ビジネスセキュリティ

ソート順:
質問 Linux セキュリティ  フルエディションにおけるスキャン実施時の下記エラーについて教えて下さい。   エラー内容: fsma: F-Secure Linux Security: Time limit exceeded while scanning [FileName] 回答 本エラーは、リアルタイムスキャンの実施中にファイルアクセスの負荷が多い場合や、ウイルス検査に十分な CPU リソースを確保できない場合、スキャンタイムアウト時間に達し、本メッセージが出力される可能性がございます。   以下の弊社 FAQ に記載されている方法でスキャンタイムアウト時間の設定変更を行って頂きますと事象の発生を回避出来る可能性がございますので、こちらの対応をご検討ください。   【Linux セキュリティのスキャンタイムアウト時間の変更方法】
記事全体を表示
質問 Linux セキュリティで 「File is too large」 のエラーが出力されます。 回答 従来より、Linux セキュリティでは 2GB 以上のサイズのファイルのスキャンは設計上出来ません。 2GB 以上のサイズをスキャンする場合、以前のバージョンではスキャナによるエラー出力はありませんでしたが、バージョン 10.20 以降にて本エラーが出力されるようになりました。
記事全体を表示
質問 Linux セキュリティ フルエディションのスタンドアロン環境でも policy.bpf ファイルを用いて設定項目の強制をする事が出来ますか? 回答 通常、設定情報(ポリシー)の強制(確定)は、ポリシマネージャからポリシーを配布することで行います。 しかしながら、特にウェブ管理画面での設定項目の変更を制限する必要がある場合、スタンドアロン環境でも policy.bpf ファイルを用いて設定いただけます。   設定項目の強制は、policy.bpf ファイルにより、各設定項目に対して「確定」と指定することで行います。 「確定」と指定した項目については、ウェブ管理画面上で変更することができなくなります。 この場合の手順は以下の通りとなります。この手順は Windows ポリシーマネージャを使う場合の例となります。   1. ポリシマネージャ (PM) のインストール 以下の場所から Windows ポリシーマネージャ製品を選択してダウンロードし、ポリシマネージャサーバ (PMS) とポリシマネージャコンソール (PMC) をインストールします。   https://www.f-secure.com/ja_JP/web/business_jp/downloads   2. ポリシマネージャコンソール (PMC) を起動します。 接続先ホストは http://localhost に設定します。 また、鍵 (admin.pub, admin.prv) を生成します。 (鍵はデフォルトで C:\Program Files\F-Secure\Administrator\ に保存されます。 admin.pub/admin.prv がないとポリシーを更新できませんので、バックアップを取ってください。)   メニューから[表示]=[詳細モード]を選択し、詳細モードにします。 メニューから[表示]=[組み込み制約エディタ]を選択し、「確定」などの"アクセス制限"を表示します。   3. MIB ファイルのインポート PMC でメニューから[ツール]=>[インストールパッケージ]を選択します。 Linux サーバセキュリティのパッケージに含まれる "fsav_linux_xxx_mib-signed.jar" を指定してインポートします。   4. PMC 上でホストの作成 PMC のポリシードメイン上でルートを選択し、右クリックメニューで[新規ホスト]を選択します。ホスト名は適当に "testhost" などを指定します。   5. ポリシー設定 "testhost" を選択し、真ん中のウィンドウでポリシーを設定します。 関係する製品名は以下の通りです。 「エフセキュア Linux セキュリティ フル エディション」(全般) 「F-Secure セキュリティ プラットフォーム」 (マニュアル検査関連の設定) 「F-Secure 自動更新エージェント」(自動更新関連の設定) 単に設定した場合、クライアント側の設定 (policy.ipf) で上書きされてしまう可能性があります。 設定値を強制するため、PMC の右ウィンドウで、設定した項目の[アクセス制御]の[確定]をチェックします。   6. ポリシーのエクスポート ポリシードメインで設定ホスト ("testhost") を選択し、メニューの[ファイル]=[ホストのポリシーファイルのエクスポート]を選択し、ポリシーをエクスポートします。ファイル名は "policy.bpf" とします。   7. Linux セキュリティ フルエディションをインストール スタンドアロンモードでインストールします。   8. 鍵とポリシーを Linux サーバにインストール 2 で作成した "admin.pub", "admin.prv" 及び、6 で作成した "policy.bpf" を Linux サーバの "/etc/opt/f-secure/fsma/policy/" ディレクトリにコピーします。 (admin.pub は既存の空ファイルに上書きします) なお、admin.prv は設定を行うための鍵になりますので実際には不要です。 policy.bpf の書き換えできないようにする場合、こちらのファイルはコピーしません。逆に、メンテナンスなどで設定変更の可能性が考えられる場合は、念のためコピーやバックアップを作成してください。 コピー後は "/etc/init.d/fsma restart" でサービスを再起動します。 上記手順で設定を制御いただけます。   また、定義ファイルについては、弊社定義ファイルサーバからダウンロードします。
記事全体を表示
質問 Linux セキュリティでアンインストールが失敗し、再度アンインストールコマンドの実行が行えません。 回答 このような場合は、以下コマンドにてアンインストールを試行して下さい。 # /opt/f-secure/fssp/sbin/uninstall-fssp   その後、下記ディレクトリの手動削除も行って頂けます様よろしくお願い致します。 # rm -rf /opt/f-secure /etc/opt/f-secure /var/opt/f-secure
記事全体を表示
質問 Linux セキュリティにおけるパターンファイルアップデート時のCPU利用率が高いのは何故ですか? 回答 Linux セキュリティでは、できるだけ速くパターンファイルアップデートを終了するため、なるべく CPU を効率よく利用して、アップデート処理を行います。そのため、アップデート中の CPU 利用率は高くなります。   空いている CPU をなるべく利用するという動作は、本製品を含めた Linux 上の全てのプロセス共通の動作になりますので、動作中の CPU 利用率を直接下げることはできません。 しかし、CPU を占有するわけではありませんので、他のプロセスと CPU を分け合い同時に動作することが可能です。
記事全体を表示
質問 Linux セキュリティコマンドラインエディションでスキャン結果のメール通知はできますか? 回答 製品としてそのような機能はありませんが、fsav コマンドの後に|(パイプ)で区切ってmail コマンドを入力することで、スキャン結果をメール送信することが可能です。 以下メールで通知する際のサンプルコマンドです。   # fsav --auto --action1=disinf --action2=rename /home 2>&1 | mail -s "Scan_Report" admin@localhost   このコマンドでは、「/home 以下をスキャンし、検査したファイル名をフルパスで表示、感染ファイルがあれば駆除>名前変更の順に処理を行い、処理の確認は行わない」というスキャン結果と標準エラー出力を、“Scan_Report” というタイトルのメールで、admin@localhost というアドレスにメールで送信します。 終了コードによってメールの送信の実施を制限したい場合は、以下のようなコマンドを実行してください。   # fsav --auto --action1=disinf --action2=rename /home > /var/opt/f-secure/fsav/log/tmp.log 2>&1 ; if [ $? != 0 -a $? != 9 ] ; then cat /var/opt/f-secure/fsav/log/tmp.log | mail admin@localhost ; fi   上記の場合は、終了コードが 0 でも 9 でも無い場合にメールを送信します。 終了コードの詳細については、fsavのManページ(# man fsav)をご参照ください。
記事全体を表示
質問 fsaua の起動時に F-Secure 更新サーバへの自動接続を行わない設定はありますか? 回答 Linux セキュリティ フルエディション製品の場合 Web 管理画面の詳細設定モードにおいて、「基本設定 -> 自動更新」メニューの「自動更新は有効」のチェックを外してください。デフォルトはチェックが入っており、自動更新は有効になっています。 その後、fsaua サービスを再起動すると、自動更新が無効になっているため、起動時の更新サーバへの接続が行われなくなります。   fsauaの再起動 #  service fsaua restart   Linux セキュリティ コマンドラインエディションの場合 設定ファイル (/etc/opt/f-secure/fsaua/fsaua_config) に以下の1行を挿入してください。その後、fsaua の再起動を行いますと、F-Secure 更新サーバに接続しなくなります。 なお、この方法は非公開の方法であり、正式にはサポートしておりません。このため、将来的に機能しなくなる可能性もあります。非サポートのオプションのため、何らかの不具合が発生した場合には、この設定を削除することが対応となることを予めお知らせしておきます。   aua_enabled=no   fsauaの再起動 # service fsaua restart     注意: 自動更新を無効にした場合でも、外部接続が行える環境では dbupdate コマンド実行をトリガとする fsaua による更新確認と更新処理は機能します。 この場合の dbupdate コマンドは更新要求と、バックグラウンドで実行される更新処理状況のモニタを提供します。dbupdate コマンドでは 15 分のタイムアウト時間が設定されていますので、更新処理が15 分以内に完了しない場合 dbupdate コマンドはタイムアウト終了しますが、バックグラウンド処理は継続して実行されています。   外部接続が行えない環境では、dbupdate fsdbupdate9.run コマンドで手動更新を行ってください。   上記の設定を行う場合でも、fsaua/fsupdated のプロセスは、パターンファイルの取得、および取得したパターンファイルを使ってのデータベース更新に必要な常駐プロセスとなります。  
記事全体を表示
いくつかの原因の可能性があります。 以下の事象とそれぞれの事象の対処方法がありますので、お試しください。これらに該当しない場合には、診断情報 fsdiag の出力を添えて、サポートセンターまでお問合せください。   【事象①】 Linux セキュリティ フルエディションを 64bit の CentOS および RHEL にインストール後、WebUI のステータスに「警告データベースに接続できません。」と表示される。 正常に使用できていて、突然表示されるようになった場合はこれには該当しません。   【原因①】 zlib.i686 のパッケージがインストールされていない場合に、本現象が発生する可能性があります。   【対処方法①】 zlib.i686 をインストール後、再度お試し下さい。    ------------------------------------------------------------------------------------------------   【事象②】 Linux セキュリティ フルエディションの WebUI で「警告データベースに接続できません」とメッセージが表示される。 関連のログファイル(postgresql.log)には以下のメッセージが記録されている。 FATAL: password authentication failed for user "fsalerts" 【原因②】 fsav-config 実行において、ユーザが fsav-config の実行を途中で中断した場合に、タイミングによってこのメッセージが出力されることがあります。これは製品の障害ではありません。 警告データベースは、fsav-config の実行で作成され、このタイミングで fsalerts というユーザとパスワードが設定されます。そのパスワードは乱数から生成され、この値は PostgreSQL データベースに設定されるとともに、このデータベースに接続する WebUI の設定ファイルに格納されます。この二つの設定の間に fsav-config が中断された場合、設定情報が一致しなくなります。 WebUI はこの設定ファイル内のパスワードを使用し、警告データベースに fsalerts ユーザ権限でアクセスしますので、パスワードが一致しない場合に今回の現象が発生します。 fsav-config においてデータベースを作成後、リモートアクセス設定の質問が行われ、この処理の最後で WebUI の設定ファイルにパスワードを設定しますので、fsav-config の途中で中断された場合、中断のタイミングによっては作成済データベースのパスワードと WebUI 設定ファイル内のパスワードが一致しなくなり、結果的にパスワード認証エラーとなります。 【対処方法②】 改めて fsav-config コマンドを実行し、最後まで完了させることで解決します。 # /opt/f-secure/fsav/fsav-config   ------------------------------------------------------------------------------------------------   【事象③】 Linux セキュリティ フルエディションの WebUI で「警告データベースに接続できません」とメッセージが表示される。 関連のログファイル(postgresql.log)には以下のメッセージが記録されている。   LOG:  could not translate host name "localhost", service "28078" to address: Name or service not known WARNING:  could not create listen socket for "localhost" FATAL:  could not create any TCP/IP sockets   【原因③】 PostgreSQL は localhost という名前を使用して通信しようとしますので、localhost の名前解決ができない場合、ログに表示されるメッセージの原因となります。   