、新しいテンプレートより /etc/logrotate.d/ に設置して下さい。 ログファイルの上位パスは既存の install_path (デフォルト: /home/virusgw/) から /opt/f-secure/fsigk/ へ変更となります。   以下の KB もご参照下さい。   【Linux ゲートウェイのログのローテーションの注意】   ★変更した設定の反映にはサービスの再起動が必要です。   # cd /opt/f-secure/fsigk   # make restart
記事全体を表示
質問 「telnet」のコマンドでアンチウイルス Linux ゲートウェイに接続すると、Linux ゲートウェイの製品情報が表示されますが、製品バージョンなどの情報を公開しないように設定することは可能でしょうか。 telnetでの出力例: > telnet ***** 25 220 localhost.localdomain F-Secure/fsigk_smtp/522/localhost.localdomain quit 221 2.0.0 Bye 回答 以下の手順にてアンチウイルス Linux ゲートウェイの上級者向けオプションの「表示製品名変更機能(product_name)」を使用することによって対応可能です。 バージョン5.xx の場合: 1.以下の設定ファイルを開きます。   /opt/f-secure/fsigk/conf/fsigk.ini 2.「fsigk.ini」に下記パラメータを追加します。   product_name=<表示の文字列> 3.弊社サービスを再起動し、設定が反映されます。  # cd /opt/f-secure/fsigk; make restart ※上級者向けオプションに関する詳細情報は、以下のファイルをご参照下さい。 バージョン5.xx の場合: /opt/f-secure/fsigk/doc/expert-options-fsigk_JP.txt 上記ファイルから抜粋: ---------------------------------------------- ●表示製品名変更機能 項目名: product_name=sss (sss: 文字列(0〜100文字)) デフォルト値: product_name=F-Secure/virusgw_サービス名/バージョン番号/ホスト名 説明:   本製品での表示製品名を設定します。製品名は以下の表示で用います。    - FTP over HTTPでの応答ヘッダの"Server:"フィールド    - HTTPのViaヘッダフィールド    - SMTP/POPのX-Virus-Status, X-Spam-Statusヘッダフィールド    - SMTPのグリーティングメッセージ、中継拒否メッセージ、Receivedヘッダ、その他       本製品が生成する応答メッセージ   空白文字、空の文字列は避けることをおすすめいたします。 ---------------------------------------------- 注意: 本設定を変更すると、上記「説明」にもありますように、各応答ヘッダの情報が変更されますので、ご注意ください。
記事全体を表示
・IGK Ver5.50ではzlibパッケージが必要になるため、バージョンアップ前に本パッケージをインストールしたうえで実行して下さい。また、64bitOSを利用している場合は、zlibの32bit互換パッケージも必要になります。 上記パッケージが不足している場合、バージョンアップ後にプロセスが起動できません。  ※必要なパッケージの詳細については下記リリースノートをご参照下さい。   https://help.f-secure.com/product.html#business/releasenotes-business/latest/en/fsigk-latest-en ・IGK Ver4.06~Ver4.12からアップグレードする場合は、管理者マニュアルP13「2.3.2インターネットゲートキーパー(日本語版)のアップグレード」をご参照下さい。  https://download.f-secure.com/corpro/igk/current/fsigk-5.50-adminguide-jpn.pdf  ※IGK Ver4.05以前のバージョンからのアップグレードについてはサポートしておりません。  ※IGK Ver5.00以降のバージョンからのアップグレードについては上書きインストールにて行なえます。
記事全体を表示
質問 自動更新エージェント(fsaua)の不要ファイルクリーンアップ処理について教えてください。 回答 「dbupdate fsdbupdate9.run」による手動更新を行う場合は、fsaua 作業領域 (/var/opt/f-secure/fsaua/data/contents) の下に一時的にパターンファイルをインターネット上からダウンロードしたように配置します。 この際、実際に使用するパターンファイルだけではなく、fsdbupdate9.run に含まれる全てのパターンファイル(aquawin32、hydrawin32 等)が配置されます。 dbupdate コマンドにより、これらのパターンファイルは実際に使用しているスキャンエンジンのデータベースに更新されます。 その際、dbupdate コマンドの実行直後は、fsaua の作業領域には多くのパターンファイルが配置されたままとなり、作業領域の容量を消費します。 これらの不要なファイルは次回の自動更新確認の際に fsaua により削除されます。 このため、dbupdate コマンドの実行直後に fsaua を停止させる運用を行ないますと、fsaua が不要ファイルのクリーンアップを行うタイミングがありませんので、不要ファイルが削除されずに蓄積される結果となります。 クリーンアップ処理を完了させるためには、「dbupdate fsdbupdate9.run」を実行する運用の場合は、dbupdateコマンドの完了後は fsaua は停止させずに使用するか、自動更新時間だけ待ってから停止させてください。 fsaua の自動更新を停止している運用の場合も同様ですが、自動更新を停止している場合や、直ぐに fsaua を停止させたい場合には、手動でファイルを削除する必要があります。
記事全体を表示
質問 Linux ゲートウェイの FTP プロキシで、パッシブモード (PASV) で利用しようとすると、ログインはできるが、その後のコマンドが動作しない。 回答 一般的に、FTP は 21 番ポートを制御ポートとして利用、20 番ポートをデータ転送ポートとします。 パッシブモードの場合、クライアントからの PASV 要求を受け、FTP サーバとクライアントが 20 番のデータ転送ポートに換わるデータ転送ポートを定めます。 Linux ゲートウェイはポート番号決定をモニタし、該当ポートの転送データをスキャン致しまして、両者間で定めたポート番号の制御等を行う機能は御座いません。   パッシブモードで FTP 接続は可能だが、その後の ls コマンド等がタイムアウトするような場合、該当マシン、または経路上の FW の設定により該当ポートが塞がれている可能性が高いです。
記事全体を表示
質問 Linuxゲートウェイ v5.10/v5.20インストール時の注意点を教えて下さい 回答 Linuxゲートウェイ v5.10/v5.20のインストーラーは、前バージョンよりライブラリの内包を減らしております。 これにより、導入環境によっては依存ライブラリパッケージの事前インストールが必要となりますが、依存ライブラリにつきましてはLinuxセキュリティv10.xに準拠致します。   ※注意 Linuxセキュリティで必要とされるカーネル関連の依存パッケージはLinuxゲートウェイでは必要ありません。   Linuxセキュリティv10.xの依存パッケージにつきましては以下KBをご参照下さい。 【F-Secure Linux セキュリティ 10.xをインストールする前のチェックリスト】   依存パッケージが不足した状態で運用した場合、パターンファイル更新時のエラー発生等の事象が起こりますことが確認されております。   【dbupdate実行ログ抜粋】 08時52分36秒 fsauatool failed. cmd=[auatool_func -q -a hydralinux], ret=[1], aua_path=[Err 1 (FSAUA_ERROR)] 08時52分36秒 fsauatool failed. cmd=[auatool_func -q -a aqualnx32], ret=[1], aua_path=[Err 1 (FSAUA_ERROR)] 08時52分36秒 fsauatool failed. cmd=[auatool_func -q -a commtouchunix], ret=[1], aua_path=[   ※ご注意 Linuxゲートウェイ v5.10は日本語版のご提供が御座いません。
記事全体を表示
