SAVforLinux安裝配置維護(hù)手冊(cè)v21

SAVforLinux安裝手冊(cè)一、SEPM管理服務(wù)器安裝 運(yùn)行Setup開始安裝，選擇“安裝SymantecEndpointProtection” 選擇“安裝SymantecEndpointProtectionManager” 點(diǎn)“下一步” 點(diǎn)“下一步” 更改安裝路徑到非系統(tǒng)盤，如D盤. 點(diǎn)“安裝” 安裝完成中……二、配置管理服務(wù)器 點(diǎn)“下一步” 選自定義配置，點(diǎn)“下一步” 選擇1000臺(tái)以上，點(diǎn)“下一步” 選擇安裝我的第一個(gè)站點(diǎn)，點(diǎn)“下一步” 直接點(diǎn)“下一步” 選擇默認(rèn)嵌入式數(shù)據(jù)庫，點(diǎn)“下一步”設(shè)置賬號(hào)admin的登陸密碼，如symantec123，然后點(diǎn)“下一步”選“用戶自定義”，輸入加密密碼，如symantec123 選“否”，不測試 點(diǎn)“下一步” 數(shù)據(jù)庫配置中…… 直接點(diǎn)“完成”，至此管理服務(wù)器基本安裝配置已完成。本地訪問按如下圖選擇打開登陸窗口，如下圖： 登陸后的界面，如下圖基于Web訪問 在瀏覽器中輸入http://ServerIP:9090,按如下圖點(diǎn)“啟動(dòng)”按鈕。 Web登陸后的界面，如下圖。日志收集配置 點(diǎn)“主頁”界面的“首選項(xiàng)”，如下圖選擇彈出對(duì)話框的“日志和報(bào)告”選項(xiàng)卡，然后勾選“上載SymantecAntiVirus10.x版日志文件”，啟用收集查看并在報(bào)告中使用運(yùn)行SymantecAntiVirus10.x和SymantecClientSecurity3.x的計(jì)算機(jī)的日志數(shù)據(jù)。如下圖打開“服務(wù)”窗口，停止以下2個(gè)服務(wù)：SymantecEndpointProtectionManagerSymantecEndpointProtectionManagerWebserver瀏覽至驅(qū)動(dòng)器:\安裝目錄?\Symantec?\SymantecEndpointProtectionManager\apache\conf目錄。使用文本編輯器（如記事本）打開httpd.conf文件。找到<Directory"../InetPub/reporting">元素。在AllowOverrideall行后面、</Directory>行之前添加下面兩行：OptionsallExecCGIAllowfromall存儲(chǔ)并關(guān)閉文件。從“服務(wù)”窗口重新啟動(dòng)SymantecEndpointProtectionManager服務(wù)三、LUA更新服務(wù)器安裝 LUA正常運(yùn)行需要Java運(yùn)行環(huán)境的支持，請(qǐng)先安裝Jre。 安裝進(jìn)行中…… 安裝已完成運(yùn)行LUAESD開始安裝LUA更新服務(wù)器，如下圖 點(diǎn)“下一步” 點(diǎn)“下一步”更新安裝目錄到非系統(tǒng)盤，如D盤設(shè)置LUA管理員賬號(hào)admin的登陸密碼，如symantec 安裝進(jìn)行中…… 安裝已完成四、配置更新服務(wù)器 打開LUA控制臺(tái) 輸入密碼賬號(hào)，點(diǎn)“登陸”進(jìn)行控制臺(tái)更新產(chǎn)品目錄，然后點(diǎn)“添加新產(chǎn)品”按鈕，如下圖：選擇產(chǎn)品并確定，如下圖： 產(chǎn)品已添加 選擇“源服務(wù)器”，然后點(diǎn)“編輯”，如下圖：進(jìn)入后點(diǎn)“測試”按鈕，確保提示“已成功連接到[SymantecLiveUpdate]。”，如下圖： 選擇“分發(fā)中心”，然后勾選生產(chǎn)分發(fā)中心，再點(diǎn)“編輯”，如下圖： 進(jìn)入后，點(diǎn)“測試”，確?？沙晒B接，然后點(diǎn)“添加”添加對(duì)應(yīng)的產(chǎn)品，再點(diǎn)“確定”保存退出，如下圖： 在非系統(tǒng)盤，如D盤新建名為TempDownload的文件夾，然后選擇“首選項(xiàng)”，將調(diào)整臨時(shí)目錄為D:\TempDownload，最后點(diǎn)“更新”后退出，如下圖： 選擇“下載和分發(fā)”，然后點(diǎn)“添加下載”，如下圖： 為下載調(diào)度命名為“Download”，然后點(diǎn)“添加”添加對(duì)應(yīng)的產(chǎn)品，再視實(shí)際情況選擇合適的調(diào)度時(shí)間，最后點(diǎn)“確定”保存退出，如下圖： 選擇“下載和分發(fā)”，然后點(diǎn)“添加分發(fā)”，如下圖： 為分發(fā)調(diào)度命名為“Update”，然后點(diǎn)“添加”添加對(duì)應(yīng)的產(chǎn)品，再視實(shí)際情況選擇合適的調(diào)度時(shí)間，最后點(diǎn)“確定”保存退出，如下圖： 注：分發(fā)調(diào)度一定要在下載調(diào)度之后，最好間隔1~2個(gè)小時(shí)。