株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

Kaspersky製品ナレッジ 第40回 ~管理サーバー(KSC)なしの環境におけるKESLインストールと初期設定~

皆様、こんにちは。カスペルスキー製品担当SEの小池です。

今までKaspersky Endpoint Security for Linux (以降KESLと記載) の色々な機能や操作について記載してまいりましたが、管理サーバー (Kaspersky Security Cneter) なしの環境におけるインストール方法について記載していなかったことに今更気が付きました…。
なので、今回はKSCなしの環境におけるKESLのインストールと初期設定について紹介いたします。

今回の内容は以下の通りです。


今回の記事は以下のバージョンにて検証し、画面ショットを取得しております。
●保護製品
 Kaspersky Endpoint Security for Linux 11.2.0.4528

●保護対象デバイス
 Amazon Linux 2

●利用ライセンス
 Kaspersky Endpoint Security for Business - Advanced Japanese Edition

なお、今回紹介いたしますLinuxコマンド関連は、すべてrootにて実行しています。

1. KSCなしの環境におけるKESLインストールと初期設定の概要

KESLをKSCなしの環境にスタンドアロンとしてインストールする場合、主に①インストールコマンド実行②初期設定③各種設定という流れになります。
オンラインヘルプなどでは、①②をまとめて "インストール作業" として記載されています。
このうち②の初期設定については、以下の方法が可能です。

  • 対話方式による初期設定
  • 設定ファイルで初期設定を自動化

対話方式による初期設定では、対話式のコマンドインストールを実行します。
システム要件さえ満たしていれば事前準備は不要なので、とにかくシンプルな方法です。
ただし、インストールするLinuxサーバーの環境やOSに依存して、対話式で問われる設定内容が若干異なることがあるため、異なる設定のOSが混在する環境 等ではインストール手順を共通化するのが難しいことがあります。
対話によって設定する事項は必要最低限であり、他の詳細な設定はインストール後にkesl-controlコマンド等を用いて設定する必要があります。(前述の③各種設定のことです。)
KSCがない環境 且つ 導入台数が少ないケースにおいて有効なインストール方法だと考えられます

設定ファイルで初期設定を自動化する場合は、初期設定前に "autoinstall.ini" を編集しておき、初期設定コマンド実行時に編集済ファイルをオプション指定することで、初回設定をすべて自動化することが可能です。
設定ファイルを作成しなければいけないという手間はありますが、対話式で初期設定をするより格段に時間を節約できます。
設定ファイルによる初期設定の内容は必要最低限であり、他の詳細な設定はインストール後にkesl-controlコマンド等を用いて設定する必要があります。(前述の③各種設定のことです。)
KSCがない環境 且つ 導入台数が多いケースにおいて有効なインストール方法だと考えられます

2. インストール方法①~対話方式による初期設定~

まずは初期設定を対話方式で設定する手順を紹介いたします。
この記事ではOSがAmazon Linux 2の場合の例を記載しています。
インストールの流れは以下のような感じです。
 Step1. インストール
 Step2. 初期設定 (対話方式)
 Step3. 各種設定

なお、Step3. 各種設定については、kesl-controlコマンドによる設定がメインなので今回は割愛します、すみません。。
その代わりに番外編としてKESLの全設定をエクスポート/インポートする手順をご紹介します。
ではStep1.から手順を紹介いたします。

Step1. インストール

メーカーのダウンロードサイトに行き、最新のKESLのインストーラーを入手します。

https://www.kaspersky.co.jp/small-to-medium-business-security/downloads/endpoint?_ga=2.62693612.1766838142.1627957342-1744611903.1626276780


