株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

Kaspersky製品ナレッジ 第27回 ~Kaspersky Endpoint Security for Linux における除外設定あれこれ (KSC無しの場合)~

皆様、こんにちは。カスペルスキー製品担当SEの小池です。

 

前回のKaspersky製品ナレッジでKSCで統合管理してる場合におけるKESLの除外設定についてご説明いたしました。
今回はその続きとして、KSC無しの場合におけるKESLの除外設定についてご説明しようと存じます。

なお、本ブログで紹介する各機能は、ライセンスによっては利用できないものもあります。これについては前回のKaspersky製品ナレッジブログをご参照ください。

blogs.networld.co.jp

 

今回のブログの内容は以下の通りです。

 

今回のブログは以下の環境の画面を用いて手順を紹介しております。

・保護対象のLinux (GUI無し)

 Kaspersky Endpoint Security for Linux:11.1.0.3013

 OS:CentOS Linux 7

KESL11.1の除外設定概要

前回のKaspersky製品ナレッジブログの内容と同様、基本的には各機能毎に除外設定をします
KSCで統合管理していない場合、KESLの各種除外設定はCUIから設定できます。
(少なくともKESL11.1ではGUIから除外設定を編集することはできません。)
従って今回はすべての手順をCUIでご紹介いたします。
この後、各保護機能毎の除外設定をコマンド "kesl-control" を使って紹介いたしますが、基本的には以下のオンラインヘルプに載っている情報ですので、よろしければそちらもご参照ください。

https://support.kaspersky.com/KES4Linux/11.1.0/ja-JP/183559.htm

 

共通の注意事項

今回ご紹介する方法では以下をご注意ください。

1) パスで除外を指定する場合。対象となるディレクトリもしくはファイルが存在しないと、その旨の警告メッセージが出力されますが、登録自体は問題なく可能です

2) ワイルドカードを使って設定したい場合、ダブルクオーテーションで括るか括らないかで全く異なる設定になるケースがあります。ワイルドカードを含む除外パスを設定し、且つ、設定時点でその条件に合致するファイルなどが存在しない場合は、ダブルクォーテーションで括っても括らなくてもワイルドカードを含むパスがそのまま登録されます。ワイルドカードを含む除外パスを設定し、且つ、設定時点でその条件に合致するファイルなどが存在する場合、ダブルクォーテーションで括らないと、KESLは除外条件に合致するファイル等を自動的に洗い出し、それらを自動で完全なフルパスに変換して除外設定に登録されるケースがあります。ワイルドカードを含むパスを指定したい場合は、念のためダブルクォーテーションで括って登録を実施すると良いかと存じます。

 

【KSC無】 「ファイル脅威対策」機能の除外範囲の設定

まずはファイル脅威対策機能における除外設定コマンドです。
参考:https://support.kaspersky.com/KES4Linux/11.1.0/ja-JP/162408.htm

前回のKaspersky製品ナレッジブログで紹介したのと同様に、コマンドからもパス指定の他、脅威名を指定するなどの設定方法が複数ありますが、本手順では最もメジャーなパス指定で除外する手順のみを記載しております。

 

KESLの設定変更が可能な管理者権限で対象のLinuxにログインし、以下のコマンドで設定できます。
# kesl-control --set-settings File_Threat_Protection --add-exclusion <除外対象のパスやファイル名>
例) /jogai/ディレクトリ配下を除外したい場合。
# kesl-control --set-settings File_Threat_Protection --add-exclusion /jogai/

f:id:networld-blog-post:20210420154114p:plain

 

デフォルトのファイル脅威対策タスクに設定されている除外リストを確認したい場合は、以下のコマンドを実行します。
# kesl-control --get-settings File_Threat_Protection
出力の下の方に [ExcludedFromScanScope.item_xxxx]というセクションがあります。これが除外設定です。
以下の画面の場合は1個しか除外設定していませんが、複数除外設定を追加した場合は [ExcludedFromScanScope.item_xxxx] のxxxx部分の数字が1個ずつ増えて表示されます。

f:id:networld-blog-post:20210420154147p:plain

 

追加していた除外設定を削除したい場合は、以下のコマンドです。
# kesl-control --set-settings File_Threat_Protection --del-exclusion <登録済の除外設定のPath>

f:id:networld-blog-post:20210420154218p:plain

1つ1つコマンドで登録する方法は以上です。

 

もし、大量の除外設定を一気に登録したい場合は設定ファイルのエクスポート/インポートで設定します。

まず、エクスポートは以下のコマンドです。
# kesl-control --get-settings File_Threat_Protection --file <エクスポートファイルのフルパス>