Linux ゲートウェイでは解説書に記載されている通り、ログファイルのローテーション設定ファイルが提供されています。 ここで、以下のファイルについてはデフォルトのローテーション設定ファイルに含まれていませんので、長時間使用すると、既存ファイルに情報が出力され続け、結果としてログファイルが肥大化することになります。   fsaua.log fsauadbg.log aua_api.log dbupdate.log fsupdated.log これらのログもログのローテーション設定に追加して運用してください。 既存のログのパス一覧に追加するだけで十分です。   5.x の場合 /opt/f-secure/fsigk/log/fsaua.log /opt/f-secure/fsigk/log/fsauadbg.log /opt/f-secure/fsigk/log/aua_api.log /opt/f-secure/fsigk/log/dbupdate.log なお、上記ファイルは、Linux ゲートウェイ 5.20 でログローテーションされるように変更される予定です。   注意 fsaua.log は自動更新エージェント fsaua のアクティビティログです。 fsauadbg.log は fsaua のデバッグ出力用ログです。デバッグ出力設定を行っていない通常時にもこのファイルは存在しますが、 このファイルのサイズはゼロです 。弊社からの指示で必要に応じてデバッグ出力設定を行った場合のみ、デバッグ用メッセージがこのファイルに記得されます。 aua_api.log はパターンファイル取得を行う fsaua と、取得したパターンファイルを使ったスキャンエンジンのデータベース更新を行う fsupdated との通信におけるエラー情報を記録します。 dbupdate.log はパターンファイル更新を行う処理におけるアクティビティログです。
記事全体を表示
注意: この記事は、エフセキュア アンチウィルス Linuxゲートウェイ バージョン 4.xx またはバージョン 5.xx を使用しているお客様が対象となります。 スパムフィルタリング機能を使用しており、リアルタイム ブラックリスト (RBL) を有効にしている場合には、この記事を必ずお読みください。 リアルタイム ブラックリスト(RBL:Real time black list)は、スパムに関連するコンピュータまたはネットワークのアドレスを公開するために使用されています。RBLを有効にしますと、スパムフィルタリング機能はRBLを使用してスパムメッセージを検出するようになります。ソースIPアドレス(SMTPを使用した場合)と受信したヘッダフィールドのIPアドレスがRBLサーバに登録されているメールはスパムとして検出されます。 現在、新規インストールされたアンチウィルスLinuxゲートウェイでは、RBLによるスパム検査オプションはデフォルトでオフになっています。また、RBLのサービスは、デフォルトで「Spamhaus」及び「SpamCop」というサードパーティベンダーを参照するように設定されています。ここで、必要に応じて、ユーザーがこれらのサービスを追加または削除することができます。しかしながら、RBLサーバの使用前に、それぞれの使用条件をお読み頂き、予め同意していただく必要がございます。これは、アンチウィルスLinuxゲートウェイ バージョン5.22 まで使用されている以下のデフォルト・サーバーに対しても同様です。       sbl-xbl.spamhaus.org:http://www.spamhaus.org/organization/dnsblusage/       bl.spamcop.net:https://www.spamcop.net/ 現在、「Spamhaus」については、無料サービスと商用サービスの2種類を提供しております。お客様は慎重に使用条件を評価し、無料でご利用の対象となるか否かを判断する必要がございます。 「SpamCop」については、基本的に無料で使用できます。 アンチウィルスLinuxゲートウェイの将来のリリースでは、これらのデフォルト・サーバーの情報を製品の設定から削除し、代わりに管理者ガイドに推奨として記載するように変更する予定です。 参考 Using Real-time Blackhole Lists for spam filtering in F-Secure Internet Gatekeeper https://community.f-secure.com/t5/Business/Using-Real-time-Blackhole-Lists/ta-p/73422
記事全体を表示
質問 Linux ゲートウェイ v5.10 において、 dbupdate のプロキシ設定では、ホスト名、ポート番号、auth に使用するユーザ名、パスワードがそれぞれの設定項目として fsigk.ini に存在しますが、orsp では orspservice_http_proxy の一つだけになっています。 dbupdate と同様に認証設定を行いたい場合、どのように記述すればよいのでしょうか? 回答 → fsaua の http_proxies 設定と同じ記述になります。 以下書式を参考に設定頂けます。   # http_proxies=[http://][user[:passwd]@]<address>[:port][,[http://][user[:passwd]@]<address>[:port]] # # Examples: # http_proxies=http://proxy1:8080/,http://backup_proxy:8880/
記事全体を表示
質問 自動更新エージェント(fsaua) のデバッグモードの設定の仕方を教えて下さい 回答 <LinuxセキュリティVer10.xx及びVer11.xx> 1.下記設定ファイルを編集します。  /etc/opt/f-secure/fsaua/fsaua_config 2.次の設定項目を変更、追加します。   log_level=debug   debug_level=6 3.弊社サービスの再起動を行います。   # /etc/init.d/fsaua restart   ※/var/opt/f-secure/fsaua/fsauadbg.log にFSAUA のデバッグログが出力されます。 4.診断情報を作成します。   # /opt/f-secure/fsav/bin/fsdiag   ※上記コマンドの実行後にカレントディレクトリの配下に「fsdiag.tar.gz」が自動的に作成されます。   <Linux ゲートウェイVer5.xx> 1.下記設定ファイルを編集します。  /opt/f-secure/fsigk/fsaua/etc/fsaua_config-template 2.次の設定項目を変更、追加します。   log_level=debug   debug_level=6 3.弊社サービスの再起動を行います。   # cd /opt/f-secure/fsigk; make restart   ※/opt/f-secure/fsigk/log/fsauadbg.log にFSAUA のデバッグログが出力されます。 4.診断情報を作成します。  # cd /opt/f-secure/fsigk; make diag   ※上記コマンドの実行後にカレントディレクトリの配下に「diag.tar.gz」が自動的に作成されます。
記事全体を表示
質問 スパム検出エンジンでウィルスと判断されたメールは、どのような処理がされますか? 回答 スパム検出エンジンでウィルスと判断されたメール(ThreatLevel が 2 (ウィルスの可能性あり) と 3 (ウィルス) として判定されたもの)については検査結果についても [INFECTED] (ウィルス検出) として分類されるため、スパム検査の動作設定ではなく、ウィルス検出時の動作設定に従って処理されます。   下記ログは「ウィルス検出時の動作:削除」「スパム検査:件名変更」と設定した場合、下記のように [SPAM_CT] でウィルスと判定され、メールは削除 (blackhole) となり、スパムと判定されたメールは件名変更 (CHANGE_SUBJECT) となります。   削除 ログの例 1364446311.151 10755 xxx.xxx.xxx.xxx TCP_MISS/000 110825 GET mail:xxxxx@xxxxx.xx.xx - DIRECT/127.0.0.1 multipart/related DETECT-STAT:INFECTED:VIRUSGW/SPAM_CT/3/3/str%3d0001.0A3C0009.5153CC75.001A%2css%3d3%2cvtr%3dstr%2cvl%3d3%2cfgs%3d16:::: ACTION:BLACKHOLE: PROXY-STAT:smtp:3:12296:xxx.xxx.xxx.xxx:1:0:214:: PROTOCOL-STAT:xxxxx@xxxxx.xx.xx:<8c3401ce2baa$a8548870$90b01dca@Jordon_Briggs>: PROXY-ERROR::   件名変更ログの例 1364446317.876 5482 yyy.yyy.yyy.yyy TCP_MISS/000 966 GET mail:xxxxx@xxxxx.xx.xx - DIRECT/127.0.0.1 text/plain DETECT-STAT:SPAM:VIRUSGW/SPAM_CT/4/0/str%3d0001.0A3C0009.5153CA7C.0006%2css%3d4%2csh%2cpt%3dR_291279%2cfgs%3d0:::: ACTION:CHANGE_SUBJECT: PROXY-STAT:smtp:1:12294:yyy.yyy.yyy.yyy:1:0:7:: PROTOCOL-STAT:xxxxx@xxxxx.xx.xx:: PROXY-ERROR::