五、SAVForLinux客戶端安裝及病毒庫更新配置SAVFL(SymantecAntiVirusforLinux)是一款Linux下的殺毒軟件。由于SEP沒有用于Linux的客戶端，如果希望在Linux下部署防病毒軟件，可以使用SEP安裝光盤內(nèi)的SAVFL進(jìn)行安裝。本文主要記錄在安裝部署配置Client端和Server端過程中的參考步驟和相關(guān)的技術(shù)說明，以解決Linux防毒軟件安裝，病毒庫更新，日志獲取等問題，更多詳細(xì)內(nèi)容請(qǐng)參考軟件包里的PDF技術(shù)文檔。安裝檢查在安裝SAVFL之前，必須查看該Linux內(nèi)核版本，與SAVFL安裝光盤下的Readme文件進(jìn)行比較，以確認(rèn)使用的安裝包支持內(nèi)核版本。查看命令：cat/proc/version或uname-a安裝準(zhǔn)備操作系統(tǒng):RHEL6.1安裝軟件：sav：基礎(chǔ)核心安裝包（必裝）savap：自動(dòng)防護(hù)模塊（依賴sav）savui：圖形化模塊（依賴sav，x11，jre1.6orlater）savjlu：病毒庫模塊（依賴sav，jre1.6orlater）組件清單、client版本基本組件其它組件組件安裝及配置在安裝相關(guān)組件前需提前安裝好以下依賴包：glibc-2.12-1.25.el6.i686.rpmnss-softokn-freebl-3.12.9-3.el6.i686.rpmlibXau-1.0.5-1.el6.i686.rpmlibxcb-1.5-1.el6.i686.rpmlibX11-1.3-2.el6.i686.rpmlibgcc-4.4.5-6.el6.i686.rpmperl-libwww-perl-5.833-2.el6.noarch.rpmperl-HTML-Parser-3.64-2.el6.x86_64.rpmperl-HTML-Tagset-3.20-4.el6.noarch.rpmperl-Compress-Zlib-2.020-119.el6.x86_64.rpmperl-Compress-Raw-Zlib-2.023-119.el6.x86_64.rpmperl-URI-1.40-2.el6.noarch.rpmperl-IO-Compress-Base-2.020-119.el6.x86_64.rpmperl-IO-Compress-Zlib-2.020-119.el6.x86_64.rpm安裝過程（1）、上傳安裝文件夾rpm包（2）、切換到安裝路徑下（3）、安裝基本組件安裝包[root@esxi4v03savfl]#rpm-ivhsav-1.0.12-8.i386.rpmPreparing...###########################################[100%]1:savui###########################################[100%][root@esxi4v03savfl]#rpm-ivhsavap-x64-1.0.12-8.x86_64.rpmPreparing...###########################################[100%]1:savui###########################################[100%][root@esxi4v03savfl]#rpm-ivhsavjlu-1.0.12-8.i386.rpmPreparing...###########################################[100%]1:savui###########################################[100%][root@esxi4v03savfl]#rpm-ivhsavui-1.0.12-8.i386.rpmPreparing...