次にエクスポートしたファイルの末尾に、以下のURLを参考に除外設定を追加し、保存します。
"UseScanArea" はYesにしないと除外設定が有効にならないのでご注意ください。

https://support.kaspersky.com/KES4Linux/11.1.0/ja-JP/161266.htm

https://support.kaspersky.com/KES4Linux/11.1.0/ja-JP/184596.htm

f:id:networld-blog-post:20210420154314p:plain

 

作成した設定ファイルを以下のコマンドでインポートします。
設定ファイルの内容に問題があった場合はここでエラーが出ます。
# kesl-control --set-settings File_Threat_Protection --file <前の手順で編集した設定ファイルフルパス>

 

最後に、正常に除外設定がインポートされたかを以下のコマンドで確認します。
# kesl-control --get-settings File_Threat_Protection

f:id:networld-blog-post:20210420154355p:plain

設定ファイルのを利用した除外設定は以上です。

【KSC無】「アンチクリプター」機能の除外範囲の設定

この章ではアンチクリプター機能における除外設定コマンドを紹介します。
参考:https://support.kaspersky.com/KES4Linux/10.1.1/ja-JP/162408.htm
前章のファイル脅威対策タスクにおける除外コマンドと同じように、個別に追加する方法と、設定ファイルのエクスポート/インポートで設定することができます。

 

KESLの設定変更が可能な管理者権限で対象のLinuxにログインし、以下のコマンドで設定できます。
# kesl-control --set-settings Anti_Cryptor --add-exclusion <除外対象のパスやファイル名>
例) /jogai/ディレクトリ配下を除外したい場合。
# kesl-control --set-settings Anti_Cryptor --add-exclusion /jogai/

f:id:networld-blog-post:20210420154707p:plain

 

除外リスト等、各種設定を確認したい場合は以下のコマンドを実行します。
# kesl-control --get-settings Anti_Cryptor
出力の下の方に [ExcludedFromScanScope.item_xxxx]というセクションがあります。これが除外設定です。
以下の画面の場合は1個しか除外設定していませんが、複数除外設定を追加した場合は [ExcludedFromScanScope.item_xxxx] のxxxx部分の数字が1個ずつ増えて表示されます。

f:id:networld-blog-post:20210420154727p:plain

 

追加していた除外設定を削除したい場合は、以下のコマンドです。
# kesl-control --set-settings Anti_Cryptor --del-exclusion <登録済の除外設定のPath>

f:id:networld-blog-post:20210420154745p:plain

1つ1つコマンドで登録する方法は以上です。

 

もし、大量の除外設定を一気に登録したい場合は設定ファイルのエクスポート/インポートで設定します。

エクスポートは以下のコマンドです。
# kesl-control --get-settings Anti_Cryptor --file <エクスポートファイルのフルパス>

 

次にエクスポートしたファイルの末尾に、以下のURLを参考に除外設定を追加し、保存します。
"UseScanArea" はYesにしないと除外設定が有効にならないのでご注意ください。

https://support.kaspersky.com/KES4Linux/11.1.0/ja-JP/161266.htm

https://support.kaspersky.com/KES4Linux/11.1.0/ja-JP/161332.htm

f:id:networld-blog-post:20210420154851p:plain

 

作成した設定ファイルを以下のコマンドでインポートします。
設定ファイルの内容に問題があった場合はここでエラーが出ます。
# kesl-control --set-settings Anti_Cryptor --file <前の手順で編集した設定ファイルフルパス>

 

最後に、正常に除外設定がインポートされたかを以下のコマンドで確認します。
# kesl-control --get-settings Anti_Cryptor

f:id:networld-blog-post:20210420154930p:plain

設定ファイルのを利用した除外設定は以上です。

 

【KSC無】「システム変更監視」機能の除外範囲の設定

この章ではシステム変更監視機能における除外設定コマンドを紹介します。
参考:https://support.kaspersky.com/KES4Linux/11.1.0/ja-JP/162408.htm

前章までの除外コマンドと同じように、個別に追加する方法と、設定ファイルのエクスポート/インポートで設定することができます。
なお、設定変更後のベースライン作成方法等については本ブログでは触れませんので、適宜実施してください

 

KESLの設定変更が可能な管理者権限で対象のLinuxにログインし、以下のコマンドで設定できます。
# kesl-control --set-settings System_Integrity_Monitoring --add-exclusion <除外対象のパスやファイル名>
例) /jogai/ディレクトリをシステム変更監視している前提で、/jogai/ディレクトリ配下の末尾が.logで終わるファイルを除外したい場合。
# kesl-control --set-settings System_Integrity_Monitoring --add-exclusion /jogai/*.log

f:id:networld-blog-post:20210420155217p:plain

 