【対処方法③】 /etc/hosts において localhost エントリが設定されているかをご確認ください。 設定されていない場合、/etc/hosts ファイルに localhost エントリを追加し、fsma サービスを再起動することで解決します。   例 127.0.0.1             localhost   ------------------------------------------------------------------------------------------------   【事象④】 Linux セキュリティ フルエディションの WebUI で「警告データベースに接続できません」とメッセージが表示される。 関連のログファイル(postgresql.log)に何も記録されない。正常時に記録される以下の PostgreSQL の起動時(サービス fsma の起動時)のメッセージが記録されていない。   LOG:  autovacuum launcher started LOG:  database system is ready to accept connections 【原因④】 postgresql.log ファイルの Owner は fsma, Group は fsc である必要があります。このファイルの Owner, Group がこれ以外に設定されている場合、PostgreSQL 起動スクリプトが正常に出力を行えなくなるため、PostgreSQL が起動できなくなります。結果的に「警告データベースに接続できません」のメッセージが発生します。   【対処方法④】 postgresqlo.log ファイルの Owner, Group をご確認ください。このファイルの Owner/Group が fsma/fsc でない場合、postgresql.log ファイルのパーミッションを fsma/fsc に正しく設定し、fsma サービスを再起動することで復旧します。   また、ファイルの Owner/Group が変更された原因の可能性として、ログローテーションが考えられます。 postgresql.log ファイルは、Linux セキュリティ  フルエディションで提供しているログローテーション設定を使い、ログがローテートされます。 ここで、お客様がログローテートの際に作成されるファイルの Owner/Group のデフォルト値 の設定を行うと、その設定が postgresql.log ファイルのログローテート時にも適用され、弊社で期待している fsma/fsc 以外の設定になります。 この結果、fsma ユーザで動作する PostgreSQL 起動スクリプトが書込を行えなくなります。   この場合の対応としては、/etc/logrotate.d/fs-linux-security ファイルの postgresql.log セクションに以下のように "create 0644 fsma fsc" 文を追加することで、予期しないファイルの Owner/Group が設定されることを防ぐことができます。   /var/opt/f-secure/common/postgresql/postgresql.log {         create 0644 fsma fsc         postrotate                 if [ -f /var/opt/f-secure/common/postgresql/data/postmaster.pid ]; then                         kill -HUP `head -n 1 /var/opt/f-secure/common/postgresql/data/postmaster.pid`;                 fi         endscript }   ------------------------------------------------------------------------------------------------   【事象⑤】 LinuxセキュリティフルエディションのWebUI で、「警告データベースに接続できません」とメッセージが表示される。 製品のインストールログ(fsav_install.log)には以下のメッセージが記録されている。 creating template1 database in /var/opt/f-secure/common/postgresql/data/base/1 ... FATAL:  could not create semaphores: No space left on device      【原因⑤】 弊社製品のインストール時に、セマフォ数の最大値に達した原因でPostgreSQLのデータベースが正常に作成できず、 PostgreSQLのデーモンが起動できない場合、「警告データベースに接続できません」のメッセージが出力されます。 【対処方法⑤】 セマフォ数の最大値を増やして頂き、製品の再インストールを実施して下さい。 ご参考まで、通常下記コマンドで現在のセマフォ数の最大値をご確認頂けます。 # cat /proc/sys/kernel/sem 出力例: 250 32000 32 128 (セマフォ数の最大値が「128」の場合) また、下記のコマンドで「/etc/sysctl.conf」の設定ファイルを編集することで、 セマフォ数の最大値を変更することが出来ます。 # echo "kernel.sem = 250 32000 32 200" >> /etc/sysctl.conf ※セマフォ数の最大値を「200」に変更した場合の例となります。
記事全体を表示
質問 Linuxセキュリティフルエディションにおける警告転送でのsyslogのfacility/priorityはどのようになりますか? 回答 Linuxセキュリティフルエディションにおける警告転送でsyslogを利用した場合のfacility/priorityは、それぞれ以下のようになります。 [facility]   facilityはデフォルトでは、"daemon"になっております。   集中管理環境の場合、ポリシーマネージャの以下の項目にて設定を変更頂けます。   F-Secure 管理エージェント(F-Secure Management Agent)     +設定(Settings)        +警告の送信(Alerting)           +警告エージェント(Alert Agents)              +システムロガー, syslog(System logger, syslog)                 +機能(Facility)   スタンドアロン環境の場合、以下のコマンドで設定を変更・取得いただけます。    設定取得:        /opt/f-secure/fsma/bin/chtest g 11.1.18.2.11.20    設定変更:        /opt/f-secure/fsma/bin/chtest ss 11.1.18.2.11.20 [facility(例:LOG_LOCAL0)]   設定可能なfacility文字列は以下の通りです。     LOG_AUTH/LOG_AUTHPRIV/LOG_CRON/LOG_DAEMON/LOG_FTP/LOG_KERN        /LOG_LOCAL0/LOG_LOCAL1/LOG_LOCAL2/LOG_LOCAL3/LOG_LOCAL4/LOG_LOCAL5/LOG_LOCAL6/LOG_LOCAL7        /LOG_LPR/LOG_MAIL/LOG_NEWS/LOG_SYSLOG/LOG_USER/LOG_UUCP [priority]   priorityとLinuxセキュリティフルエディションの警告レベルの関係は以下の通りです。   警告レベル                     syslogのpriority   -----------------------------------------------------------   情報(Informational,1)                                         => info   警告(Warning,2)                                                  => warning   エラー(Error,3)                                                      => err   重大なエラー(Fatal error,4)                            => emerg   セキュリティ警告(Security 5)                         => alert
記事全体を表示
現象 ローテーションの実施時、「/var/log/messages」に下記のエラーメッセージが出力され、ローテーション処理が失敗してしまいます。 logrotate: ALERT exited abnormally with [1]" 上記以外に、下記のようなエラーメッセージも多数出力されます。 error: stat of /var/opt/f-secure/fssp/dbupdate.log failed: Permission denied 診断 RedHat をご利用のお客様より本お問い合わせが御座いました。   SELinux の「Enforcing」モードが設定されている場合、SELinux のセキュリティコンテキストによる影響で「/var/log」以外のディレクトリ配下にあるログファイルが正常にローテートできない可能性がございます。 解決策 下記の Redhat サイトに記載のある解決策を行う必要がございます。 関連の Redhat ページ: https://access.redhat.com/solutions/39006
記事全体を表示
下記コマンドを実行することでデフォルトのファイルリストだけが表示されます。   # /opt/f-secure/fsav/bin/fslistfiles   追加したファイルを含めて全てのファイルリストを表示したい場合には、下記コマンドを使用してください。   # fsic -V --show-all   ※上記コマンドの実行結果内には不要な文字列が含まれますが、「fslistfiles」と同じようなフォーマットで出力したい場合には、下記のようなオプションにて、不要の文字列をカットをする事が出来ます。   例: # fsic -V --show-all | cut -c 12- | sed '1,5d' > /tmp/result.txt
記事全体を表示
質問 既知のファイルリストのリセット(削除)の方法について教えて下さい 回答 【既存ベースラインからデフォルトで登録されたファイルを一括削除】 下記コマンドを実行することで、デフォルトで登録された既知のファイルリストを一括削除することができます。 # /opt/f-secure/fsav/bin/fslistfiles | xargs fsic -d ※手動で追加したファイルについては削除されませんので、別途削除する必要が御座います。   【既存ベースラインから一部のファイルを一括削除】 ①.以下コマンドで登録されている既存ベースライン内容をファイル(fsiclist.txt)へ出力   # fsic -V --show-all | cut -c 12- | sed '1,5d' > /tmp/fsiclist.txt   ※ここでは、ベースラインのパスワードが求められますので、ご入力下さい。   ②.「fsiclist.txt」から削除したい一部ファイルを残して、別ファイル(/tmp/fsiclist_delete.txt)へ保存   ③.以下コマンドで「fsiclist_delete.txt」を元に削除したいファイルをベースラインから削除   # while read LINE ; do fsic -d ${LINE}; done < /tmp/fsiclist_delete.txt   ④.ベースラインを再作成   # fsic --baseline   ※ここでは、ベースライン作成のパスワードが求められますので、ご入力下さい。   【既存ベースラインから全てのファイルを一括削除】 ①.以下コマンドで登録されている既存ベースライン内容をファイル(fsiclist_delete_all.txt)へ出力   # fsic -V --show-all | cut -c 12- | sed '1,5d' > /tmp/fsiclist_delete_all.txt   ※ここでは、ベースラインのパスワードが求められますので、ご入力下さい。   ②.以下コマンドで「fsiclist_delete_all.txt」を元に全てのファイルをベースラインから削除   # while read LINE ; do fsic -d ${LINE}; done < /tmp/fsiclist_delete_all.txt 【参考情報】 また、下記コマンドを実行することで、デフォルトの既知ファイルリストを作成することができます。 # /opt/f-secure/fsav/bin/fslistfiles | xargs fsic -a
記事全体を表示
質問 Linux セキュリティフルエディションをアンインストールすると、iptables 設定が書き換わってしまいました。 これを防ぐにはどうしたらよいですか? 回答 Linux セキュリティフルエディションのインストーラは、インストール時にその時点の iptables 設定情報をファイルにバックアップし保持します。   Linux セキュリティフルエディションのアンインストール時には、ファイアウォール機能の有効/無効に関係なく、バックアップ・ファイルから iptables 設定情報をリストアし、現在の iptables 設定を上書きし、製品のインストール前の状態に戻す動作を行います。 ※LinuxセキュリティのFirewallデーモンを停止している場合には、製品アンインストール時にfirewall_rules.dmpからではなく/etc/sysconfig/iptablesからルールがリストアされます。   この動作による現在の iptables 設定の上書き操作を防ぐためには、以下の手順に従って、現在のiptables設定をバックアップファイルに上書きしてから、製品のアンインストールを行ってください。   [LinuxセキュリティフルエディションのFirewallデーモンを有効にして利用している場合] ①以下のコマンドで現状のiptablesルールを「/var/opt/f-secure/fsav/firewall_rules.dmp」に上書きします # iptables-save > /var/opt/f-secure/fsav/firewall_rules.dmp   ②製品をアンインストールします # /opt/f-secure/fsav/bin/uninstall-fsav   ③iptablesルールを保存します # service iptables save   ④OS再起動します # shutdown -r now   ⑤iptablesルールを確認します # iptables -L [LinuxセキュリティフルエディションのFirewallデーモンを無効(停止)にして利用している場合] ①既存のiptablesのルールを保存します # service iptables save   ②製品をアンインストールします # /opt/f-secure/fsav/bin/uninstall-fsav   ③OS再起動します # shutdown -r now   ④iptablesルールを確認します # iptables -L     注意 Linux セキュリティフルエディションのファイアウォール機能の有効/無効 (使用する/使用しない) に関係なく、このバックアップ・ファイルは作成されます。 これはフルエディションのみです。コマンドライン・エディションではファイアウォール機能はないため、この iptables の設定ファイルの製品インストール時のバックアップや、製品アンインストール時のリストアは行われません。