記事全体を表示
現象 アンチウイルス Linux ゲートウェイを利用していると、https サイトのアクセスが遅い感じがします。 診断 お客様の環境によっては、RFC1323 の TCP ウィンドウ スケーリング (一度に送れるウィンドウの大きさを決める) を無効/有効に変更することで、調整出来る場合があります。   デフォルトではこの設定は有効になっていますが、理論上は以下のような効果が期待されます。   ・有効にすると、64K 以上の TCP window を使えるようになる。   ・無効にすると、window size が最大でも 32768 に制限されるため、伝送速度が落ちることがある。   ・大きいサイズのファイルを FTP/SCP/HTTP などでやりとりする際、うまく転送出来ない場合にはこの設定を無効にすると改善されることがある。 解決策 /etc/sysctl.conf に以下設定値追加することで無効になります。 net.ipv4.tcp_window_scaling = 0
記事全体を表示
質問 Linux ゲートウェイを通過するパケットをキャプチャする方法を教えてください。 回答 以下手順は参考情報となります。 ※将来のサードパーティコマンドの実装の変更、サードパーティソフトウェアの変更により実際に即した手順にて実施下さい。 ※サードパーティコマンド、サードパーティソフトウェア利用方法の詳細は、それぞれのベンダー様にお問い合わせ下さい。   Linux ゲートウェイで障害が発生した場合、Linux ゲートウェイのパケットキャプチャが障害の原因判明の手がかりになる場合があります。 パケットキャプチャは tcpdump コマンドで作成できます。 【tcpdump 作成方法】   Linux ゲートウェイが導入された PC 上で、root 権限で以下のコマンドを実行し、パケットキャプチャを開始します。 # tcpdump -i any -p -s 0 -l -w <file_name.cap> (<file_name.cap>には任意のファイル名(例:linuxgw-20060505.cap)を指定してください) 障害となっている事象を再現させます。 Ctrl-C を押してキャプチャを終了します。 キャプチャした結果が<file_name.cap>として保存されます。 キャプチャ後は"# tcpdump -n -r <file_name.cap>"を実行して、キャプチャした結果を参照できることをご確認ください。 コマンド実行例:     # tcpdump -i any -p -s 0 -l -w linuxgw-20070101.cap     tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes     ●●●ここで問題を再現●●●     ●●●問題再現後、Ctrl-C コマンドで終了●●●     80 packets captured     80 packets received by filter     0 packets dropped by kernel     # tcpdump -n -r linuxgw-20070101.cap     reading from file linuxgw-20070101.cap, link-type LINUX_SLL (Linux cooked)     14:46:02.087325 IP 192.168.3.110.ssh > 192.168.3.100.38877: P 3536306927:3536307055(128) ack 3370430943 win 2728     14:46:02.087331 IP 192.168.3.110.ssh > 192.168.3.100.38877: P 0:128(128) ack 1 win 2728     14:46:02.087430 IP 192.168.3.100.38877 > 192.168.3.110.ssh: . ack 128 win 19292     14:46:02.087430 IP 192.168.3.100.38877 > 192.168.3.110.ssh: . ack 128 win 19292     ... 取得したキャプチャ結果(xxx.cap)は、Windows 上の Wireshark(旧Ethereal )等でも確認・解析いただけます。 Wireshark URL:http://www.wireshark.org/   ファイルの読み込み: xxx.cap をダブルクリック。又はメニューから「File」=「Open..」で開きます。 ストリーミングの確認: パケットを選択し、右クリックから「Followin TCP Stream」を選択します
記事全体を表示
質問 hosts.allow 内設定の、複数設定の方法を教えて下さい。 回答 hosts.allow 内の以下オプションが  v5.10 より fsigk.ini に追加されました。マニュアルには記述が御座いませんが、以下の設定は fsigk-generate-configuration.sh ではなく、fsigk-reload.sh にて読み込みがされます。   http_from= http_to= http_pass_to=   複数設定時の書式につきましては以下アドミンガイドの P27 及び 7.3 Access Control をご参照下さい。 また、man page hosts_access(5) もご確認下さい。   【fsigk v5.10 アドミンガイド】 http://download.f-secure.com/corpro/igk/current/fsigk-5.10.12-rtm-adminguide-eng.pdf
記事全体を表示
現象 SMTP でメールの送信時に送受信が拒否される。   また、以下のエラーメッセージがメーラ上に表示されるか、Linux ゲートウェイの直前のメールサーバからエラーメールとして送信者などに送られる。    550 Relaying denied. (F-Secure/virusgw_smtp/223/hostname) 診断 受信先 (RCPT) ドメインの制限を有効にしているため、中継が拒否された場合に表示されます。 解決策 インターネットからの特定ドメインあてのメールを受信する場合、該当ドメインを受信先 (RCPT) ドメインの制限に指定してください。   社内のクライアントから送信する場合など、特定のクライアントからの中継を許可する場合、接続元の該当クライアントを [LAN内のホスト] に指定し、[LAN内からの接続時の設定] を有効にしてください。 NAT ルータなどで接続元アドレスが変換されている場合や、他のメールサーバを経由して接続している場合、Linux ゲートウェイから見た接続元アドレスを指定してください。 なお、接続元アドレス (又はホスト名) は Linux ゲートウェイのアクセスログで確認いただけます。   例: (192.168.xx.xxからの中継を許可する場合)      LAN 内からの接続時の設定: チェック        LAN 内のホスト: 192.168.0.0/255.255.0.0   インターネット上のクライアントから接続する場合、IP アドレス/VPN/SSH/SMTP認証/PbS(POP before SMTP) 認証などのご利用も検討いただけます。
記事全体を表示
下記は、IaaS環境上でエフセキュアLinux製品を使用した場合のサポートステートメントになります。 [サポート条件] IaaS環境で使用する場合、サポートを受けるには以下の条件を満たす必要があります。 I. ユーザがOSのroot領域にアクセスできること。これは、幾つかのIaaSではユーザエリアのみが提供されることがあるからです。エフセキュア製品をインストールするには、root領域にアクセスできる必要があります。 II. OSがエフセキュア製品がサポートしているOS/バージョンであること。 [制限事項] 多くのIaaS環境では、OSは仮想化されています。ハードウェアリソースは複数のユーザで共有され、エフセキュア製品が十分なリソースを使用することが出来ない可能性があります。 加えて、仮想化技術に関連する既知の問題を確認しています。問題が仮想化技術に起因する場合、製品側の修正で対応することが出来ない場合があります。 ※LinuxセキュリティVer11.xxでは、Amazon AWS環境においてS3領域(s3fs)のファイルに対するリアルタイムスキャンはサポートしておりません。  (システムハングアップにつながるため、リアルタイムスキャンから除外いただく必要があります。) [ユーザへの要求] IaaS環境で製品を使用する場合、ユーザは以下の要求を受け入れる必要があります。 1. ユーザは、評価版を使用し、事前に使用するIaaSの環境で検証を行うこと。 2. オンプレミスの環境で再現できず、IaaSの環境でのみ発生する事象の場合、サポート対応が行えない場合があること。 3. 調査のためにユーザ環境へのアクセスが必要になった場合、検証環境をユーザが用意すること。 4. 問題の原因がIaaS側の技術に起因する場合、問題が解決できない場合があることをユーザが容認すること。
