[ホーム] - [Redhat Linux 7 FAQ 一覧] - [ServerProtect 3 を CentOS 7 で試したときのノウハウまとめ]



ServerProtect 3 を CentOS 7 で試したときのノウハウまとめ

環境:Redhat Enterprise linux 7(EL)




目的


・Centos 7 + ServerProtect 3 を試してみる
・すべてフリー(評価版含む)
・CUIベースのみ
・アンチウィルスのコマンド確認
・テスト用ウィルスの動作確認
・リアルタイムスキャン除外設定


参考文書


Trend Micro ServerProtect for Linux CentOS / Suse 11 クイックスタートガイド


ダウンロード


Centos 7

ServerProtect 評価版

(*)Activation Code は登録したメールに送信される。

ダウンロードしたら展開していく。
SPLX30_X64.tgz →SPLX30_X64.tar→SProtectLinux-3.0.bin (例:tar xvzf SPLX30_X64.tgz )


インストール


(1)
以下のOSで試した。
# cat /etc/centos-release
CentOS Linux release 7.3.1611 (Core)

(2)
前提パッケージをインストール

# yum -y install glibc.x86_64
# yum -y install zlib.x86_64
# yum -y install compat-libstdc++-33.x86_64
# yum -y install libuuid.x86_64
# yum -y install nss-softokn-freebl.x86_64
# yum -y install libgcc.x86_64
# yum -y install perl-Sys-Syslog.x86_64

参考:http://www.trendmicro.co.jp/jp/business/products/splx/#requirement



(2)
解凍したファイルから以下を実行。(必要に応じて実行権限を付ける)

# ./SProtectLinux-3.0.bin

(注意)以下のエラーが発生する場合は(2)の前提パッケージがインストールされていない。
[エラー]
Dependency failed:
Please install compat-libstdc++ package


(3)
「Do you wish to connect this SPLX server to Trend Micro Control Manager? (y/n) [y] 」

には TMCMには接続しないので "n"を


(4)
「Activation Code:」には評価版の場合はメールで送信されたコードを入力。
(SPで始まる番号)

(5)
"ServerProtect for Linux installation completed."が出力されたらインストール成功。

(6)
起動状態を確認。現段階でsystemd には対応していない可能性あり。
# chkconfig --list | grep splx
(中略)
splx 0:off 1:off 2:off 3:on 4:on 5:on 6:off


(7)
状態を確認する。
# systemctl list-units --type=service --no-pager | grep splx
splx.service loaded active running LSB: ServerProtect for Linux


(6)
KHM(Kernel Hook Module)を導入する。
ファイルの input / output などでリアルタイムスキャンする場合は、kHMが必要。
おそらくカーネルのファイル送受信の仕組みをhookしてアンチウィルスを行う。

以下から導入するOSに適合するモジュールをインストールする。

http://downloadcenter.trendmicro.com/index.php?clk=tbl&clkval=111®s=NABU&lang_loc=1#fragment-111

# uname -r
3.10.0-514.el7.x86_64

でカーネルバージョンを確認し、一致するKHMをダウンロードする。
(ただし、Trend のサイトではKHMではなく「カーネルモジュール」と記載されている。)

上記の場合は対応するモジュールは以下となる。

splx_kernel_module-3.0.1.0016.centos7_3.10.0-514.el7.x86_64.x86_64.tar.gz

(7)
ServerProtectを停止する

# systemctl stop splx


(8)
以下のフォルダへKHMをコピーする。

/opt/TrendMicro/SProtectLinux/SPLX.module/

(9)
以下、KHMを解凍する。(カーネルバージョンによりファイル名は異なる)

# tar xzvf splx_kernel_module-3.0.1.0016.centos7_3.10.0-514.el7.x86_64.x86_64.tar.gz
splxmod-3.10.0-514.el7.x86_64.x86_64.o
splxmod-3.10.0-514.el7.x86_64.x86_64.o.md5

(10)splxを起動する
# systemctl start splx


(11)
ブラウザから以下にアクセスする。(httpsの場合)
(*)firewalldを使用している場合は事前に穴を開ける必要あり。

https://x.x.x.x:14943/SProtectLinux/login_and_register.cgi?Type=0

(12)
「Please type your password to access the product console. 」の画面が表示されるため、初回のパスワードを入力する。

初期パスワードは空(何もなしの0文字)でログオンできる。危険なので大至急変更することを推奨する。

(13)[administration]→[password] で ServerProtect のパスワードを変更する。

(14)[Scan Options]→[Real-time Scan]で[Enable Real-time scan]のチェックを入れる。


感染時の動作




感染すると、以下のログに記録される模様。

/var/log/TrendMicro/SProtectLinux/Virus.YYYYMMDD.nnnn
/var/log/TrendMicro/SProtectLinux/Scan.YYYYMMDD.nnnn
/var/log/TrendMicro/SProtectLinux/Spyware.YYYYMMDD.nnnn


以下テストファイルでの確認
# grep virus_name *
Virus.20170310.0001:virus_name=Eicar_test_file


その他感染時にはメール(smtp)やSNMPで通知する方式があるが、それらの仕組みがない場合はこのログファイルを監視するのがよいだろう。
実機で確認したところ全ドライブスキャンでのウィルスもScanではなくVirusログに記録された。


コマンドでアンチウィルス



別途コマンドでアンチウィルスを実行することが可能。

#/opt/TrendMicro/SProtectLinux/SPLX.vsapiapp/splxmain -m /eicar [検索対象のディレクトリ]

感染時は上記のログに記録される
感染した場合の削除、除去などは[Manual Scan]の設定に従う。


パターン更新失敗時の動き


# /var/log/TrendMicro/SProtectLinux/System.YYYYMMDD.nnnn

に以下が記録される。

Unable to connect to the update server


感染時の通知方法


感染はメール(smpt)あるいはsntpトラップの2種類が選択可能。






(*)本ページは CentOS 7.2以後を想定しています。

最終更新日:2017/11/26



[ホーム] - [ Redhat Linux 7 FAQ 一覧]


本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) tooljp.com 2007-2018