記事全体を表示
質問 Linux セキュリティフルエディションのファイアウォールを利用しないで、iptables 設定を個別で設定する方法を教えてください。 回答 Linux セキュリティフルエディションのファイアウォールはWeb管理画面からiptables を管理し、iptables を外部から変更できないような仕組みとなっております。また、iptables が個別で変更された場合でも、弊社のファイアウォールルールがiptables を上書きします。そのため、iptables 設定を個別で設定したい場合、以下の設定にて弊社のファイアウォール機能を完全に無効にする必要がございます。   ①.Web管理画面からファイアウォールを無効にする 詳細設定モードの画面にて ファイアウォール>基本設定>ファイアウォールを有効にする  項目をチェックしないようにして下さい   ②.fschooserのコマンドを使用してファイアウォールデーモンを停止する 下記手順にて、ファイアウォールのデーモンを停止します    1. 以下のコマンドを実行します。/opt/f-secure/fsav/sbin/fschooser    画面に製品のセキュリティコンポーネントが表示されます。    2. 画面の指示に従い、Firewall コンポーネントを無効にします。    Firewall - ENABLED, press f+RET to toggle    Web User Interface - ENABLED, press w+RET to toggle    3. 設定を適用するには、[RETURN] を押します。    注: 設定をキャンセルする場合、[ctrl+C] を押します。   [注意] コマンドラインエディションではファイアウォール機能はないため、上記の設定はございません。 既存のiptablesでの運用で、弊社のファイアウォールを利用しない場合には、以下のように「nofirewall 」オプションを指定することで、インストール時に事前に弊社のファイアウォール機能を完全に無効にすることができます。また、「fsav-config」コマンドの実行時についてもファイアウォール機能が自動有効になりますので、「fsav-config」実行時も以下のように「nofirewall 」オプションを指定する必要がございます。 インストール時 # ./fsls.11.xx.xxxx nofirewall   fsav-config実行時 # /opt/f-secure/fsav/fsav-config nofirewall     ポリシーマネージャで集中管理されている場合、下記手順にてポリシーにてファイアウォール設定を無効にすることが可能です。   <ポリシーマネージャによる集中管理されている場合> ①.ポリシー配布でファイアウォールを無効にする ポリシーマネージャコンソール(表示>詳細モード)  >ポリシー   >F-Secure    >F-Secure Linux Security     >Settings      >Firewall       >Firewall enabled=yes/no (yes:有効/no:無効) 「no」を指定して下さい   ※上記についてはポリシー受信後即時反映されます。   ②.ポリシー配布でファイアウォールデーモンを停止する ポリシーマネージャコンソール(表示>詳細モード)  >ポリシー   >F-Secure    >F-Secure Linux Security     >Settings      >Advanced       >Enabled Components        >Firewall=Enabled/Disabled (Enabled:有効/Disabled:無効)          「Disabled」を指定してください        
記事全体を表示
質問 Linuxセキュリティフルエディションで、パターンファイルの自動更新を停止する方法を教えて下さい。 回答 Linux セキュリティフルエディションで、パターンファイルの自動更新を停止するには以下の方法があります。   ・webUIで自動更新を無効に設定 または ・/opt/f-secure/fsma/bin/chtest s 42.1.11.1 0 にて設定   停止後は以下の動作となります。 ・設定直後からパターンファイル更新に行かなくなります ・ログには Agent started.. のみ残ります ・手動コマンド、fsdbupdate9.run での更新は可能です ・OS再起動時は一度更新しに行きます(Ver10.20以前のバージョンが該当。) ・手動更新のコマンドは  dbupdate となります
記事全体を表示
以下の手順で、Linuxゲートウェイにホットフィックス3の適用が可能です。 本ホットフィックスはLinuxゲートウェイVer5.00に含まれるライブラリファイル(libgcc_s, libstdc++.so)を、 最新のスキャンエンジンに対応するため更新致します。 作業の実施前には必ずホットフィクスのリリースノート(英語)もご確認下さい。 ※以下、ホットフィックスのダウンロード URL 及びリリースノートとなります。 ホットフィックスのダウンロード URL: https://download.f-secure.com/corpro/igk/current/fsigk-5.00-hf3.tar.gz リリースノート (英文) の URL: https://download.f-secure.com/corpro/igk/current/fsigk-5.00-hf3-readme.txt [ホットフィックス3の適用手順] 1.パッチをダウンロードし、解凍して下さい。 2.解凍ディレクトリに移動し、以下のコマンドを実行します。 # ./fsigk-5.00-hf3.sh [実行例] [root@localhost fsigk-5.00-hf3]# ./fsigk-5.00-hf3.sh stopping /opt/f-secure/fsigk daemons: Stopping F-Secure Internet Gatekeeper HTTP proxy (fsigk_htt[ OK ] Stopping F-Secure Internet Gatekeeper SMTP proxy (fsigk_smt[ OK ] Stopping F-Secure Internet Gatekeeper POP proxy (fsigk_pop)[ OK ] Stopping F-Secure Internet Gatekeeper FTP proxy (fsigk_ftp)[ OK ] Stopping F-Secure ICAP Service (fsicapd): [ OK ] Stopping F-Secure ORSP client daemon (OrspService): [ OK ] Stopping F-Secure Anti-Virus daemon (fsavd): [ OK ] Stopping F-Secure Anti-Spam daemon (fsasd): [ OK ] Stopping F-Secure Update Daemon (fsupdated): [ OK ] Stopping F-Secure Automatic Update Agent (fsaua): [ OK ] installing libgcc_s-4.1.2-20080825.so.1 to /opt/f-secure/fsigk/fssp/lib ... installing libstdc++.so.6.0.8 to /opt/f-secure/fsigk/fssp/lib ... starting /opt/f-secure/fsigk daemons: Starting F-Secure Automatic Update Agent (fsaua): [ OK ] Starting F-Secure Update Daemon (fsupdated): [ OK ] Starting F-Secure Anti-Spam daemon (fsasd): [ OK ] Starting F-Secure Anti-Virus daemon (fsavd): [ OK ] Starting F-Secure ORSP client daemon (OrspService): [ OK ] Starting F-Secure ICAP Service (fsicapd): [ OK ] Starting F-Secure Internet Gatekeeper FTP proxy (fsigk_ftp)[ OK ] Starting F-Secure Internet Gatekeeper POP proxy (fsigk_pop)[ OK ] Starting F-Secure Internet Gatekeeper SMTP proxy (fsigk_smt[ OK ] Starting F-Secure Internet Gatekeeper HTTP proxy (fsigk_htt[ OK ] hotfix applied ok for /opt/f-secure/fsigk 3.各パッケージのバージョンが以下のようになっていれば、ホットフィックス3は適用されております。 [root@localhost fsigk-5.00-hf3]# ls -al /opt/f-secure/fsigk/fssp/lib | grep libgcc_s* -rwxr-xr-x. 1 root root 45152 Feb 8 00:54 libgcc_s-4.1.2-20080825.so.1 lrwxrwxrwx. 1 root root 28 Feb 8 00:54 libgcc_s.so.1 -> libgcc_s-4.1.2-20080825.so.1 [root@localhost fsigk-5.00-hf3]# ls -al /opt/f-secure/fsigk/fssp/lib | grep libstdc++* lrwxrwxrwx. 1 root root 18 Feb 8 00:54 libstdc++.so.6 -> libstdc++.so.6.0.8 -rwxr-xr-x. 1 root root 925520 Feb 8 00:54 libstdc++.so.6.0.8 ※注意事項 1.本ホットフィックス適用時、サービス再起動が発生致します。 2.本ホットフィックス適用後、OS再起動の必要はございません。 3.LinuxゲートウェイVer5.00が複数インストールされている環境でも、本ホットフィックスを適用することが可能です。  ※詳細はfsigk-5.00-hf3-readmi.txtの「5.Installation」をご参照下さい。  
記事全体を表示
質問 Linux セキュリティの各ログの出力先と概要について教えて下さい。 回答 ●以下LinuxセキュリティフルエディションVer11.10の出力です   /var/opt/f-secure/fsaua/fsaua.log   自動更新エージェントのログ   /var/opt/f-secure/fsaua/fsauadbg.log   自動更新エージェントのデバックログ(デバックログの設定した場合のみ)   /var/opt/f-secure/fssp/aua_api.log   fsaua と fsupdated 間の動作に関するログ   /var/opt/f-secure/fssp/dbupdate.log   パターンファイル更新動作全体に関するログ   /var/opt/f-secure/fssp/log/fsupdated.log   パターンファイル更新に関するログ(fsupdate デーモンに関するログ)   /var/opt/f-secure/fsav/tomcat/catalina.out   Web管理画面の動作ログ   /var/opt/f-secure/common/postgresql/postgresql.log   PostgreSQL データベースのログ   /var/opt/f-secure/fsav/fsadhd.log   以下の警告データベース管理プロセスのログ   F-Secure Alert Database Handler Daemon (/opt/f-secure/fsav/bin/fsadhd.run)   /var/opt/f-secure/fsav/fsavpmd.log   fsavpmd (集中管理インターフェース) のログ   /var/opt/f-secure/fsav/fsfwd.log   ファイアウォールサービス (fsfwd) のログ   /var/opt/f-secure/fsav/fslmalerter.log   ライセンス管理サービス (fslmalerter) のログ   /var/opt/f-secure/fsav/fsoasd.log   リアルタイム検査サービス (fsoasd) のログ   /var/opt/f-secure/fsav/fsoasd-fsavd.log   リアルタイムスキャンで利用されるスキャンエンジン(fsavd)のログ   ※Ver11.10で追加(Ver11.00では本ログファイルは存在しません。)   /var/opt/f-secure/fsma/log/fsma.log   集中管理エージェント (fvch) に関するログ   /var/opt/f-secure/fssp/log/clstate_update.log   製品ステータス上位通知に関するログ   ※PSBモードで利用の場合のみ存在します。   /opt/f-secure/fsav/tomcat/logs/catalina.YYYY-MM-DD.log   /opt/f-secure/fsav/tomcat/logs/host-manager.YYYY-MM-DD.log   /opt/f-secure/fsav/tomcat/logs/localhost.YYYY-MM-DD.log   /opt/f-secure/fsav/tomcat/logs/manager.YYYY-MM-DD.log   管理画面 (WebUI) が使用している tomcat に関するログ   /opt/f-secure/fsav/install.log   Linuxセキュリティインストール時のログ ●以下LinuxセキュリティコマンドラインエディションVer11.10の出力です   /var/opt/f-secure/fsaua/fsaua.log   自動更新エージェントのログ   /var/opt/f-secure/fsaua/fsauadbg.log   自動更新エージェントのデバックログ(デバックログの設定した場合のみ)   /var/opt/f-secure/fssp/aua_api.log   fsaua と fsupdated 間の動作に関するログ   /var/opt/f-secure/fssp/dbupdate.log   パターンファイル更新動作全体に関するログ   /var/opt/f-secure/fssp/log/fsupdated.log   パターンファイル更新に関するログ(fsupdate デーモンに関するログ)   /opt/f-secure/fsav/install.log   Linuxセキュリティインストール時のログ