記事全体を表示
この記事は、HTTPストリーミングに関するIGKの機能について説明しています。   FSIGKは、通常、ダウンロード要求のプロキシとして機能します。 ファイルは、最初にFSIGKマシンにダウンロードされ、スキャンされた後、要求されたクライアントに提供されます。 Real Playerなどのストリーミングクライアントでは、絶え間ない供給を必要とする傾向があるため、これは正しく機能しません。 このため、これらのストリームは通常スキャンから除外されます。 除外はユーザエージェントの識別情報に基づいて実行されますが、非標準のストリーミングアプリケーションについては除外がされない場合がございます。スキャン除外については、ファイルタイプ、ユーザエージェントまたはホスト名に基づいて設定できますが、設定の詳細については、管理者ガイドをご確認ください。   この記事を英語で表示する
記事全体を表示
質問 Linux ゲートウェイに FSC-2015-2 のセキュリティパッチを当てる手順を教えて下さい。 回答 製品のバージョン毎に以下の手順でパッチ作業が可能です。 作業の前には必ず各パッチのリリースノート(英語)もご確認下さい。   ●Linux ゲートウェイ5.xx 1. パッチをダウンロード、解凍して下さい。 2. 解凍ディレクトリに移動し、以下コマンドを実行します。-i  はインストールディレクトリを指定します。 # ./fsigk-5.xx-hf1.sh -i /opt/f-secure/fsigk ※上記はデフォルトインストールパスでご利用の場合のコマンド例です。 3. 以下各ファイルのサイズで、パッチ作業完了の確認が可能です。 パッチ前 (5.20) -rwxr-xr-x. 1 root root 445236 Nov 10 23:50 /opt/f-secure/fsigk/fsaua/bin/fsaua -rwxr-xr-x. 1 root root 193752 Nov 10 23:50 /opt/f-secure/fsigk/fsaua/bin/fsauasc パッチ後 -rwxr-xr-x. 1 root root 387172 Mar 25 09:14 /opt/f-secure/fsigk/fsaua/bin/fsaua -rwxr-xr-x. 1 root root 174996 Mar 25 09:14 /opt/f-secure/fsigk/fsaua/bin/fsauasc オリジナルの fsaua および fsauascはカレントディレクトリにfsaua.BAK  および fsauasc.BAK  として保存されます。   注意: 本セキュリティパッチ適用に伴うシステムの再起動や、Linux ゲートウェイの各サービスの再起動は不要です。
記事全体を表示
Linuxゲートウエイのバージョン5.22のマニュアルに誤記が確認されています。 現在、修正したLinuxゲートウエイ ver5.22のマニュアルをリリーズ済みです。 ●P42、「アクセス制御」の「To these hosts(acl_to)」項目に関する注意事項 誤①: 注:設定ファイルでこの設定を有効にする場合、 /opt/f-secure/fsigk/conf/fsigk.iniファイルにある <protocol>_fromフィールドで対象のホストを指定してください。 /opt/f-secure/fsigk/libexec/fsigk-reload.shコマンドを 実行して設定を更新します。構文については、hosts_access(5)の manページを参照してください。 正①: 注:設定ファイルでこの設定を有効にする場合、 /opt/f-secure/fsigk/conf/fsigk.iniファイルにある <protocol>_toフィールドで対象のホストを指定してください。 /opt/f-secure/fsigk/libexec/fsigk-reload.shコマンドを 実行して設定を更新します。構文については、hosts_access(5)の manページを参照してください。 --------------------------------------------------------------------------------------- ●P61、「動作概要」の「コマンド名」配下にある 「ウェブ管理画面 自動起動コマンド」の項目 誤②: /opt/f-secure/fsigk/rc.fsigk_admin ウェブ管理画面 自動起動コマンド 正②: /opt/f-secure/fsigk/rc.fsigk_fsigkwebui ウェブ管理画面 自動起動コマンド
記事全体を表示
質問 Linux ゲートウエイを使用している状態で「Too long header lines」のエラーが出力される場合があります。エラー内容について教えて下さい。 error.log 内のエラーメッセージ: "WARNING [parse_header:proxy_common.c:1735] [172.**.***.***/50014/4] [127.0.0.1/10025/11] parse_header: Too long header lines …省略 len=5551,limit=5500). ignored" 回答 5500 行以上のメールヘッダがあった場合、5500 行目以降のヘッダーが処理できなかったために今回のメッセージが出力されます。 こちらは現在の制限事項となりますので、このメッセージを無視して頂いても問題はございません。
記事全体を表示
質問 アンチウィルス Linux ゲートウェイ Ver 5.xx へのバージョンアップ後に、WEB 管理画面上で SMTP プロキシの受信先ドメイン制限の設定項目が表示されなくなりました。 Ver5.xx での設定方法及び確認方法についてご教示ください。 回答 アンチウィルス Linux ゲートウェイ Ver 5.xx  の場合は、WEB 管理画面上で SMTP プロキシの受信先ドメイン制限の設定変更、及び、内容確認が出来ない仕様となっています。 このため、以下の手順にて設定ファイルを直接確認や編集していただく必要がございます。 【手順】 1.設定ファイルを開きます。   /opt/f-secure/fsigk/conf/fsigk.ini 2.下記パラメータにて設定内容を確認・変更します。  acl_rcpt=      (有効・無効の設定)  smtp_rcpt=     (各ドメインの指定箇所)  例:  acl_rcpt=yes  smtp_rcpt=aaa.com bbb.com 3.下記スクリプトを実行することで変更した設定が反映されます。  # /opt/f-secure/fsigk/libexec/fsigk-reload.sh 【補足】 記述方法の詳細については、以下の管理者ガイド(P56、「5.3 アクセス制御」の項目)をご参照下さい。https://download.f-secure.com/corpro/igk/current/fsigk-5.22-adminguide-jpn.pdf
記事全体を表示
2019 年 02 月 13 日 16:00 弊社の最新ウイルス対策エンジン Capricorn ではウイルス定義パターンファイルバージョン情報の 提供ができなくなりました事をお知らせいたします。   [概要] 先日(2019 年 2 月 1 日)、弊社全製品においてウイルス対策エンジンの切り替えが行われました。 旧ウイルス対策エンジンでは、各バージョン毎に追加/削除された最新ウイルス情報を公開してお りましたが、Capricorn では情報修正をオンラインデータベースにて即時反映を行う、という特性 から、該当情報を公開する事ができなくなりました。これは、ウイルス対策において、情報の即 時修正がこれまで以上に重要となった事を意味します。   ご提供不可能な情報   誤検知/検知漏れの修正における「修正完了パターンファイルバージョン」  特定ファイルに対する検知が「いつから発生したか?」  DBtracker https://www.f-secure.com/dbtracker/     弊社ウイルス研究ラボでの検体解析でご提供可能な情報 ファイル/URLの危険性判断 現時点で弊社ウイルス対策ソフトが検知ができるかどうか?