除外リストを確認したい場合は、以下のコマンドを実行します。
# kesl-control --get-settings System_Integrity_Monitoring
出力の下の方に [ExcludedFromScanScope.item_xxxx]というセクションがあります。これが除外設定です。
以下の画面の場合は1個しか除外設定していませんが、複数除外設定を追加した場合は [ExcludedFromScanScope.item_xxxx] のxxxx部分の数字が1個ずつ増えて表示されます。

f:id:networld-blog-post:20210420155248p:plain

 

追加していた除外設定を削除したい場合は、以下のコマンドです。
# kesl-control --set-settings System_Integrity_Monitoring --del-exclusion <登録済の除外設定のPath>

f:id:networld-blog-post:20210420155321p:plain

 

前章までと同様、大量の除外設定を一気に登録したい場合は設定ファイルのエクスポート/インポートで設定します。

エクスポートは以下のコマンドです。
# kesl-control --get-settings System_Integrity_Monitoring --file <エクスポートファイルのフルパス>

 

次にエクスポートしたファイルの末尾に、以下のURLを参考に除外設定を追加し、保存します。
"UseScanArea" はYesにしないと除外設定が有効にならないのでご注意ください。

https://support.kaspersky.com/KES4Linux/11.1.0/ja-JP/161266.htm

https://support.kaspersky.com/KES4Linux/11.1.0/ja-JP/192296.htm

f:id:networld-blog-post:20210420155420p:plain

 

作成した設定ファイルを以下のコマンドでインポートします。
設定ファイルの内容に問題があった場合はここでエラーが出ます。
# kesl-control --set-settings System_Integrity_Monitoring --file <前の手順で編集した設定ファイルフルパス>

 

最後に、正常に除外設定がインポートされたかを以下のコマンドで確認します。
# kesl-control --get-settings System_Integrity_Monitoring

f:id:networld-blog-post:20210420155450p:plain

設定ファイルのを利用した除外設定は以上です。

 

【KSC無】「ウイルススキャン」タスクの除外範囲の設定

この章ではウイルススキャンタスクにおける除外設定コマンドを紹介します。
参考:https://support.kaspersky.com/KES4Linux/11.1.0/ja-JP/162408.htm
前章までの除外コマンドと同じように、個別に追加する方法と、設定ファイルのエクスポート/インポートで設定することができます。
まず、今回のKESL11.1にはデフォルトでウイルススキャンタスク "Scan_My_Computer" (スケジューリングは手動、対象範囲は/) が存在します。

f:id:networld-blog-post:20210420155658p:plain

f:id:networld-blog-post:20210420155704p:plain

f:id:networld-blog-post:20210420155710p:plain

ウイルススキャンタスクはこのデフォルトの "Scan_My_Computer" 以外にもカスタムで作成することが可能ですが、このブログでは例としてこのデフォルトのスキャンタスクに対する除外設定について述べます。

 

KESLの設定変更が可能な管理者権限で対象のLinuxにログインし、以下のコマンドで設定できます。
# kesl-control --set-settings <タスクID | タスク名> --add-exclusion <除外対象のパスやファイル名>
例) デフォルトのスキャンタスクに対して、/jogai/test.comを除外する場合。
# kesl-control --set-settings Scan_My_Computer --add-exclusion /jogai/test.com

f:id:networld-blog-post:20210420155751p:plain

 

除外リストを確認したい場合は、以下のコマンドを実行します。
# kesl-control --get-settings <タスクID | タスク名>
出力の下の方に [ExcludedFromScanScope.item_xxxx]というセクションがあります。これが除外設定です。
以下の画面の場合は1個しか除外設定していませんが、複数除外設定を追加した場合は [ExcludedFromScanScope.item_xxxx] のxxxx部分の数字が1個ずつ増えて表示されます。

f:id:networld-blog-post:20210420155812p:plain

 

追加していた除外設定を削除したい場合は、以下のコマンドです。
# kesl-control --set-settings <タスクID | タスク名> --del-exclusion <除外対象のパスやファイル名>

f:id:networld-blog-post:20210420155837p:plain

 

前章までと同様、大量の除外設定を一気に登録したい場合は設定ファイルのエクスポート/インポートで設定します。
エクスポートは以下のコマンドです。
# kesl-control --get-settings <タスクID | タスク名> --file <エクスポートファイルのフルパス>

 