記事全体を表示
  この記事の情報は、F-Secure インターネットゲートキーパーバージョン 4.10以降を対象としています。   山括弧 <> はメッセージによって内容が異なるフィールドを示しています。山括弧は参考用でメッセージに表示されません。     エラーメッセージの内容   メッセージ   CRITICAL [<場所>] bind=Address already in use(98) (addr=<アドレス>, port=<ポート>). # Please check whether other service(mail/web server,etc...) is already running on port <ポート>.   説明   設定したポートとアドレスに接続できないため、サービスを開始できません。bind() の Linux システム コールで指定したポートが利用されます。このエラーは指定したポートが使用中で、bind() が失敗するときに表示されます。   解決策   ポートを使用している他のサービスを確認して、サービスを必要に応じて停止してください。サービスが必要な場合、本製品が使用しているポートを別のものに設定してください。“netstat –anp” (診断情報は "system/netstat_anp.txt") を実行すると各ポートが使用しているプロセスを確認できます。   メッセージ   WARNING [<場所>] Maximum connections: warning: Client connections reached maximum connections(<最大値>). More request will be blocked/rejected. If there is many warnings, please increase 'Maximum Connections' settings(pre_spawn value of virusgw.ini) of this service. (<暫定値> will be good value as start line).    説明   接続できるクライアントの上限に達したときにログされます。上限に達した場合、処理を続けるためにクライアントの接続数を下げる必要があります。   接続数の上限に達した場合、バックログ (Linux listen() システム コールのバックログ) は5に設定され、最大6つの TCP 接続を “ESTABLISHED” (確立) の状態に設定することが可能です。上限に達したときの接続要求に対しては “SYN_RECV” の接続状態が指定されます。また、Linux による TCP 接続は処理されません。   接続数の上限はアクセス ログにある内部プロセス ID (“PROXY-STAT:[サービス タイプ]:[内部プロセス ID]:..") から確認できます。内部プロセス ID (識別子は 0 で始まる) は番号が低いほど優先度が高くなります。そのため、[内部プロセス ID]+1) は対象となるプロセスの開始時の同時接続数に適用されます。 ポート番号の ESTABLISH ステータスは netstat コマンドで確認できます: # netstat -anp | grep :9080 | grep ESTABLISHED | wc -l    (ポート9080は例です)     解決策   状況: 表示されるメッセージの数が少なく (たとえば、1時間ごとに)、製品が正常に動作し、増加している接続数は一時的なことと思われます。解決策: 設定を変更する必要はありません。 状況: デフォルトではスキャンのタイムアウト値は90秒に設定されています。これを無効 (0に設定)、またはより大きい値に設定すると、特定のファイルに対するスキャンの時間が長くなり、接続数の上限に達する原因にもなります。 解決策: タイムアウト値をデフォルトの90秒に戻してください。 状況: 製品とサーバまたはクライアントの間にネットワークの問題がある場合、接続数の上限に達する可能性があります。 解決策: ネットワークの問題を解消してください。 状況: 上記以外の場合 (複数のエラーがログされる、スキャンのタイムアウト値が変更されていない、ネットワークの問題はない) でサーバにアクセスできない場合、接続数が上限を超えている可能性があります。 解決策: 接続数の上限を必要に応じて上げてください。クライアントの接続数が判断できない場合、次の暫定値でシステムを検証してください: HTTP 200、SMTP 50、POP 50、FTP 10。システムの検証後、設定を必要に応じて変更してください。通常の環境では接続数の上限を2000より下に設定することが適切です。   接続数の上限を上げた場合、接続数をより多く許可できる代わりに追加のメモリが必要となります。1つの接続に500 KB ほど使用されます。   メッセージ   WARNING [<場所>] getaddrinfo failed. admin_mx_host=[<ホスト名>] admin_mx_port=[<ホストのポート>] gai_strerror=[<エラー内容>]    説明   ウイルスまたはスパム検出時に管理者へ通知する設定の SMTP サーバ (/opt/f-secure/fsigk/conf/fsigk.ini の “admin_mx_host”) に接続できません。   解決策   SMTP サーバのホスト名を確認してください。   メッセージ   WARNING [<場所>] connect=<エラー メッセージ>(<エラー コード>) cannot connect to admin mail server[<ホスト名>:<ホストのポート>]    説明   ウイルスまたはスパム検出時に管理者へ通知する設定の SMTP サーバ (/opt/f-secure/fsigk/conf/fsigk.ini の “admin_mx_host” と “admin_mx_port”) に接続できましたが、エラーが発生しました。   解決策   SMTP サーバのホスト名とポート番号を確認してください。   メッセージ   WARNING [<場所>] smtp error: Send command line: buf=[<応答行>] (expected <応答行>)    説明   ウイルスまたはスパム検出時に管理者への通知に使用される SMTP の応答メッセージがエラーを返しました。 送信コマンドが SMTP の接続ステータスを示します。"HELO/MAIL FROM/RCPT TO/DATA/QUIT" (各コマンドが送信された場合)、"GREETING" (接続が開始された場合) または "DATA END" (データが送信された場合) のいずれかを選択できます。   解決策   設定した SMTP サーバにメールを送信できるか [応答行] を確認してください。   メッセージ   CRITICAL [<場所>] semget=<エラー メッセージ>(<エラー コード>) semget failure. Childnum(pre_spawn=<Maximum value>) may be large. If needed, maximum semaphore number(SEMMNI) can be increased by adding a line like 'kernel.sem=250 128000 32 512' in '/etc/sysctl.conf' and running 'sysctl -p'.    説明   セマフォが確保できないため、サービスを開始できません。   解決策   サービス プロセス (fsigk_xxx) を中断した場合 (“kill -KILL” コマンドを使用してなど)、セマフォが解放されていなく、システム プロセスに残っているときにエラーが発生する可能性があります。その場合、サーバ (オペレーティング システム) を再起動してください。使用中のセマフォは “/proc/sysvipc/sem” から確認できます。   接続数の上限が高く設定されている場合、セマフォがより多く必要となるため、エラーが発生する可能性が高くなります。接続数の上限は2000より下に設定し、絶対に必要な場合を除いて2000以上に設定しないでください。通常の環境では接続数の上限を2000より下に設定することが適切です。   本製品はプロセスの数に応じてセマフォを必要とします。接続数の上限を上げたり、他のプロセスが多くのセマフォを使用とする場合、オペレーティング システムが使用できるセマフォの数を上げる必要があります。次の方法でセマフォの数を上げることができます。   次の行を /etc/sysctl.conf に追加します: kernel.sem=250 128000 32 512 次のコマンドを実行します: # sysctl -p 次のコマンドでセマフォの数が設定されたことを確認します: # cat /proc/sys/kernel/sem 250 128000 32 512 メッセージ   WARNING [<場所>] sendfile timeout: No data can be sent for 120 seconds. There may be a temporary network problem between receiver. / URL=[<URL>], n=<カウント>, written=<カウント>, filelen=<カウント>, writesize=<カウント>    説明   120秒以内にデータが送信されていないことでセッションが切断されたときにログされます。   解決策   ネットワークに問題があるか確認してください。   メッセージ   WARNING [<場所>] Too large header (><バイト制限>) ignored. URL=[<URL>]    説明   HTTP レスポンス ヘッダが大きい (17 KB 以上) 場合に表示されます。サービスは正常に動作しています。   解決策   特定のURL またはブラウザで問題が発生するか確認してください。   メッセージ   CRITICAL [<場所>] not enough diskspace in temporary directory [<ディレクトリ名>]. (<カウント> kB free?)(ret=<リターン コード>)    説明   一時ディレクトリの空き容量が5 MB未満の場合に表示されます。サービスは開始されません。   解決策   一時ディレクトリの空き容量を増やしてください。   メッセージ   CRITICAL [<場所>] Realtime virus scan seems to be enabled. Please stop realtime virus scan, or exclude scanning for temporary directory(<ディレクトリ名>)    説明   アンチウイルス ソフトウェアの検出時および一時ディレクトリにリアルタイム ウイルス保護が有効の場合に表示されます。サービスは開始されません。   解決策   リアルタイム ウイルス保護を完全に無効にしてください。または一時ディレクトリを対して無効にしてください。   メッセージ   WARNING [<場所>] [<検出時のアクション>]:smtp error:[<送信コマンド名>]: buf=[<応答行>]    説明   ウイルスまたはスパム検出時に送信者/受信者への通知に使用される SMTP の応答メッセージがエラーを返しました。   [ウィルス検出時の動作] のオプションが「ブロック」、「削除後、受信者へ通知」、「削除」に設定されています。   送信コマンドが SMTP の接続ステータスを示します。"RSET/MAIL FROM/RCPT TO/DATA/QUIT" (各コマンドが送信された場合)、または "DATA END" (データが送信された場合) のいずれかを選択できます。   解決策   設定した SMTP サーバにメールを送信できるか [応答行] を確認してください。   メッセージ   WARNING [<場所>] NOOP command reply error [<応答行>]    説明   NOOP コマンドが FTP サーバに送信され、200以外が返された場合に表示されます。   解決策   FTP サーバが接続されていない、または NOOP コマンドに応答していないか確認してください。   メッセージ   CRITICAL/WARNING [<場所>] System call=Too many open files in system(23) <エラー メッセージ>    説明   開いているファイルが多すぎることを示します。システムで開けるファイルの上限に達したときにメッセージが表示されます。   次の方法で /proc/sys/fs/file-nr が処理したファイルの数を確認できます。 # cat /proc/sys/fs/file-nr [ファイル ハンドラ数] [使用中のファイル ハンドラ] [ファイル ハンドラの上限] (例: # cat /proc/sys/fs/file-nr 1864 504 52403)    解決策   “lsof” コマンドなどを使用して、ファイル ハンドラを多く使用しているプロセスがあるか確認してください。 システムに問題がなく、ファイル ハンドラの数が上限に近づいている場合、“/proc/sys/fs/file-max” を次のように変更することでファイル ハンドラの数を上げられます。   