記事全体を表示
現象 アンチウイルス Linux ゲートウェイで、HTTP プロキシ設定での検査除外設定を IP アドレスで指定すると検査除外されない 診断 Linux ゲートウェイの上位に別のプロキシが有る場合、又はセルフプロキシとしている場合には、Linux ゲートウェイから見て接続先 IP が上位プロキシのアドレスとなります。このため、検査除外対象のホスト名に設定したサーバ IP と一致しないために、検査除外が機能しないように見えます。   Linux ゲートウェイの上位にプロキシが無い場合には、検査除外対象設定のホスト名に IP アドレスを設定しても、対象ホストに対する通信でのウィルススキャンの除外が機能します。 解決策 検査除外対象設定のホスト名は名前解決される FQDN で設定をすることで正常に動作します。   また、Linux ゲートウェイの稼動マシン上で利用環境に適合した DNS が正しく設定されていることが重要になります。   【参考ログ】 検査除外されない場合(GETとDIRECTのIPアドレスが同一でない) 1327996843.799   9153 192.51.16.1 TCP_MISS/200 227 GET http://100.100.100.100/ - DIRECT/127.0.0.1 text/html DETECT-STAT:CLEAN::::: ACTION:NONE: PROXY-STAT:http:0:5547:192.51.16.1:1:1:0:: PROTOCOL-STAT::: PROXY-ERROR::   検査除外される場合 1328058010.794    494 10.70.72.46 TCP_MISS/200 98204 GET http://203.216.243.240/ - DIRECT/203.216.243.240 text/html DETECT-STAT:CLEAN::::: ACTION:NONE: PROXY-STAT:http:3:5962:10.70.72.46:1:0:0:PASS_TO: PROTOCOL-STAT::: PROXY-ERROR::
記事全体を表示
Linuxセキュリティにて下記Linuxゲートウエイが利用するディレクトリをスキャン除外いただく必要がございます。下記「スキャン除外必須領域」を除外していない場合、Linuxゲートウエイのサービス再起動時、およびOS再起動時にLinuxゲートウエイのプロキシプロセスの起動に失敗致します。 Linuxゲートウエイのプロセス起動時には、内部動作にて/var/tmp/fsigk/配下にeicarファイルを一時的に作成し動作チェックを行なっております。このファイルが作成された時にLinuxセキュリティのリアルタイムスキャンやマニュアルスキャン等で検知されてしまうと、Linuxゲートウエイ側で動作チェックが正常に行なうことができずにプロキシプロセスの起動に失敗致します。   [スキャン除外必須領域] ・/var/tmp/fsigk :Linuxゲートウエイがスキャン時に利用する一時展開ディレクトリ   ※上記ディレクトリはLinuxゲートウエイの設定にて任意のパスに変更することが可能です。デフォルト設定から変更している場合は、変更後のパスをスキャン除外いただく必要がございます。   [スキャン除外推奨領域] ・/var/tmp/quarantine :Linuxゲートウエイが利用するウィルス隔離保存ディレクトリ ・/opt/f-seucre/fsigk :Linuxゲートウエイのインストール領域
記事全体を表示
以下の手順で、Linuxゲートウェイ Ver5.30にホットフィックス2の適用が可能です。 作業の実施前には必ずホットフィックスのリリースノート(英語)もご確認下さい。 ※以下ホットフィックスのダウンロードURL及びリリースノートとなります。   ホットフィックスダウンロードURL: https://www.f-secure.com/ja_JP/web/business_jp/downloads/internet-gatekeeper/latest リリースノート(英文)のURL: https://download.f-secure.com/corpro/igk/current/fsigk-5.30-hf2-readme.txt [ホットフィックス2の適用手順] 1.パッチをダウンロードし、解凍して下さい。   2.解凍ディレクトリに移動し、以下のコマンドを実行します。  ※コマンド実行前に、本ファイルに実行権限が付与されているかご確認下さい。  # ./fsigk-5.30-hf2.sh -i [製品のインストールディレクトリパス]    例えば、デフォルトインストール先へ製品をインストールしている場合は下記のように実行します。  # ./fsigk-5.30-hf2.sh -i /opt/f-secure/fsigk 3.ホットフィックス2適用後、ファイルサイズやMD5チェックサム値が下記のようになっていたら、ホットフィックス2は適用されております。 [ホットフィックス2の適用後のファイルサイズ及びMD5チェックサム値] [root@localhost fsigk-5.30-hf2]# ls -al /opt/f-secure/fsigk/fsigk -rwxr-xr-x 1 root root 1270564 6月 27 17:04 /opt/f-secure/fsigk/fsigk   [root@localhost fsigk-5.30-hf2]# md5sum /opt/f-secure/fsigk/fsigk 4b89924f24c942808e179ab12c69c520 /opt/f-secure/fsigk/fsigk   ※注意事項 1.ホットフィックス2はVer5.30の問題を修正するものになります。Ver5.30以外のバージョンをご利用の場合は適用しないようご注意下さい。 2.ホットフィックス2適用時には、各プロキシプロセスの再起動が行なわれます。 3.ホットフィックス2適用後、システム再起動の追加作業は不要です。
記事全体を表示
 Linuxゲートウェイ Ver 5.xx からVer5.xx へバージョンアップ後に何らかの問題が生じ、元のバージョンに切り戻す場合は以下作業を実施します。   【既存設定のバックアップ】 # cd /opt/f-secure/fsigk # tar zcvf conf-bak.tgz conf/ # cp conf-bak.tgz <バックアップ先ディレクトリ> ※バージョンアップ実施前に、必ず設定ファイルをバックアップする必要がございます。 ※バージョンアップ後の設定ファイルをバージョンアップ前の環境で利用することはサポート外となります。   【切り戻し手順】 ①.現バージョンをアンインストールします。 デフォルトのインストールディレクトリが「/opt/f-secure/fsigk」です。 # cd <インストールディレクトリ> # make uninstall * rpm パッケージでインストールしていた場合、以下のコマンドも実施します。 # rpm -e fsigk   ②.切り戻しバージョンをインストール ・rpmパッケージを使用して製品をインストールするには # rpm -Uvh fsigk-XXX.i386.rpm   ・tar.gzパッケージを使用して製品をインストールするには # tar -zxvf fsigk-XXX.tar.gz # cd fsigk-XXX/ # make install   ③.conf ディレクトリをアップグレードの前にバックアップしたものと差し替えます。 # cd <インストールディレクトリ> # mv conf conf-orig # cp <バックアップ先ディレクトリ>/conf-bak.tgz . # tar zxvf conf-bak.tgz   ④.サービスの再起動を行います。 # cd <インストールディレクトリ> # make restart     ※補足情報※ バージョン 4.xx から5.xx へアップグレード後に、元のバージョンへの切り戻し手順については、以下のURLからダウンロードできる「IGKバージョンアップガイド(Ver4.06以降→Ver5.xx)」の「3. Ver4 差し戻し手順」をご参考下さい。 https://community.f-secure.com/t5/エンドポイント-セキュリティ/Linux製品に関するドキュメント/ta-p/84424
記事全体を表示
質問 Linux ゲートウェイ 5.xx の管理画面パスワードの初期化方法を教えて下さい 回答 Linuxゲートウェイ(ver 5.xx)の管理パスワードは、ウェブ管理画面で[管理パスワード] を編集すると、/opt/f-secure/fsigk/etc/passwd.ini ファイルに反映されます。   上記ファイルにデフォルトの文字列を入力して頂けますと、管理パスワードが「ユーザ名:admin、パスワード:admin」に初期化されます。 具体的には下記文字列を入力して保存して下さい。(弊社製品サービスの再起動は不要です。)   [password] admin=1:2d548e21345c5983:330ac0455b87f495b9db6a4b9e7e4d4925e1823cfe21ecd939ffdc05894248b1
記事全体を表示