該当するOS種別の "Distributive" というものをダウンロードします。

f:id:networld-blog-post:20210804164129p:plain

KESLをインストールするOSの任意の場所に、インストーラーを格納します。
OSに管理者権限でログインし、先ほどのインストーラーの権限を変更します。(ここでは755に変更しています。)

f:id:networld-blog-post:20210804164204p:plain

インストールコマンドを実行します。
この記事ではAmazon Linux 2 且つ GUIなしのrpmコマンドを実行します。
Ubuntuの場合等のコマンド例については以下のオンラインヘルプをご参照ください。

https://support.kaspersky.com/KES4Linux/11.2.0/ja-jp/203902.htm

# rpm -i kesl-11.2.0-<ビルド番号>.x86_64.rpm

f:id:networld-blog-post:20210804164241p:plain

以上でインストールは完了です。

Step2. 初期設定 (対話方式)

インストールコマンドが完了すると、初期設定を促す指示が出力に出ているはずですので、それをそのままコピペして実行します。
# /opt/kaspersky/kesl/bin/kesl-setup.pl

f:id:networld-blog-post:20210804164340p:plain

対話式による初期設定が開始します。
この初期設定の内容はOSの種別や環境に依存するため、この記事で紹介する以外の項目が現れる可能性があります。
ですので、以下のオンラインヘルプを参照しながら設定することをお勧めいたします。

https://support.kaspersky.com/KES4Linux/11.2.0/ja-jp/197897.htm

最初はロケールの選択です。
このロケールの指定を含め、規定値は [ ] で囲われて表示されています。
(なお、ロケールは規定値が環境によって変動します。)
ここでは例として ja_JP.UTF-8 を指定して進めます。

f:id:networld-blog-post:20210804164402p:plain

使用許諾契約書とプライバシーポリシーへの同意に進みます。
指示通りとりあえずEnterキーを押します。

f:id:networld-blog-post:20210804171024p:plain

使用許諾契約書がつらつらと表示されます。
Enterキーを押し続けてすべて表示させるか、:qで抜けてください。

f:id:networld-blog-post:20210804164429p:plain

使用許諾契約書への同意を求められるので [y] を入力します。

f:id:networld-blog-post:20210804171158p:plain

プライバシー・ポリシーへの同意を求められるので、[y] を入力します。

f:id:networld-blog-post:20210804171221p:plain

Kaspersky Security Network に関する声明の条件に同意するかしないかを指定します。
[y] にした場合、Kaspersky Security Network の拡張モードが有効になります。
ここで [y] を指定しても、[n] を指定しても、KESLのインストール自体は完了し、各種機能の利用も可能です。
また、ここで指定した設定値はインストール後にいつでも変更可能です。
ここでは例として [y] で進めます。

f:id:networld-blog-post:20210804171250p:plain

KESLの管理者ロールを割り当てるユーザー名を指定します。
この項目はインストール後に設定可能です。この操作はスキップできます。
ここでは例としてスキップして進みます。

f:id:networld-blog-post:20210804164522p:plain

自動でファイル操作のインターセプターの種別の判別が始まります。
ここでは特に入力不要なので、次の設定に行くまでそのまま待ちます。

f:id:networld-blog-post:20210804164539p:plain

次に、アップデート元の指定をします。
デフォルト値は [KLServers] となっていますが、これはメーカーの公開サーバーのことです。
スタンドアロン環境なので多くの場合は KLServers でよいと思いますが、もしインターネットに接続できない環境の場合やLGWAN環境の場合はこの設定を変える必要があります。
この設定はKESLインストール後に変更できます。
ここでは例として規定値の [KLServers] を指定して進みます。

f:id:networld-blog-post:20210804164554p:plain

プロキシサーバーの指定をします。
プロキシサーバーは主に、定義データベースを含む各種アップデートにてメーカーの公開サーバーを参照する際や、KSNとの通信時に利用します。
プロキシIPのみ指定する場合は [<プロキシIP>:<ポート番号>]、ユーザーとパスワード指定が必要な場合は [<ユーザー名>:<パスワード>@<プロキシIP>:<ポート番号>] で指定します。
プロキシサーバーなしの場合は [n] または [no] とします。
ここでは例として [n] で進めます。