sysctl.conf (ファイル ハンドラ数の上限が65535に変更されます) に次の行を追加します: fs.file-max = 65535 変更を適用するために次のコマンドを実行してください: sysctl -p メッセージ   CRITICAL/WARNING [<場所>] open=No such file or directory(2) <エラー メッセージ>    説明   本製品で使用される一時ファイルが開けない場合に表示されます。   解決策   一時ファイルがコマンドまたは別のプログラムによって削除されたか確認してください。   メッセージ   CRITICAL [<場所>] Cannot find tproxy(version2) interface. Tproxy kernel patch is required. Please apply the tproxy patch and check that "/proc/net/tproxy" exists. Please see document for "transparent_tproxy" settings for details.    説明   TPROXY の使用設定 (ソース IP が使用され、transparent_tproxy=yes") が行われ、tproxy パッチが動作していないときに表示されます。   解決策   tproxy パッチがカーネルに適用されていない可能性があります。/proc/net/tproxy が存在するか確認してください。 Turbolinux 10 Server を使用している場合、次のことに注意してください: - kernel-2.6.8-5 以降を使用する必要があります。“uname -a” コマンドを使用して、カーネルのバージョンが 2.6.8-5 以降であることを確認してください。カーネルが古い場合、Turbolinux10 のカーネルをアップデートしてください。    iptable_tproxy モジュールを実装する必要があります。“iptable_tproxy” モジュールが “lsmod” コマンドの結果に含まれているか確認してください。含まれていない場合、次の方法でモジュールを含めてください: /etc/sysconfig/iptables-config で、iptables が iptable_tproxy を読み込むように IPTABLES_MODULES の行を次のように変更します: IPTABLES_MODULES="iptable_tproxy" iptables を再起動します: # /etc/rc.d/init.d/iptables restart /proc/net/tproxy が存在するか確認します。 インターネット ゲートウェイを再起動します。 tproxy(version1) を使用している場合、"transparent_tproxy_version=1" を設定ファイルに追加し、サービスを再起動してください。tproxy version1 は今後未対応になる可能性がありますので version2 の使用を推奨します。   メッセージ   WARNING [<場所>] vsc_start() error    説明   ウイルス定義ファイルまたはスキャン エンジンのライブラリを読み込みできません。   解決策   ウイルス定義ファイルまたはスキャン エンジンのファイルが削除された場合、次のコマンドでインストールを上書きしてください:    rpm パッケージ: # rpm -Uvh --force fsigk-xxx-0.i386.rpm  deb パッケージ: # dpkg –r fsigk # dpkg –i fsigk-xxx_all.deb    SELinux を使用している場合、/var/log/messages にエラーがあってポリシーがプロセスの読み込みを拒否しているか確認してください。また、SELinux を無効にしてエラーが発生するか確認してください。/etc/sysconfig/selinux で "SELINUX=disabled" を変更することで SELinux を無効にできます。無効にした後、サーバを再起動してください。   メッセージ   WARNING [<場所>] child(<インデックス>) stopped.(sig=17[SIGCHLD], si_code=3[CLD_DUMPED],status=<チャイルドのステータス>, childid=<ID>, cur_pid=<処理 ID>,pid=<チャイルド プロセス ID>    WARNING [<場所>] core dumped(child proxy process). Please send core file(core or core.xxx) on the installation directory and diag.tar.gz to support center. (child=<インデックス>,sig=17[SIGCHLD], si_code=3[CLD_DUMPED],status=<チャイルドのステータス>(<ステータス文字列>),childid=<ID>,cur_pid=<処理 ID>,pid=<チャイルド プロセス ID>)    WARNING [<場所>] Error recovery: restarting service...    説明   プロキシ プロセスが異常終了 (core dump) したことを示します。また、サービスが再起動しました。エラー メッセージは3つ続けて表示されます。   解決策   サービスの再起動と復元が自動的に行われます。再起動中はサービスが停止されます (約10秒)。   メッセージが表示される場合、製品に問題がある可能性が高いです。F-Secure にサポートを依頼する場合、インストール ディレクトリ (/opt/f-secure/fsigk/) にある “core” で始まるファイルをすべて F-Secure に送ってください。 製品の最新版を使用していない場合、最新版にアップデートしてください。   メッセージ   WARNING [<場所>] accept=Connection reset by peer(104) main/accept_loop/accept(s=<Id>)    説明   このメッセージはカーネル2.2を使用している環境で接続後にすぐに切断した場合に表示される可能性があります。メッセージが表示されても本製品は正常に動作します。   解決策   カーネル2.2は未対応になりました。可能な場合、ディストリビューションをアップデートしてください。   メッセージ   CRITICAL [<場所>] LICENSE_ERROR#ret=-1#msg=License Expired    説明   体験版のライセンスが切れたことを示します。   解決策   ライセンスを購入し、製品のアクティベーションを行うためにライセンス キーコードを入力してください。   メッセージ   WARNING [<場所>] Commtouch database error: Initial database update may be on going. Wait a moment. (dlopen(./databases/commtouchunix.0/libfsasd-lnx32.so) failed. dlerror(): ./databases/commtouchunix.0/libfsasd-lnx32.so: cannot open shared object file: No such file or directory)  WARNING [<場所>] Commtouch database error: Initial database update may be on going. Wait a moment. (FsasFunctionsInitialize failed.)    説明   commtouch のスパム スキャン エンジンにデータベースが存在しないことを示します   解決策   データベースのダウンロードが完了するまで待ちます。   メッセージ   WARNING [<場所>] fsas_open_session(./fsasd-socket) failed.    説明   'fsasd' プロセスが実行していないことを示します。   解決策   fsasd サービスを開始するために "/etc/init.d/rc.fsigk_fsasd start" または "/etc/init.d/rc.virusgw_fsasd start" を実行してください。   メッセージ   WARNING [<場所>] fsav_open_session: Cannot connect to fsavd's socket(./fsavd-socket-0). fsavd may be not running. Please run 'rc.fsigk_fsavd restart' to restart fsavd.    説明   スキャン エンジン (fsavd) のソケット (./fsavd-socket-0) に接続できません。スキャン エンジン (fsavd) が実行されていない可能性があります。   解決策   スキャン エンジン (fsavd) は Web コンソールから実行された場合、自動的に開始されます。プロキシ サービスをコマンドラインから実行した場合、スキャン エンジン (fsavd) を事前に開始する必要があります。“/opt/f-secure/fsigk/rc.fsigk_fsavd restart” コマンドでスキャン エンジンを再起動できます。
記事全体を表示
上記不具合によりインターネットゲートキーパー(Linuxゲートウェイ)のWebUIからの設定が正常に反映されません。 ご迷惑おかけして申し訳ございませんが、下記のワークアラウンドによりご対応お願い致します。   [影響があるバージョン] Ver5.20~Ver5.40   [手順] 1. 以下の設定ファイルを編集 /opt/f-secure/fsigk/conf/spam/custom.txt   2. 一致オプションの設定を以下のように追加して保存 <例:一致オプションを何も選択していない状態> BLACK from IGNORECASE xxx@f-secure.co.jp (※デフォルトの場合は”大文字小文字を区別”をしないようにIGNORECASEのパラメータが入っております)   <例:一致オプションにて”先方一致”のみ選択している状態> BLACK from IGNORECASE,HEADMATCH xxx@f-secure.co.jp   <例:一致オプションにて”先方一致”と”大文字小文字を区別”を選択している状態> BLACK from HEADMATCH xxx@f-secure.co.jp   ※各一致オプションのパラメータ名※ 先方一致→HEADMATCH 後方一致→TAILMATCH 大文字小文字を区別→IGNORECASE 不一致→NOT 「AND」および前回のルール→AND 「AND」およびMIMEパートの前回のルール→AND_SAMEPART   3. サービス再起動 # cd /opt/f-secure/fsigk/; make restart  
記事全体を表示
弊社スキャンエンジンのヒューリスティック分析にてメールが大量にウィルス検出されるような場合、 スキャンデーモン(fsavd)の処理にて高負荷になりやすくメールの配信処理に影響がございます。 (後のパターンファイルにてシグネチャ登録された場合には、メール配信遅延が解消される場合もご ざいます。) 特にヒューリスティック分析をしなければならないようなスキャンが大量に発生した場合に高負荷と なる現象を避けるため、このような現象が発生する環境についてはエキスパートオプションにござい ます「検査結果キャッシュ機能」をご利用いただくことをお勧めいたします。   /opt/f-secure/fsigk/conf/fsigk.ini [SMTP] rsrc=yes   ※上記設定の詳細については/opt/f-secure/fsigk/doc/expert-options-fsigk-JP.txtの  「検査結果キャッシュ機能」をご参照願います。 ※設定については上記を追記いただきサービス再起動を実施することで反映致します。  # /opt/f-secure/fsigk/rc.fsigk_smtp restart
記事全体を表示
① メールアドレスを指定する場合、前方一致・後方一致は指定しないようしてください。 ヘッダのFrom/To などのメールアドレスは"Xxx Yyy <aaa@example.com>"のようにメール アドレスの前後に文字があるため、前方一致・後方一致を指定した場合、正しく判定でき ません。   ② 検査文字列を日本語で直接指定した場合、UTF8 コードでの比較になります。Subject(件名)、 From(送信元)フィールドについては、UTF-8に変換後比較を行います。UTF-8 以外のコード (Shift-JIS,Unicode等) の文字列を直接検査する場合は、16進数で直接指定してください。 例えば、Shift-JISで書かれた「完全無料」を検出する場合、以下のように指定いただけます。 \x8a\xae\x91\x53\x96\xb3\x97\xbf
記事全体を表示
質問 アンチウィルス Linux ゲートウェイ Ver 5.xx へのバージョンアップ後に、WEB 管理画面上で SMTP プロキシの受信先ドメイン制限の設定項目が表示されなくなりました。 Ver5.xx での設定方法及び確認方法についてご教示ください。 回答 アンチウィルス Linux ゲートウェイ Ver 5.xx  の場合は、WEB 管理画面上で SMTP プロキシの受信先ドメイン制限の設定変更、及び、内容確認が出来ない仕様となっています。 このため、以下の手順にて設定ファイルを直接確認や編集していただく必要がございます。 【手順】 1.設定ファイルを開きます。   /opt/f-secure/fsigk/conf/fsigk.ini 2.下記パラメータにて設定内容を確認・変更します。  acl_rcpt=      (有効・無効の設定)  smtp_rcpt=     (各ドメインの指定箇所)  例:  acl_rcpt=yes  smtp_rcpt=aaa.com bbb.com 3.下記スクリプトを実行することで変更した設定が反映されます。  # /opt/f-secure/fsigk/libexec/fsigk-reload.sh 【補足】 記述方法の詳細については、以下の管理者ガイド(P56、「5.3 アクセス制御」の項目)をご参照下さい。https://download.f-secure.com/corpro/igk/current/fsigk-5.22-adminguide-jpn.pdf
記事全体を表示