現象 Windows の IE (インターネットエクスプローラー) ブラウザを使用し、Linux ゲートウェイの WebUI 管理画面上で「有効」「無効」のボタンをクリックしようとすると、選択ができない状態になり、設定を完了することが出来ません。 診断 IE の設定問題で、「ツール」→「互換表示設定(B)」の「イントラネットサイトを互換表示で表示する(I)」にチェックが付いていることが原因で今回の事象が発生してしまいます。   以下 OS での一部の環境で報告されています。 Windows 7 64 bit(IE11) Windows Server 2008 R2 (IE9) 解決策 【原因】 IE の設定問題で、「ツール」→「互換表示設定(B)」の「イントラネットサイトを互換表示で表示する(I)」にチェックが付いている事が原因で本事象が発生します。   【対処】 「イントラネットサイトを互換表示で表示する(I)」のチェックを外します。
記事全体を表示
質問 Redhat/CentOS Ver7.x環境にてOS再起動時Linuxゲートウェイのサービスが起動しない 回答 [現象] IGKを「/」パーティション以外にインストールした場合、またはRedhat/CentOS Ver7.2で /etc/init.d/<SERVICE>にてsymlinkが利用されている場合、OS側のバグの影響によりOS再 起動したときにLinuxゲートウェイのサービスを起動することができません。   [ワークアラウンド] "/etc/rc.d/rc.local"ファイルに実行権限を付与し、下記コマンドを追記することで回避 することが可能です。   cd /opt/f-secure/fsigk/; make start   ※上記ファイルパス(/opt/f-secure/fsigk/)はLinuxゲートウェイのインストールディレ  クトリとなります。デフォルトパス以外にインストールされている場合はパスを置き換  えて記載願います。   [OSのバグ情報] Bugzilla 1212569 Bugzilla 1285492
記事全体を表示
質問 Linux ゲートウェイで open_tcp_server エラーが大量に発生しました。 回答 上位ルータ、あるいはネットワーク等に問題があった場合このような現象が発生致します。 本ケースでは TCP フィルター処理の上限を超えたため、8000 セッション以上のセッションが破棄されていました。 基本的には診断情報より個別に製品の動作を確認させて頂きますが、下記ワークアラウンドで回避できたケースも御座いました。  【ワークアラウンド】  /opt/f-secure/fsigk/conf/fsigk.ini  内の [http] セクションに以下行を追加  timeout_inactive=yes    その後、インパクトの少ない時間帯に、以下手順でサービスのリスタート   Linux ゲートウェイ 5.x の場合 (インストール先を変更していないデフォルト設定の場合)  # cd /opt/f-secure/fsigk  # make restart
記事全体を表示
質問 NIC (LANカード) の TSO (TCP Segmentation Offload) オプションが有効な場合、サーバからの応答がない、又は、応答が遅いことがあります。 また、パケットキャプチャ結果に以下のエラーが発生し、直前のパケットのサイズがMTU (通常 1500 程度) より大きいです。    Destination unreachable (Fragmentation needed) NIC の TSO オプションが有効な場合、dmesg (診断情報の system/dmesg.txt) に以下の ようなメッセージが表示されます。   eth0: ... TSO ON   回答 [原因] NIC の TSO が正常に動作していない可能性があります。   [対応] 以下の手順で TSO を無効にして動作するかご確認ください。   1. TSOを無効にし、エラーが表示されないことを確認する。      # /sbin/ethtool -K eth0 tso off      (TSO機能がサポートされていない場合、以下のエラーが表示されます。)      (Cannot set device tcp segmentation offload settings: Operation not supported)     2. 起動時に無効にするため、以下のコマンドを/etc/rc.d/rc.localに追加する       # /sbin/ethtool -K eth0 tso off     3. サーバを再起動し、dmesgコマンドにて以下のようにTSOが無効になって        いることを確認する。       例: eth0: ... TSO OFF
記事全体を表示
質問 アンチウィルス Linux ゲートウェイ Ver 4.xx では、WEB 管理画面上で接続元及び接続先によるアクセス制御の設定変更及び内容変更が可能ですが、アンチウィルス Linux ゲートウェイ Ver 5.xx へのアップグレード後に同様の設定項目が表示されなくなりました。 Ver 5.xx でのアクセス制御の設定変更及び確認方法についてご教示ください。 バージョン4.xx での設定箇所: プロキシ設定(HTTP/SMTP/POP/FTP)   >アクセス制御    >接続元/接続先 回答 アンチウィルス Linux ゲートウェイ Ver 5.xx の場合は、WEB 管理画面上で接続元及び接続先によるアクセス制御の設定変更、及び、内容確認が出来ない仕様となっています。 このため、以下の手順にて設定ファイルを直接確認や編集していただく必要がございます。 【手順】 1. 設定ファイルを開きます。  /opt/f-secure/fsigk/conf/fsigk.ini 2. 下記パラメータにて設定内容を確認・変更します。  [http]  <接続元によるアクセス制御の場合>  acl_from= yes/no    (有効・無効の設定)       http_from=           (ホストの指定)  <接続先によるアクセス制御の場合>  acl_to= yes/no        (有効・無効の設定)         http_to=             (ホストの指定) 3. 下記スクリプトを実行することで変更した設定が反映されます。  # /opt/f-secure/fsigk/libexec/fsigk-reload.sh   【補足】 1. アクセス制御の記述方法については、以下の管理者ガイド(P56、「5.3 アクセス制御」の項目)をご参照下さい。    https://download.f-secure.com/corpro/igk/current/fsigk-5.22-adminguide-jpn.pdf 2. 他のプロキシ(SMTP/POP/FTP)を設定する場合には、「http_xx」の部分を「smtp_xx/pop_xx/ftp_xx」にご変更ください。
記事全体を表示
現象 Linux ゲートウエイを経由している状態で一部のサイトが表示されず、クライアント側、及び、Linux ゲートウイサーバ側で下記のようなエラーメッセージが出力される場合があります。 ※経由しない場合、問題無く表示できます。 クライアント側でのエラー: -------------------------------------------------------------------- 指定したウェブページを表示することができません。 入力した URL 等が正しくない可能性がございますのでご確認ください。 The server refuse to browse the page. The URL or other input may not be correct. Please confirm the value. URL: http://www.TARGET-HOST.com/japanese/index.html ERROR: CONNECT(www.TARGET-HOST.com:80)/connect: No route to host -------------------------------------------------------------------- Linux ゲートウエイサーバ側でのエラー: -------------------------------------------------------------------- 2014-12-26 09:02:08 : 1419552128.199     27 192.168.1.204 TCP_MISS/503 0 GET http://www.TARGET-HOST.com/japanese/index.html - DIRECT/2xx.2xx.1xx.5x - DETECT-STAT:CLEAN::::: ACTION:NONE: PROXY-STAT:http:60:4044:192.168.1.204:1:0:0:: PROTOCOL-STAT::: PROXY-ERROR:CONNECT(www.TARGET-HOST.com%3a80)/connect%3a+No+route+to+host: -------------------------------------------------------------------- 診断 「use_http11=yes」の設定や、ホスト名による検査対象外設定等を実施しても同様の事象が発生する場合、接続先サーバ側で特定の IP アドレスによるアクセス制御が行われている可能性がございます。 ※特定のホスト(Linux ゲートウエイを経由せず、許可されている IP アドレスを持つホスト)からのアクセスのみが可能な状態です。   「use_http11=yes」の設定につきましては以下 KB もご参照下さい。 【特定のサイトに接続できなかったり、応答が遅くなることがあります】 解決策 ブラウザ側 (IE 等) でプロキシ除外設定の対応を行う必要がございます。 www.TARGET-HOST.com/japanese/index.html - DIRECT/210.2