次にエクスポートしたファイルの末尾に、以下のURLを参考に除外設定を追加し、保存します。
"UseScanArea" はYesにしないと除外設定が有効にならないのでご注意ください。

https://support.kaspersky.com/KES4Linux/11.1.0/ja-JP/161266.htm

https://support.kaspersky.com/KES4Linux/11.1.0/ja-JP/184596.htm

f:id:networld-blog-post:20210420155925p:plain

 

作成した設定ファイルを以下のコマンドでインポートします。
設定ファイルの内容に問題があった場合はここでエラーが出ます。
# kesl-control --set-settings <タスクID | タスク名> --file <前の手順で編集した設定ファイルフルパス>

 

最後に、正常に除外設定がインポートされたかを以下のコマンドで確認します。
# kesl-control --get-settings <タスクID | タスク名>

f:id:networld-blog-post:20210420155949p:plain

設定ファイルのを利用した除外設定は以上です。

 

【KSC無】KESLの全般設定における除外設定

最後にKESLの全般設定で可能な除外設定のコマンドを紹介します。
参考:https://support.kaspersky.com/KES4Linux/11/ja-JP/192412.htm

これは前回のKaspersky製品ナレッジブログの一番最後に紹介した "除外するマウントポイント" に該当する設定です。
オンラインヘルプを参照する限り、この除外設定はファイル脅威対策とアンチクリプターのスキャンから除外することができるようです。
前章までの除外コマンドと同じように、個別に追加する方法と、設定ファイルのエクスポート/インポートで設定することができます。
ただし、"マウントポイント" がこの設定で除外できる対象であり、/var/tmp/等のローカルは除外できません

 

最初に、KESLの設定変更が可能な管理者権限で対象のLinuxにログインし、以下のコマンドで全般設定における除外設定状況を確認します。
# kesl-control --get-app-settings

もし、全般設定における除外設定がある場合は、上記コマンドの実行結果の下のほうに "ExcludedMountPoint.item_xxxx" というエントリが存在します。
"ExcludedMountPoint.item_xxxx" というエントリがなければ、現状全般設定における除外設定は存在しないということになります。

f:id:networld-blog-post:20210420160205p:plain

 

全般設定における除外設定を追加したい場合は以下のコマンドを用います。
# kesl-control --get-settings ExcludedMountPoint.item_<4桁の数字>=<設定値>
"4桁の数字" 部分には、前の手順で確認した除外設定のエントリ数+1の値を設定します。
除外設定が既に存在した場合はその除外設定の数字+1の4桁を、除外設定がなかった場合は0000を指定します。
"設定値"の部分は、以下のオンラインヘルプの "ExcludedMountPoint.item_#" セクションにある値を設定できます。

https://support.kaspersky.com/KES4Linux/11/ja-JP/192412.htm

例) 現状全般設定における除外設定が無く、NFSでマウントしている領域全部をファイル脅威対策とアンチクリプターで除外したい場合
# kesl-control --set-app-settings ExcludedMountPoint.item_0000="Mounted:NFS"

f:id:networld-blog-post:20210420160302p:plain

 

追加後に除外リストを確認したい場合は、先述のコマンドを実行します。
# kesl-control --get-app-settings

 

前章までと同様、大量の除外設定を一気に登録したい場合は設定ファイルのエクスポート/インポートで設定します。
エクスポートは以下のコマンドです。
# kesl-control --get-app-settings --file <エクスポートファイルのフルパス>

 

次にエクスポートしたファイルの末尾に、以下のURLを参考に除外設定を追加し、保存します。

https://support.kaspersky.com/KES4Linux/11.1.0/ja-JP/196596.htm

f:id:networld-blog-post:20210420160358p:plain

 

作成した設定ファイルを以下のコマンドでインポートします。
設定ファイルの内容に問題があった場合はここでエラーが出ます。
# kesl-control --set-app-settings --file <前の手順で編集した設定ファイルフルパス>

 

最後に、正常に除外設定がインポートされたかを以下のコマンドで確認します。
# kesl-control --get-app-settings

f:id:networld-blog-post:20210420160431p:plain

設定ファイルのを利用した除外設定は以上です。

 

今回はKESLの除外設定をコマンドで設定する方法についてご紹介いたしました。

KSCで統合管理していない場合、KESLはこの kesl-control コマンドは避けて通れません。その割にまとまったインターネット上にはコマンドに関する情報が少なめなので、需要があれば今後もKESLの主要コマンドをご紹介していこうと存じます。

 

この度は最後まで記事をご覧いただき誠にありがとうございました。


記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。

https://www.networld.co.jp/product/kaspersky/

 

それでは次回の記事でお会いしましょう!