ポリシーマネージャWindows版ver12.00にて、fspms-webapp-errors.log に「Trying to read data over limit」エラーが大量に出力され続ける場合があります。 出力例: ERROR [com.fsecure.fspms.hostmodule.HostInterfaceHandler] - Error while handling host request com.fsecure.fspms.hostmodule.ReadingOverLimitException: Trying to read data over limit ポリシーマネージャWindows版ver12.00では、アップロードデータの最大値(1MB=1048576バイト)が設定されており、ホストからポリシーマネージャサーバへのステータス情報の送信時にデフォルトの最大値を超えた場合にエラーが発生します。 本事象が発生している場合には、以下のような影響が確認されております。 ● ポリシーマネージャコンソール側で一部のステータス情報が正常に表示されない ● ポリシーが反映されているにも関わらず、ポリシーマネージャコンソール側の表示にはポリシーが最新ではない旨の情報が表示されるなど 対処方法としては、下記の手順でホストからのアップデートデータの最大値設定を変更(例えば、10MB=10485760バイト)することで、本事象を解消する事が出来ます。 【手順】 1.レジストリエディタを開きます。  [スタート]>[ファイル名を指定して実行]をクリックし、regeditと入力し[OK]を押しますとレジストリエディタが開きます。 2."HKEY_LOCAL_MACHINE\SOFTWARE(Wow6432Node)\Data Fellows\F-Secure\Management Server 5まで展開します。 3.additional_java_argsを右クリックから修正を選び、「値のデータ」欄に以下の通りに入力します。("-"マイナスも含めて入力します)  例:最大値設定=10MBとする場合  -DmaxUploadedPackageSize=10485760 4.ポリシーマネージャサーバのサービス再起動を実施します。  [スタート]>[コントロールパネル]>[管理ツール]>[サービス]を開き、一覧より"F-Secure ポリシーマネージャサーバ"を右クリックから再起動を選び、再起動を実施します。  ※コマンドプロンプトを管理者権限で起動し、以下の順にコマンドを実行する事でもサービス再起動が行えます。   NET STOP FSMS   NET START FSMS
記事全体を表示
[現象] 暗号化圧縮ファイルが添付されたメールを受信した場合、クライアントセキュリティ Ver 11 シリーズまではその添付された暗号化圧縮ファイルを受信できていたのに、Ver12.00 では同じ暗号化圧縮ファイルが削除され、受信できません。   [説明] ファイルが添付されたメールを受信すると、メールとその添付ファイルに対しスキャンが行われます。 ここで、添付されたファイルのスキャンに失敗した場合の動作のデフォルト設定が、Ver 11 シリーズまでと、Ver 12.00 では以下の様に異なります。   Ver スキャン失敗時の動作 11 シリーズ レポートのみ 12.00 添付ファイルを削除   圧縮ファイルのスキャンには、それを解凍する必要があります。ここで、暗号化圧縮ファイルを解凍するためには暗号化パスワードが必要ですが、弊社製品ではこのパスワードを知ることができませんので、弊社製品では暗号化圧縮ファイルを解凍できないため 、暗号化圧縮ファイルのスキャンは常に失敗することになります(Ver 11 シリーズでも、暗号化圧縮ファイルのスキャンは失敗します)。 暗号化圧縮ファイルが添付されたメールを受信すると、添付された暗号化圧縮ファイルのスキャンは失敗することになり、クライアントセキュリティ Ver 12.00 でのスキャン失敗時の動作のデフォルト設定の変更の結果、自動的にその添付されている暗号化圧縮ファイルが削除されます。 [対象製品] クライアント セキュリティ Ver 12.00 クライアント セキュリティ プレミアム Ver 12.00 [対処方法] Ver 12.00 のデフォルト動作を Ver 11 シリーズと同じ設定にしたい場合には、ポリシーマネージャによる集中管理において、以下のスクリーンショットを参照頂き、[スキャン失敗時の処理]を "レポートのみ" へ変更し、右側の鍵マークをクリックしてロック状態としてからポリシー配布を行ってください。    
記事全体を表示
リアルタイムスキャン時(fanotifyを使用する場合)に関する主なモジュールとその関係は以下の図のようになります。 この図では、ファイルを開いた場合の処理の流れの概要も示しており、以下のような流れになります。   ①.ユーザー空間のアプリケーションがファイルを開くには、Linuxのシステムコールを呼び出します。 ②.Linuxのカーネルのファイルシステムは、fanotifyのサブシステムへの通知を転送し、処理するための許可を待ちます。 ③.アクセスデーモン(fsaccd)は、fanotifyのサブシステムからのアクセス要求を受け取ります。 ④.fsaccdは、オンアクセススキャンデーモンの下半分(fsoasd_bhのプロセス)にアクセス要求を転送します。 ⑤.fsoasd_bhは、オンアクセススキャンデーモンの上半分(fsoasd_th)にアクセス要求を転送します。 ⑥.fsoasd_thは、ウィルス検査デーモン(fsavd)にスキャン要求を転送します。 ⑦.fsavdはウィルス検査を行い、結果をfsoasd_thに返します。 ⑧.fsoasd_thはfsoasd_bhに結果を返します。 ⑨.fsoasd_bhはfsaccdに結果を返します。 ⑩.fsaccdは、アクセス要求を許可または拒否します。 ⑪.fanotifyのサブシステムは、ファイルの開く処理を許可するか、または中止します。 ⑫.許可する場合、ファイルシステムはファイルを開き、アプリケーションにハンドル(ステータス?)を返します。 各デーモンプロセス(fsaccd、fsoasd_bh、fsoasd_th、fsavd)は、異なるタスクを実行します。 ● fsaccd   (3サブプロセス)  -キャッシング、マウントポイントの監視、パスの除外 ● fsoasd_bh (10サブプロセス)  -fanotify/dazukoの透明性、耐障害性 ●fsoasd_th  (1プロセス)  -ポリシー/設定オプション ● fsavd       (>2サブプロセス)  -マルウェア分析   ※ ファイルを閉じた場合も、同様の処理の流れとなります。  
記事全体を表示
現バージョン (11.x) では、Sharepoint で検知されたファイルへのアクションは Block  のみです。
記事全体を表示
以下の手順で、Linux セキュリティ 11.00 にホットフィックス 1 の適用が可能です。 本ホットフィックス 1 は Java の脆弱性に対するものであり、Java を version 8 update 74 にアップデートします。その他に、セキュリティの改善及び修正も含まれております。 作業の実施前には必ずホットフィクスのリリースノート (英語) もご確認下さい。 ※以下、ホットフィックスのダウンロード URL 及びリリースノートとなります。   ホットフィックスのダウンロード URL:   https://download.f-secure.com/corpro/ls/current/fsls-11-hf1.tar.gz   リリースノート (英文) の URL:   http://download.f-secure.com/corpro/ls/current/fsls-11-hf1-readme.txt ● Linux セキュリティ 11.00(コマンドラインエディション/フルエディション/PSB 版)    1. パッチをダウンロードし、解凍して下さい。    2.解凍ディレクトリに移動し、以下のコマンドを実行します。   # ./fsls-11-hf1.sh    3.以下の方法でホットフィックスの適用状況を確認可能です。   <Linuxセキュリティフルエディション/PSB版の場合>      適用前:   ● Javaのバージョン情報     [root@localhost ~]# /opt/f-secure/fsav/java/bin/java -version     java version "1.8.0_66"     Java(TM) SE Runtime Environment (build 1.8.0_66-b17)     Java HotSpot(TM) Client VM (build 25.66-b17, mixed mode)   ● 「Anti-Virus CLI Command line client」のバージョン情報               [root@localhost ~]# fsav --version               F-Secure Linux Security version 11.00 build 79              F-Secure Anti-Virus CLI Command line client version:              F-Secure Anti-Virus CLI version 1.0  build 0060     適用後:   ● Javaのバージョン情報      [root@localhost ~]# /opt/f-secure/fsav/java/bin/java -version     java version "1.8.0_74"     Java(TM) SE Runtime Environment (build 1.8.0_74-b02)     Java HotSpot(TM) Client VM (build 25.74-b02, mixed mode)       ※Java のバージョンが 「1.8.0_74」 と表示されていれば、              ホットフィックスは正常に適用されています。   ● 「Anti-Virus CLI Command line client」のバージョン情報                [root@localhost ~]# fsav --version              F-Secure Linux Security version 11.00 build 79              F-Secure Anti-Virus CLI Command line client version:              F-Secure Anti-Virus CLI version 1.0  build 0064           ※バージョン情報が「version 1.0 build 0064」と表示されていれば、               ホットフィックスは正常に適用されます。         <Linuxセキュリティコマンドラインエディションの場合>         適用前:   ● 「Anti-Virus CLI Command line client」のバージョン情報         [root@localhost ~]# fsav --version              F-Secure Linux Security version 11.00 build 79              F-Secure Anti-Virus CLI Command line client version:              F-Secure Anti-Virus CLI version 1.0  build 0060   適用後:   ● 「Anti-Virus CLI Command line client」のバージョン情報               [root@localhost ~]# fsav --version               F-Secure Linux Security version 11.00 build 79               F-Secure Anti-Virus CLI Command line client version:               F-Secure Anti-Virus CLI version 1.0  build 0064       ※バージョン情報が「version 1.0 build 0064」と表示されていれば、           ホットフィックスは正常に適用されます。 ※注意事項     1. 本ホットフィックスの内容は、標準の Oracle 社の提供物と同等です。本ホットフィックスはエフセキュア製品で提供し、エフセキュア製品でのみ使用されているプライベートな Java  のみをアップデートします。システム上の他の Java 環境には影響はありません。     2. 本ホットフィクス適用に伴い WebUI サービスの再起動が行われますが、システム再起動の追加作業は不要です。普段WebUIを無効にして運用しており本ホットフィックスを適用する場合は、WebUIを一時的に有効にしたうえで本ホットフィックスを適用して下さい。     3. 本ホットフィックスのJava 8 を利用するためには GNU C ライブラリ (glibc) バージョン 2.4 以降が必要となります。     4. 本ホットフィックスの適用が失敗しました場合には、変更されたファイルをバックアップからリストアされますので、手動による切り戻し作業を実施する必要はございません。     5. 本ホットフィックスを適用しますと、新しいコンポーネントを製品内で再構築させるために「/opt/f-secure/fsav/fsav-config」を実行します。これにより、Web ブラウザで受理されるべきリモートWebアクセス用の新しい証明書が作成されます。以前の設定は全て引き継がれます。
記事全体を表示
質問 IGK5.10 をCentOS5.10 64bitにインストールする際に、環境変数 LANG=C が設定されているとインストールに失敗します。   【エラー】 > ------------------------------------------------------ > Upgrading configuration file version... > ------------------------------------------------------ > === upgrade /opt/f-secure/fsigk/conf/fsigk.ini from version [] to [510] === > make[1]: *** [verup-config] Error 1 > make[1]: Leaving directory `/opt/f-secure/fsigk' > make: *** [install] Error 2 > error: %post(fsigk-5.10.12-0.i386) scriptlet failed, exit status 2 回答 大変申し訳御座いませんが、こちらは本製品利用上の制限事項となります。 以下ワークアラウンドにて回避頂けます。   【ワークアラウンド】 以下コマンドを実行した後、インストールして頂きますことが出来ます。 # LANG=en_US.UTF-8
記事全体を表示