記事全体を表示
質問 Linux ゲートウェイ (インターネットゲートキーパー) で、特定のドメインからのメールを後方一致のルールで除外したいのですが、うまく動作しません。 回答 カスタム条件による SPAM 設定を利用して、特定のドメインからのメールをすべてSPAM、あるいは、すべて非 SPAM にする場合、「後方一致」による設定において、メールヘッダ内では該当メールアドレスが最後方に位置しない可能性があるため、正常に動作しない可能性がございます。   設定時は「比較方法」で「前方一致」、「後方一致」を利用せずに設定する (これにより全文検索のような動作となります) ことで期待された動作となります。   5.xx 設定例: ルール範囲:   送信者ヘッダ 文字列を一致:  @non_spam.com 一致オプション: 無設定 処理:       許可
記事全体を表示
現象 システム異常終了後、Linux ゲートウェイのスパム検査プロセス fsasd (fsasd-lnx32) プロセスが起動しなくなりました。 http/smtp/pop/ftp のプロキシプロセスや、パターンファイルの更新、スキャンは正常に行われています。fsasd だけが起動しません。 fsasd プロセスがいないと、メールのスパム検査が行えません (マルウェアのスキャンには影響はありません)。 診断 fsasd (fsasd-lnx32) 起動時に /var/log/messages に以下のメッセージが記録され、プロセスが終了しています。     fsasd-lnx32 : fsbspamd: failed to bind server socket (Address already in use) 解決策 システムの異常終了、および、fsasd-lnx32 の親プロセス (子プロセスを監視し、子プロセスの異常終了時には子プロセスを再起動します) の異常終了 (SIGKIL での停止等) が発生すると、fsasd-lnx32 のソケットファイル fsasd-socket が残ってしまいます。 fsasd-lnx32 起動時に fsasd-socket ファイルが残存していると、 Address already in use のメッセージで fsasd-lnx32 は異常終了します。   次期バージョンにおいてはこの fsasd-socket が残存していても適切に処理して、fsasd-lnx32 が起動できるように対応します。   暫定対処として、「診断」のメッセージが記録されて、fsasd-lnx32 が起動しない場合は、以下のように一旦 fsasd-socket ファイルを root ユーザにて削除し、fsasd (fsasd-lnx32)  を手動で起動してください (システムの再起動は不要です)。   0. fsasd-socket ファイルを確認する      5.x の場合    # ls -l /opt/f-secure/fsigk/fsasd-socket   1. fsasd-socket ファイルを削除する      5.x の場合    # rm /opt/f-secure/fsigk/fsasd-socket   2. fsasd (fsasd-lnx32) を手動起動      5.x の場合    # service fsigk_fsasd start    Starting F-Secure Anti-Spam daemon (fsasd):                   [   OK   ]    # service fsigk_fsasd status    F-Secure Anti-Spam daemon (fsasd) is runnung  (pid  XXXXX)    
記事全体を表示
質問 v4.x では、webui から設定を変更すると対象のプロキシのみ再起動されていましたが、v5.10 では、webui から設定を変更すると fsavd, fsaua, fsupdated など他のプロセスも再起動される場合があります。   v4.x  と同様にプロキシの再起動だけを行いたいです。 回答 /opt/f-secure/fsigk/conf/fsigk.ini の設定をエディタで直接編集変更した場合、各プロキシの再起動のみで正常に動作致します。   詳しくは以下アドミンガイドの P25 [7.1 Configuration file settings] をご参照下さい。 【fsigk v5.10 アドミンガイド】 http://download.f-secure.com/corpro/igk/current/fsigk-5.10.12-rtm-adminguide-eng.pdf   webUI にて設定変更されます際には fsigk.ini 以外の設定も変更が可能となりますため、webUI からの変更では他プロセスの再起動も伴いますよう設計変更されております。   大変申し訳御座いませんが、fsigk.ini 以外の設定項目と他プロセスとの紐付けは公開されておりません。
記事全体を表示
質問 FTP で、接続、及び、ログインはできるが、ファイル一覧表示・ファイル送受信で停止する、又は、拒否される。(FTP プロトコルの LIST, NLST, RETR, STOR, STOU コマンドが実行できない) 他のプロトコル (HTTP, SMTP, POP) では問題なく動作する。 回答 [原因と対応] FTP プロトコルでは、接続・ログイン時は一つの TCP 接続 (コントロールセッション) のみを利用します。 しかし、ログイン後、ファイル一覧表示・ファイル送受信 (FTP プロトコル のLIST, NLST, RETR, STOR, STOU コマンド実行時) は、別のセッション (データセッション) を利用します。 そのため、ファイル一覧表示・ファイル送受信を行うには、コントロールセッションとデータセッションの両方について、クライアント => Linux ゲートウェイ => サーバ の間で通信ができる必要があります。 ファイアウォールの設定でこのような通信を拒否していないかご確認ください。 特に、ファイアウォール等で Passive モードでの通信のみ許可している場合、Active モードでの通信ができないことがあります。 この場合、ファイアウォールの設定を確認するか、Passive モードでご利用ください。   また、透過型でご利用の場合、FTP クライアントからのコントロールセッションの接続先は FTP サーバに、FTP サーバから見たコントロールセッションの接続元 IP アドレスは FTP クライアントになります。 しかし、通常、FTP のデータセッションについては、Passive モードではクライアントからの接続先アドレスと Linux ゲートウェイからサーバへの接続元アドレス、Active モードではサーバからの接続先アドレスと Linux ゲートウェイからクライアントへの接続元アドレスが Linux ゲートウェイのアドレスになります。 FTP の通信ができない場合、このような場合にファイアウォールが拒否していないかご確認ください。   Linux ゲートウェイからサーバへの接続時、および、FTP のデータセッションで IP アドレスを保持する必要がある場合、tproxy パッチ適用済みカーネルが必要になります。
記事全体を表示
質問 Linuxゲートウェイで、bspamエンジンの適用・動作を確認する方法を教えて下さい。 回答 bspamエンジンが適用されると、以下フォルダがシステム上に確認できます。   install_dir/databases/commtouchunix.xxxxxxxxxx/libfsbts.so ※xxxxxxxxxx は、1411454529 以降の値   エンジンの動作は、/var/log/messages に出力される以下のログの有無にて確認可能です。   fsbspamd: started   bspam エンジンは 'F-Secure Commtouch Update 2014-09-23_01' (commtouchunix version 1411454529, 日本時間 2014年9月24日 12:00 以降配信開始) 以降で配信されています。 また、この時間以降にダウンロードされる fsdbupdate9.run にも含まれています。     
記事全体を表示