f:id:networld-blog-post:20210804164612p:plain

今すぐ定義データベースをダウンロードするかを問われます。
インターネット環境に接続可能、もしくは、個別に指定したアップデート元を利用可能な状態であれば、[y] でよいかと存じます。
ここでは例として [y] を指定して進めます。

f:id:networld-blog-post:20210804164631p:plain

定義データベースのダウンロードが開始しますので、しばらく待ちます。

f:id:networld-blog-post:20210804164642p:plain

アプリケーション・データベースの自動更新を有効にするか否かを問われます。
何か特別な理由がない限りは [y] でよいかと存じます。
[y] にした場合は1時間に1回指定されたアップデート元を参照して、更新が存在する場合はそこからダウンロードするようにスケジューリングされます。
ここでは例として [y] で進めます。

f:id:networld-blog-post:20210804164654p:plain

アプリケーションを有効化するために、アクティベーションコードを求められます。
既に製品版ライセンスを持っている場合は、そのアクティベーションコードを入力します。
製品版アクティベーションコードを持っていない場合は空欄のまま進めてください。(この場合、製品内蔵の試用版ライセンスが適用され、一定期間試用することができます。)

f:id:networld-blog-post:20210804164708p:plain

これで対話式の初期設定は完了です。

f:id:networld-blog-post:20210804164717p:plain

この後、OSを再起動するかKESLを起動をすることで、保護機能有効になります。

Step3. 各種設定

kesl-controlで各種保護機能や除外設定をするのですが、これを書き始めるときりがないので、先述の通り今回は割愛致します。
余談としてKESLの設定のエクスポートとインポートについて最後の章で記載致しますので、ご参考までに。

3. インストール方法②~設定ファイルで初期設定を自動化~

本章では設定ファイルで初期設定を自動化するインストール手順を紹介いたします。
この記事ではOSがAmazon Linux 2の場合の例を記載しています。
インストールの流れは以下のような感じです。
 Step1. インストール
 Step2. 初期設定ファイルの作成
 Step3. 初期設定 (設定ファイルで自動化)
 Step4. 各種設定
なお、Step4. 各種設定については、kesl-controlコマンドによる設定がメインなので今回は割愛します、すみません。。
その代わりに番外編としてKESLのエクスポートとインポート手順をご紹介します。
ではStep1.から手順を紹介いたします。

Step1. インストール

メーカーのダウンロードサイトに行き、最新のKESLのインストーラーを入手します。

https://www.kaspersky.co.jp/small-to-medium-business-security/downloads/endpoint?_ga=2.62693612.1766838142.1627957342-1744611903.1626276780


該当するOS種別の "Distributive" というものをダウンロードします。

f:id:networld-blog-post:20210804165045p:plain

KESLをインストールするOSの任意の場所に、インストーラーを格納します。

OSに管理者権限でログインし、先ほどのインストーラーの権限を変更します。(ここでは755に変更しています。)

f:id:networld-blog-post:20210804165215p:plain

インストールコマンドを実行します。
この記事ではAmazon Linux 2 且つ GUIなしのrpmコマンドを実行します。
Ubuntuの場合等のコマンド例については以下のオンラインヘルプをご参照ください。

https://support.kaspersky.com/KES4Linux/11.2.0/ja-jp/203902.htm

# rpm -i kesl-11.2.0-<ビルド番号>.x86_64.rpm

f:id:networld-blog-post:20210804165239p:plain

以上でインストールは完了です。

Step2. 初期設定ファイルの作成

初期設定のスクリプトを実行する前に、初期設定ファイルを作成します。
/opt/kaspersky/kesl/doc にある "autoinstall.ini" を任意の場所にコピーします。

f:id:networld-blog-post:20210804165321p:plain

任意の場所にコピーした "autoinstall.ini" を編集します。
もともと本ファイルのパーミッションは400なので、必要に応じてwrite権限を付与してください。
各項目の末尾に (required) となっている項目は必ずコメントアウトして設定値を入力して下さい。
この手順では例として以下の通り設定しました。

f:id:networld-blog-post:20210804165335p:plain

以上で初期設定ファイルの作成は完了です。

Step3. 初期設定 (設定ファイルで自動化)