質問 Linuxゲートウェイ(5.00)で、パターンファイルの自動更新を停止する方法を教えて下さい。 回答 Linuxゲートウェイ(5.00)で 、パターンファイルの自動更新を停止するには以下の方法があります。   ・/opt/f-secure/fsigk/conf/fsigk.iniファイルへ aua_service=no の設定を行い、 # cd /opt/f-secure/fsigk; make restart コマンドの発行   make restart コマンド発行後は以下の動作となります。 ・make restart 直後から fsigk_fsaua は停止します ・OS再起動しても fsigk_fsaua は自動起動しません(更新しに行きません) ・手動コマンド、fsdbupdate9.runでの更新は可能です ・手動更新のコマンドは  /opt/f-secure/fsigk/dbupdate となります
記事全体を表示
質問 v4.x では、webui から設定を変更すると対象のプロキシのみ再起動されていましたが、v5.10 では、webui から設定を変更すると fsavd, fsaua, fsupdated など他のプロセスも再起動される場合があります。   v4.x  と同様にプロキシの再起動だけを行いたいです。 回答 /opt/f-secure/fsigk/conf/fsigk.ini の設定をエディタで直接編集変更した場合、各プロキシの再起動のみで正常に動作致します。   詳しくは以下アドミンガイドの P25 [7.1 Configuration file settings] をご参照下さい。 【fsigk v5.10 アドミンガイド】 http://download.f-secure.com/corpro/igk/current/fsigk-5.10.12-rtm-adminguide-eng.pdf   webUI にて設定変更されます際には fsigk.ini 以外の設定も変更が可能となりますため、webUI からの変更では他プロセスの再起動も伴いますよう設計変更されております。   大変申し訳御座いませんが、fsigk.ini 以外の設定項目と他プロセスとの紐付けは公開されておりません。
記事全体を表示
質問 hosts.allow 内設定の、複数設定の方法を教えて下さい。 回答 hosts.allow 内の以下オプションが  v5.10 より fsigk.ini に追加されました。マニュアルには記述が御座いませんが、以下の設定は fsigk-generate-configuration.sh ではなく、fsigk-reload.sh にて読み込みがされます。   http_from= http_to= http_pass_to=   複数設定時の書式につきましては以下アドミンガイドの P27 及び 7.3 Access Control をご参照下さい。 また、man page hosts_access(5) もご確認下さい。   【fsigk v5.10 アドミンガイド】 http://download.f-secure.com/corpro/igk/current/fsigk-5.10.12-rtm-adminguide-eng.pdf
記事全体を表示
質問 Linux ゲートウェイ v5.10 では複数インストール(suffix=)の利用が出来ないのでしょうか? 回答 Linux ゲートウェイ v5.10 では複数インストールはご利用できません。 マニュアルに記述が御座いますものの、リリースノート上で v5.10 より複数インストールの機能の削除をご案内させて頂いております。   複数サーバ+ロードバランサー等にて運用頂くことが可能です。
記事全体を表示
質問 Linux ゲートウェイ v5.10 の webUI にはウィルス検出時の動作の設定項目がありません。設定を変更したい場合はどうすればいいですか? 回答 本機能はデフォルトで削除の動作となります。設定の変更は、以下設定ファイルにて可能となります。 /opt/f-secure/fsigk/conf/fsigk.ini   [http] action={pass,delete} [smtp] action={pass,deny,blackhole,delete,sendback} [pop] action={pass,delete} [ftp] action={pass,delete}
記事全体を表示
質問 Linux ゲートウェイ v5.10 の webUI には、SPAM 検知の CUSTOM 設定がありません。 CUSTOME 設定の SPAM 検知を行いたい場合、どのように設定すれば良いでしょうか? 回答 【回答】 v4.x からのアップグレードの場合、v4.12 でご利用の設定ファイル      /インストールパス/conf/spam/custom.txt を、v5.10 の以下のディレクトリに     /opt/f-secure/fsigk/conf/spam/  上書きして下さい。   v5.10 新規インストールの場合、上記ディレクトリに custom.txt という名前のファイルを作成し、内容をエディタで編集してください。   最後に webUI 上で SPAM 検知を有効にして頂きますと、CUSTOM 設定での SPAM 検知が稼動致します。   将来のバージョンにて webUI からの個別設定機能搭載予定です。
記事全体を表示
質問 Linux ゲートウェイ v5.10 において、 dbupdate のプロキシ設定では、ホスト名、ポート番号、auth に使用するユーザ名、パスワードがそれぞれの設定項目として fsigk.ini に存在しますが、orsp では orspservice_http_proxy の一つだけになっています。 dbupdate と同様に認証設定を行いたい場合、どのように記述すればよいのでしょうか? 回答 → fsaua の http_proxies 設定と同じ記述になります。 以下書式を参考に設定頂けます。   # http_proxies=[http://][user[:passwd]@]<address>[:port][,[http://][user[:passwd]@]<address>[:port]] # # Examples: # http_proxies=http://proxy1:8080/,http://backup_proxy:8880/
記事全体を表示
質問 Linux ゲートウェイ v5.10 の WebUI は何が利用されていますか? 回答 Civetweb 1.4 を利用しています。
記事全体を表示
質問 Linuxゲートウェイ v5.10/v5.20インストール時の注意点を教えて下さい 回答 Linuxゲートウェイ v5.10/v5.20のインストーラーは、前バージョンよりライブラリの内包を減らしております。 これにより、導入環境によっては依存ライブラリパッケージの事前インストールが必要となりますが、依存ライブラリにつきましてはLinuxセキュリティv10.xに準拠致します。   ※注意 Linuxセキュリティで必要とされるカーネル関連の依存パッケージはLinuxゲートウェイでは必要ありません。   Linuxセキュリティv10.xの依存パッケージにつきましては以下KBをご参照下さい。 【F-Secure Linux セキュリティ 10.xをインストールする前のチェックリスト】   依存パッケージが不足した状態で運用した場合、パターンファイル更新時のエラー発生等の事象が起こりますことが確認されております。   【dbupdate実行ログ抜粋】 08時52分36秒 fsauatool failed. cmd=[auatool_func -q -a hydralinux], ret=[1], aua_path=[Err 1 (FSAUA_ERROR)] 08時52分36秒 fsauatool failed. cmd=[auatool_func -q -a aqualnx32], ret=[1], aua_path=[Err 1 (FSAUA_ERROR)] 08時52分36秒 fsauatool failed. cmd=[auatool_func -q -a commtouchunix], ret=[1], aua_path=[   ※ご注意 Linuxゲートウェイ v5.10は日本語版のご提供が御座いません。
記事全体を表示
質問 Linux ゲートウェイ 5.xx の管理画面パスワードの初期化方法を教えて下さい 回答 Linuxゲートウェイ(ver 5.xx)の管理パスワードは、ウェブ管理画面で[管理パスワード] を編集すると、/opt/f-secure/fsigk/etc/passwd.ini ファイルに反映されます。   上記ファイルにデフォルトの文字列を入力して頂けますと、管理パスワードが「ユーザ名:admin、パスワード:admin」に初期化されます。 具体的には下記文字列を入力して保存して下さい。(弊社製品サービスの再起動は不要です。)   [password] admin=1:2d548e21345c5983:330ac0455b87f495b9db6a4b9e7e4d4925e1823cfe21ecd939ffdc05894248b1
記事全体を表示
質問 Linux ゲートウェイ V5.xx の WebUI に検知メールの本文編集画面がありません。 回答 Ver5.xx から WebUI から編集することができなくなりました。このため、直接 /opt/f-secure/fsigk/conf/template_admin.txt を編集していただく必要がございます。   その際、ファイルに直接日本語を記述する場合には、「iso-2022-jp」に変換して記述する必要がございます。変換していない場合、文字化けが発生します。
記事全体を表示
現象 Windows の IE (インターネットエクスプローラー) ブラウザを使用し、Linux ゲートウェイの WebUI 管理画面上で「有効」「無効」のボタンをクリックしようとすると、選択ができない状態になり、設定を完了することが出来ません。 診断 IE の設定問題で、「ツール」→「互換表示設定(B)」の「イントラネットサイトを互換表示で表示する(I)」にチェックが付いていることが原因で今回の事象が発生してしまいます。   以下 OS での一部の環境で報告されています。 Windows 7 64 bit(IE11) Windows Server 2008 R2 (IE9) 解決策 【原因】 IE の設定問題で、「ツール」→「互換表示設定(B)」の「イントラネットサイトを互換表示で表示する(I)」にチェックが付いている事が原因で本事象が発生します。   【対処】 「イントラネットサイトを互換表示で表示する(I)」のチェックを外します。
記事全体を表示
質問 Linux ゲートウェイバージョン 4 シリーズから 5.20 へのバージョンアップ時に、設定が引き継がれない項目について教えて下さい。 回答 回答 以下設定につきましては、バージョンアップ後にデフォルトの状態に戻ります。   ■アップデートサーバの設定を変更されている場合 バックアップを取得したfsaua_config-templateファイルより必要な設定を/opt/f-secure/fsigk/fsaua/etc/fsaua_config-template に貼り付けて下さい。   ■スキャン動作の設定 上記設定に関しては直接編集を推奨しておりません。ご利用の環境の特性で特別な設定がされているような場合、旧設定ファイル    /install_path/fssp/etc/fssp-template.conf の該当箇所を、    /opt/f-secure/fsigk/fssp/etc/fssp-template.conf に貼り付けて下さい。   ■カスタム SPAM 設定 アップグレード時にリネームされる以下ファイルが既存のお客様設定となります。   /opt/f-secure/fsigk/conf/spam/custom.txt.rpmorig   /opt/f-secure/fsigk/conf/spam/files.txt.rpmorig 上記ファイルの内容をそれぞれ custom.txt と files.txt に貼り付けて下さい。 5.20 のデフォルト設定が必要ない場合は、リネームにて上書き対応して頂けます。   ■WEBUIへのログインパスワード アップグレード時に既存のログインパスワードが引き継がれませんので、 デフォルトパスワード(admin)以外の場合には手動によるパスワードの 再設定を実施して頂く必要があります。   再設定の方法: デフォルトのパスワード(admin)でWEBUIへのログイン後に左側にある 「管理パスワード」の項目を選択し、パスワード変更を行って下さい。   ■ログローテートの設定 既存の設定ファイル   /etc/logrotate.d/logrotate.virusgw のローテート設定内容を、新しいテンプレート   /opt/f-secure/fsigk /misc/logrotate.fsigk と比較・編集後、新しいテンプレートより /etc/logrotate.d/ に設置して下さい。 ログファイルの上位パスは既存の install_path (デフォルト: /home/virusgw/) から /opt/f-secure/fsigk/ へ変更となります。   以下の KB もご参照下さい。   【Linux ゲートウェイのログのローテーションの注意】   ★変更した設定の反映にはサービスの再起動が必要です。   # cd /opt/f-secure/fsigk   # make restart
記事全体を表示
質問 アンチウィルス Linux ゲートウェイ Ver 4.xx では、WEB 管理画面上で接続元及び接続先によるアクセス制御の設定変更及び内容変更が可能ですが、アンチウィルス Linux ゲートウェイ Ver 5.xx へのアップグレード後に同様の設定項目が表示されなくなりました。 Ver 5.xx でのアクセス制御の設定変更及び確認方法についてご教示ください。 バージョン4.xx での設定箇所: プロキシ設定(HTTP/SMTP/POP/FTP)   >アクセス制御    >接続元/接続先 回答 アンチウィルス Linux ゲートウェイ Ver 5.xx の場合は、WEB 管理画面上で接続元及び接続先によるアクセス制御の設定変更、及び、内容確認が出来ない仕様となっています。 このため、以下の手順にて設定ファイルを直接確認や編集していただく必要がございます。 【手順】 1. 設定ファイルを開きます。  /opt/f-secure/fsigk/conf/fsigk.ini 2. 下記パラメータにて設定内容を確認・変更します。  [http]  <接続元によるアクセス制御の場合>  acl_from= yes/no    (有効・無効の設定)       http_from=           (ホストの指定)  <接続先によるアクセス制御の場合>  acl_to= yes/no        (有効・無効の設定)         http_to=             (ホストの指定) 3. 下記スクリプトを実行することで変更した設定が反映されます。  # /opt/f-secure/fsigk/libexec/fsigk-reload.sh   【補足】 1. アクセス制御の記述方法については、以下の管理者ガイド(P56、「5.3 アクセス制御」の項目)をご参照下さい。    https://download.f-secure.com/corpro/igk/current/fsigk-5.22-adminguide-jpn.pdf 2. 他のプロキシ(SMTP/POP/FTP)を設定する場合には、「http_xx」の部分を「smtp_xx/pop_xx/ftp_xx」にご変更ください。