POP プロキシでは検出されず、同じメールを Web メールで開く事によって HTTP プロキシでマルウェアが検出される場合が御座います。   このような検出の場合(ローカルで動作しているスキャンでは、受信したメールにマルウェアが検知されない 場合)、メールそのものにはウイルス・悪意のあるコードは存在せず、Webメ ールでの HTTP GET リクエストによる外部サーバからのデータのスキャンでの 検知の可能性が非常に高いと判断されます。   同じメールが POP プロキシ及び SMTP プロキシでマルウェアが検出されないのは、弊社製品のメールプロトコルでの 検出と HTTP での検出に検出能力の差異があるという事では無く、本メールそのものとは直接関連 しない特定のマルウェア、あるいは意図しないコードの動作により、HTTP レスポンス内部に 悪意のあるコードが埋め込まれる場合(偶然によるものも含めて)があるためとなります。   該当のメールの HTTP レスポンスによりマルウェアが検知がされました場合、例え同一EMLファイルであったとしても、それは MTA 経由でのスキャンではマルウェアの検知を 再現する事ができません。   ご心配が御座います場合には、弊社にて確認させて頂きますので、該当のファイル(メール) を以下弊社ラボまで、以下のパスワード付で圧縮しました後、ご送付下さい。   ※パスワードは「infected」にて御願い致します。   japan-samples@f-secure.com   ※2016年7月11日12:00より検体送付窓口が下記アドレスに変更となります。  新アドレス:japan-samples@file-samples.f-secure.com
記事全体を表示
質問 アンチウイルス Linux ゲートウェイで、smtp プロキシを再起動すると配送中のメールへの影響はありますか? 回答 アンチウィルス Linux ゲートウェイ製品の smtp プロキシのプロセス再起動時には、プロセスが行っている処理が完了した時点でプロセス停止致しますので、メールがスキャンされなかったり、処理中のメールがロストしたりすることはありません。 プロセス起動中はクライアント側で送信が待たされ、プロセス起動後に順次処理が行われます。
記事全体を表示
以下の手順で、Linuxゲートウェイにホットフィックス3の適用が可能です。 本ホットフィックスはLinuxゲートウェイVer5.00に含まれるライブラリファイル(libgcc_s, libstdc++.so)を、 最新のスキャンエンジンに対応するため更新致します。 作業の実施前には必ずホットフィクスのリリースノート(英語)もご確認下さい。 ※以下、ホットフィックスのダウンロード URL 及びリリースノートとなります。 ホットフィックスのダウンロード URL: https://download.f-secure.com/corpro/igk/current/fsigk-5.00-hf3.tar.gz リリースノート (英文) の URL: https://download.f-secure.com/corpro/igk/current/fsigk-5.00-hf3-readme.txt [ホットフィックス3の適用手順] 1.パッチをダウンロードし、解凍して下さい。 2.解凍ディレクトリに移動し、以下のコマンドを実行します。 # ./fsigk-5.00-hf3.sh [実行例] [root@localhost fsigk-5.00-hf3]# ./fsigk-5.00-hf3.sh stopping /opt/f-secure/fsigk daemons: Stopping F-Secure Internet Gatekeeper HTTP proxy (fsigk_htt[ OK ] Stopping F-Secure Internet Gatekeeper SMTP proxy (fsigk_smt[ OK ] Stopping F-Secure Internet Gatekeeper POP proxy (fsigk_pop)[ OK ] Stopping F-Secure Internet Gatekeeper FTP proxy (fsigk_ftp)[ OK ] Stopping F-Secure ICAP Service (fsicapd): [ OK ] Stopping F-Secure ORSP client daemon (OrspService): [ OK ] Stopping F-Secure Anti-Virus daemon (fsavd): [ OK ] Stopping F-Secure Anti-Spam daemon (fsasd): [ OK ] Stopping F-Secure Update Daemon (fsupdated): [ OK ] Stopping F-Secure Automatic Update Agent (fsaua): [ OK ] installing libgcc_s-4.1.2-20080825.so.1 to /opt/f-secure/fsigk/fssp/lib ... installing libstdc++.so.6.0.8 to /opt/f-secure/fsigk/fssp/lib ... starting /opt/f-secure/fsigk daemons: Starting F-Secure Automatic Update Agent (fsaua): [ OK ] Starting F-Secure Update Daemon (fsupdated): [ OK ] Starting F-Secure Anti-Spam daemon (fsasd): [ OK ] Starting F-Secure Anti-Virus daemon (fsavd): [ OK ] Starting F-Secure ORSP client daemon (OrspService): [ OK ] Starting F-Secure ICAP Service (fsicapd): [ OK ] Starting F-Secure Internet Gatekeeper FTP proxy (fsigk_ftp)[ OK ] Starting F-Secure Internet Gatekeeper POP proxy (fsigk_pop)[ OK ] Starting F-Secure Internet Gatekeeper SMTP proxy (fsigk_smt[ OK ] Starting F-Secure Internet Gatekeeper HTTP proxy (fsigk_htt[ OK ] hotfix applied ok for /opt/f-secure/fsigk 3.各パッケージのバージョンが以下のようになっていれば、ホットフィックス3は適用されております。 [root@localhost fsigk-5.00-hf3]# ls -al /opt/f-secure/fsigk/fssp/lib | grep libgcc_s* -rwxr-xr-x. 1 root root 45152 Feb 8 00:54 libgcc_s-4.1.2-20080825.so.1 lrwxrwxrwx. 1 root root 28 Feb 8 00:54 libgcc_s.so.1 -> libgcc_s-4.1.2-20080825.so.1 [root@localhost fsigk-5.00-hf3]# ls -al /opt/f-secure/fsigk/fssp/lib | grep libstdc++* lrwxrwxrwx. 1 root root 18 Feb 8 00:54 libstdc++.so.6 -> libstdc++.so.6.0.8 -rwxr-xr-x. 1 root root 925520 Feb 8 00:54 libstdc++.so.6.0.8 ※注意事項 1.本ホットフィックス適用時、サービス再起動が発生致します。 2.本ホットフィックス適用後、OS再起動の必要はございません。 3.LinuxゲートウェイVer5.00が複数インストールされている環境でも、本ホットフィックスを適用することが可能です。  ※詳細はfsigk-5.00-hf3-readmi.txtの「5.Installation」をご参照下さい。  
記事全体を表示
 例えば、メールを「your_domain1.com」と「your_domain2.com」への送信のみに制限する場合、/opt/f-secure/fsigk/conf/fsigk.iniファイルにあるacl_rcptフィールドで設定を有効にし、smtp_rcptフィールドで設定を適用するドメインを指定します。 /opt/f-secure/fsigk/conf/fsigk.ini acl_rcpt=yes smtp_rcpt=your_domain1.com your_domain2.com 上記設定は下記コマンドを実行することによりsmtp_rcpt=の値がhosts.allowファイルに反映されます。 # /opt/f-secure/fsigk/libexec/fsigk-reload.sh また、受信先ドメインの設定を行なうと、設定したドメイン以外へのメール送信が行なえなくなり、LAN設定にて指定されたネットワーク(ホスト)からのみ他ドメインへのメール送信が許可されます。「192.168.1.xxx」または「192.168.2.xxx」から他のドメイン宛に送信を許可するには、Web管理画面のSMTP>LAN設定から、「LAN設定」を有効にし、「LAN内のホストとネットワーク」にIPアレスを設定して[保存してロード]をクリックし設定を反映させて下さい。 LAN内のホストとネットワーク:192.168.1.0/255.255.255.0                             192.168.2.0/255.255.255.0
記事全体を表示