先ほど作成した "autoinstall.ini" ファイルをオプション指定して初期設定コマンドを実行します。

https://support.kaspersky.com/KES4Linux/11.2.0/ja-jp/197909.htm

# /opt/kaspersky/kesl/bin/kesl-setup.pl --autoinstall=<Step2.で作成した初期設定ファイル>

今回の場合、編集済の "autoinstall.ini" ファイルは/work/配下にあるので、以下の通りとなります。

f:id:networld-blog-post:20210804165430p:plain

実行すると以下のように、各種設定項目の目次だけ表示されて自動設定が進んでいきます。
対話式とは異なり処理中は入力不要なので、このまま完了するまでしばらく待ちます。(最新の定義データベースをダウンロードするように指定した場合は、結構時間かかります。)

f:id:networld-blog-post:20210804165444p:plain

しばらくすると以下のように終了します。

f:id:networld-blog-post:20210804165453p:plain

この後、OSを再起動するかKESLを起動をすることで、保護機能有効になります。

Step4. 各種設定

kesl-controlで各種保護機能や除外設定をするのですが、これを書き始めるときりがないので、先述の通り今回は割愛致します。
余談としてKESLの設定のエクスポートとインポートについて最後の章で記載致しますので、ご参考までに。

4. 番外編~インストール後の各種設定エクスポート/インポート~

先述の通り、スタンドアロンのKESLは①インストール②初期設定③各種設定という処理が必要です。
本章ではおまけとして③各種設定の設定をエクスポート/インポートする手順を紹介します
本手順が活用できるシーンとしては、スタンドアロンのKESLが大量にあり、且つ、設定をすべて同じにしたい場合などが想定されます。

まずはピックアップしたKESL1台で、各種保護機能のON/OFF、除外設定、タスクのスケジューリング などの必要な設定をkesl-controlですべて設定します。
設定が終わったら、 以下のコマンドでKESLに関する全設定をエクスポートします。(拡張子は任意です。)

# kesl-control --export-settings --file <エクスポート先のファイル>

f:id:networld-blog-post:20210804165753p:plain

エクスポート指定したファイルが生成されていることと、中身にKESLの設定値がエクスポートされていることを確認します。

f:id:networld-blog-post:20210804165802p:plain

生成した設定エクスポートファイルを、KESLをインストール済 且つ 初期設定完了済のLinuxサーバーにコピーします。

f:id:networld-blog-post:20210804165812p:plain

以下のコマンドで設定エクスポートファイルをインポートします。
この例では設定エクスポートファイルを/work/配下にコピーしたので以下のコマンドとなっております。
# kesl-control --import-settings --file <別のKESLからエクスポートした設定ファイル>

f:id:networld-blog-post:20210804165921p:plain

環境によっては出力に "internal error" と "~が存在しません" が表示されますが、他の項目についてはインポートが完了しているので無視していいです。
(なお、インポートしようと思っている項目に対してエラーが出ている場合は、この限りではありません。)

f:id:networld-blog-post:20210804170018p:plain

インポート後は、各種設定を反映させるためにKESLを再起動させます。
# systemctl restart kesl

f:id:networld-blog-post:20210804170055p:plain

これで設定のエクスポート/インポートが完了です。
KSCなしの環境でKESLを大量に展開するケース 等において、この章の情報がご参考になれば幸いです。

 

今回は管理サーバー(KSC)なしの環境におけるKESLインストールと初期設定を紹介いたしました。
Linuxサーバーを保護したいけど、管理サーバーを建てるほどの台数じゃないんだよなぁ…とお考えの場合等に、ぜひKaspersky Endpoint Security for Linuxをご検討いただければと存じます。

この度は最後まで記事をご覧いただき誠にありがとうございました。
記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。

https://www.networld.co.jp/product/kaspersky/

それでは次回の記事でお会いしましょう!