記事全体を表示
Linuxゲートウエイのバージョン5.22のマニュアルに誤記が確認されています。 現在、修正したLinuxゲートウエイ ver5.22のマニュアルをリリーズ済みです。 ●P42、「アクセス制御」の「To these hosts(acl_to)」項目に関する注意事項 誤①: 注:設定ファイルでこの設定を有効にする場合、 /opt/f-secure/fsigk/conf/fsigk.iniファイルにある <protocol>_fromフィールドで対象のホストを指定してください。 /opt/f-secure/fsigk/libexec/fsigk-reload.shコマンドを 実行して設定を更新します。構文については、hosts_access(5)の manページを参照してください。 正①: 注:設定ファイルでこの設定を有効にする場合、 /opt/f-secure/fsigk/conf/fsigk.iniファイルにある <protocol>_toフィールドで対象のホストを指定してください。 /opt/f-secure/fsigk/libexec/fsigk-reload.shコマンドを 実行して設定を更新します。構文については、hosts_access(5)の manページを参照してください。 --------------------------------------------------------------------------------------- ●P61、「動作概要」の「コマンド名」配下にある 「ウェブ管理画面 自動起動コマンド」の項目 誤②: /opt/f-secure/fsigk/rc.fsigk_admin ウェブ管理画面 自動起動コマンド 正②: /opt/f-secure/fsigk/rc.fsigk_fsigkwebui ウェブ管理画面 自動起動コマンド
記事全体を表示
質問 Redhat/CentOS Ver7.x環境にてOS再起動時Linuxゲートウェイのサービスが起動しない 回答 [現象] IGKを「/」パーティション以外にインストールした場合、またはRedhat/CentOS Ver7.2で /etc/init.d/<SERVICE>にてsymlinkが利用されている場合、OS側のバグの影響によりOS再 起動したときにLinuxゲートウェイのサービスを起動することができません。   [ワークアラウンド] "/etc/rc.d/rc.local"ファイルに実行権限を付与し、下記コマンドを追記することで回避 することが可能です。   cd /opt/f-secure/fsigk/; make start   ※上記ファイルパス(/opt/f-secure/fsigk/)はLinuxゲートウェイのインストールディレ  クトリとなります。デフォルトパス以外にインストールされている場合はパスを置き換  えて記載願います。   [OSのバグ情報] Bugzilla 1212569 Bugzilla 1285492
記事全体を表示
Linuxセキュリティにて下記Linuxゲートウエイが利用するディレクトリをスキャン除外いただく必要がございます。下記「スキャン除外必須領域」を除外していない場合、Linuxゲートウエイのサービス再起動時、およびOS再起動時にLinuxゲートウエイのプロキシプロセスの起動に失敗致します。 Linuxゲートウエイのプロセス起動時には、内部動作にて/var/tmp/fsigk/配下にeicarファイルを一時的に作成し動作チェックを行なっております。このファイルが作成された時にLinuxセキュリティのリアルタイムスキャンやマニュアルスキャン等で検知されてしまうと、Linuxゲートウエイ側で動作チェックが正常に行なうことができずにプロキシプロセスの起動に失敗致します。   [スキャン除外必須領域] ・/var/tmp/fsigk :Linuxゲートウエイがスキャン時に利用する一時展開ディレクトリ   ※上記ディレクトリはLinuxゲートウエイの設定にて任意のパスに変更することが可能です。デフォルト設定から変更している場合は、変更後のパスをスキャン除外いただく必要がございます。   [スキャン除外推奨領域] ・/var/tmp/quarantine :Linuxゲートウエイが利用するウィルス隔離保存ディレクトリ ・/opt/f-seucre/fsigk :Linuxゲートウエイのインストール領域
記事全体を表示
以下の手順で、Linuxゲートウェイ Ver5.30にホットフィックス2の適用が可能です。 作業の実施前には必ずホットフィックスのリリースノート(英語)もご確認下さい。 ※以下ホットフィックスのダウンロードURL及びリリースノートとなります。   ホットフィックスダウンロードURL: https://www.f-secure.com/ja_JP/web/business_jp/downloads/internet-gatekeeper/latest リリースノート(英文)のURL: https://download.f-secure.com/corpro/igk/current/fsigk-5.30-hf2-readme.txt [ホットフィックス2の適用手順] 1.パッチをダウンロードし、解凍して下さい。   2.解凍ディレクトリに移動し、以下のコマンドを実行します。  ※コマンド実行前に、本ファイルに実行権限が付与されているかご確認下さい。  # ./fsigk-5.30-hf2.sh -i [製品のインストールディレクトリパス]    例えば、デフォルトインストール先へ製品をインストールしている場合は下記のように実行します。  # ./fsigk-5.30-hf2.sh -i /opt/f-secure/fsigk 3.ホットフィックス2適用後、ファイルサイズやMD5チェックサム値が下記のようになっていたら、ホットフィックス2は適用されております。 [ホットフィックス2の適用後のファイルサイズ及びMD5チェックサム値] [root@localhost fsigk-5.30-hf2]# ls -al /opt/f-secure/fsigk/fsigk -rwxr-xr-x 1 root root 1270564 6月 27 17:04 /opt/f-secure/fsigk/fsigk   [root@localhost fsigk-5.30-hf2]# md5sum /opt/f-secure/fsigk/fsigk 4b89924f24c942808e179ab12c69c520 /opt/f-secure/fsigk/fsigk   ※注意事項 1.ホットフィックス2はVer5.30の問題を修正するものになります。Ver5.30以外のバージョンをご利用の場合は適用しないようご注意下さい。 2.ホットフィックス2適用時には、各プロキシプロセスの再起動が行なわれます。 3.ホットフィックス2適用後、システム再起動の追加作業は不要です。
記事全体を表示
注意: この記事は、エフセキュア アンチウィルス Linuxゲートウェイ バージョン 4.xx またはバージョン 5.xx を使用しているお客様が対象となります。 スパムフィルタリング機能を使用しており、リアルタイム ブラックリスト (RBL) を有効にしている場合には、この記事を必ずお読みください。 リアルタイム ブラックリスト(RBL:Real time black list)は、スパムに関連するコンピュータまたはネットワークのアドレスを公開するために使用されています。RBLを有効にしますと、スパムフィルタリング機能はRBLを使用してスパムメッセージを検出するようになります。ソースIPアドレス(SMTPを使用した場合)と受信したヘッダフィールドのIPアドレスがRBLサーバに登録されているメールはスパムとして検出されます。 現在、新規インストールされたアンチウィルスLinuxゲートウェイでは、RBLによるスパム検査オプションはデフォルトでオフになっています。また、RBLのサービスは、デフォルトで「Spamhaus」及び「SpamCop」というサードパーティベンダーを参照するように設定されています。ここで、必要に応じて、ユーザーがこれらのサービスを追加または削除することができます。しかしながら、RBLサーバの使用前に、それぞれの使用条件をお読み頂き、予め同意していただく必要がございます。これは、アンチウィルスLinuxゲートウェイ バージョン5.22 まで使用されている以下のデフォルト・サーバーに対しても同様です。       sbl-xbl.spamhaus.org:http://www.spamhaus.org/organization/dnsblusage/       bl.spamcop.net:https://www.spamcop.net/ 現在、「Spamhaus」については、無料サービスと商用サービスの2種類を提供しております。お客様は慎重に使用条件を評価し、無料でご利用の対象となるか否かを判断する必要がございます。 「SpamCop」については、基本的に無料で使用できます。 アンチウィルスLinuxゲートウェイの将来のリリースでは、これらのデフォルト・サーバーの情報を製品の設定から削除し、代わりに管理者ガイドに推奨として記載するように変更する予定です。 参考 Using Real-time Blackhole Lists for spam filtering in F-Secure Internet Gatekeeper https://community.f-secure.com/t5/Business/Using-Real-time-Blackhole-Lists/ta-p/73422
記事全体を表示
ct-cache%d.f-secure.comへの接続ログについて教えて下さい   Q: この接続は何のための接続ですか? A: スパム検査エンジンのスパムチェック機能により利用される接続です。   Q: 接続はいつ行なわれますか? A: ローカルにSPAM判断として利用可能な、以前のスキャンキャッシュが残っていない場合に   問い合わせが発生します。   Q: 問い合わせが行なわれるための条件、設定は? A: 以下2つの設定が共に有効になっている事により、ct-cache%d.f-secure.comが利用されます > [SMTP設定]>[スパム検査]:有効 (spam_check=yes) > [共通設定]>[Spam Detection Engine]:有効 (spam_commtouch=yes)   ※上記設定に関わらず、弊社より依頼致します診断情報の取得時にもct-cache%d.f-secure.com   への問い合わせ確認のスクリプトが動作致します。
記事全体を表示
現象 SMTP でメールの送信時に送受信が拒否される。   また、以下のエラーメッセージがメーラ上に表示されるか、Linux ゲートウェイの直前のメールサーバからエラーメールとして送信者などに送られる。    550 Relaying denied. (F-Secure/virusgw_smtp/223/hostname) 診断 受信先 (RCPT) ドメインの制限を有効にしているため、中継が拒否された場合に表示されます。 解決策 インターネットからの特定ドメインあてのメールを受信する場合、該当ドメインを受信先 (RCPT) ドメインの制限に指定してください。   社内のクライアントから送信する場合など、特定のクライアントからの中継を許可する場合、接続元の該当クライアントを [LAN内のホスト] に指定し、[LAN内からの接続時の設定] を有効にしてください。 NAT ルータなどで接続元アドレスが変換されている場合や、他のメールサーバを経由して接続している場合、Linux ゲートウェイから見た接続元アドレスを指定してください。 なお、接続元アドレス (又はホスト名) は Linux ゲートウェイのアクセスログで確認いただけます。   例: (192.168.xx.xxからの中継を許可する場合)      LAN 内からの接続時の設定: チェック        LAN 内のホスト: 192.168.0.0/255.255.0.0   インターネット上のクライアントから接続する場合、IP アドレス/VPN/SSH/SMTP認証/PbS(POP before SMTP) 認証などのご利用も検討いただけます。
記事全体を表示
質問 FTP で、接続、及び、ログインはできるが、ファイル一覧表示・ファイル送受信で停止する、又は、拒否される。(FTP プロトコルの LIST, NLST, RETR, STOR, STOU コマンドが実行できない) 他のプロトコル (HTTP, SMTP, POP) では問題なく動作する。 回答 [原因と対応] FTP プロトコルでは、接続・ログイン時は一つの TCP 接続 (コントロールセッション) のみを利用します。 しかし、ログイン後、ファイル一覧表示・ファイル送受信 (FTP プロトコル のLIST, NLST, RETR, STOR, STOU コマンド実行時) は、別のセッション (データセッション) を利用します。 そのため、ファイル一覧表示・ファイル送受信を行うには、コントロールセッションとデータセッションの両方について、クライアント => Linux ゲートウェイ => サーバ の間で通信ができる必要があります。 ファイアウォールの設定でこのような通信を拒否していないかご確認ください。 特に、ファイアウォール等で Passive モードでの通信のみ許可している場合、Active モードでの通信ができないことがあります。 この場合、ファイアウォールの設定を確認するか、Passive モードでご利用ください。   また、透過型でご利用の場合、FTP クライアントからのコントロールセッションの接続先は FTP サーバに、FTP サーバから見たコントロールセッションの接続元 IP アドレスは FTP クライアントになります。 しかし、通常、FTP のデータセッションについては、Passive モードではクライアントからの接続先アドレスと Linux ゲートウェイからサーバへの接続元アドレス、Active モードではサーバからの接続先アドレスと Linux ゲートウェイからクライアントへの接続元アドレスが Linux ゲートウェイのアドレスになります。 FTP の通信ができない場合、このような場合にファイアウォールが拒否していないかご確認ください。   Linux ゲートウェイからサーバへの接続時、および、FTP のデータセッションで IP アドレスを保持する必要がある場合、tproxy パッチ適用済みカーネルが必要になります。
記事全体を表示