###########################################[100%]1:savui###########################################[100%]（4）、配置病毒庫更新1>、解壓Jre包（會(huì)在當(dāng)前目錄生成名為jre1.6.0_22的文件夾）[root@esxi4v03savfl]#./jre-6u22-linux-x64.bin2>、解壓jce文件（會(huì)在當(dāng)前目錄生成名為jce的文件夾）[root@esxi4v03savfl]#unzipjce_policy-6.zip拷貝jar文件到相應(yīng)目錄[root@esxi4v03savfl]#cp./jce/*.jar./jre1.6.0_22/lib/security/3>、將jre1.6.0_22轉(zhuǎn)移動(dòng)/opt/Symantec/目錄[root@esxi4v03savfl]#mvjre1.6.0_22//opt/Symantec/4>、修改/etc/Symantec.conf文件，指定JAVA_HOME路徑[root@esxi4v03Symantec]#vi/etc/Symantec.conf[SymantecShared]BaseDir=/opt/SymantecJAVA_HOME=/opt/Symantec/jre1.6.0_22/bin/~5>、新增/etc/liveupdate.conf文件（注：若此文件已存在，請(qǐng)先刪除），新增內(nèi)容如下（注：需指定LUAServerIP，如3）：#pertieshosts/0/url=8:7070/clu-prodlogfile=/var/log/symantec/liveupdate.logworkdir=/tmp（5）、reporting組件安裝及配置1>、解壓安裝包（會(huì)在當(dāng)前目錄生成名為reporting的文件夾）[root@esxi4v03savfl]#tar-xzfreporting-1.0.12-8.tar.gz[root@esxi4v03savfl]#cdreporting[root@esxi4v03reporting]#lltotal196-r--r--r--1100010008717Sep202011README.TXT-r-xr-xr-x1100010006262Sep202011repackage.sh-rw-r--r--11000100084068Sep202011savreporter-1.0.12-8.all.deb-rw-r--r--11000100092585Sep202011savreporter-1.0.12-8.noarch.rpm2>、安裝reporting組件[root@esxi4v03reporting]#rpm-ivhsavreporter-1.0.12-8.noarch.rpmPreparing...###########################################[100%]1:savreporter###########################################[100%]3>、修改reporterd.ini配置文件，指定serverip，如3.[root@esxi4v03reporting]#vi/etc/reporterd.iniReportServerURL=8:8014/Reporting(6)調(diào)度更新病毒庫命令savliveupdate--schedule-f<frequency>-i<interval>-t<time>例如：/opt/Symantec/symantec_antivirus/savliveupdate--schedule-fdaily-i18:46通過/opt/Symantec/symantec_antivirus/savinfo–d命令查看病毒庫版本（7）、使用GRC.DAT修改SAVFL策略（可選） 使用ConfigEd.exe工具生成GRC.DAT文件，并用其修改SAVFL策略。注意：ConfigEd.exe工具在Windows環(huán)境下運(yùn)行，并且計(jì)算機(jī)上需安裝SAVforwindows客戶端。生成的GRC.DAT是純文本文件，可以使用字處理軟件打開編輯將GRC.DAT文件上傳到Linux客戶端的/var/symantec文件夾下，SAVFL每10分鐘檢測一次該文件夾，新策略應(yīng)用后配置文件消失。 也可能使用以下命令讓其立即加載: /opt/Symantec/symantec_antivirus/symcfgadd-k'\SymantecEndpointProtection\AV\ProductControl'-vProcessGRCNow-d1-tREG_DWORD病毒處理方式設(shè)置SAVFL在調(diào)度自動(dòng)掃描、手動(dòng)掃描時(shí)對(duì)發(fā)現(xiàn)的感染病毒的文件的默認(rèn)第一操作為：隔離，若第一操作失敗，接下來的第二操作為：不操作（僅記錄）。 病毒處理方式包含在GRC.DAT策略配置文件中，該策略配置文件的配置、查看、修改是通過ConfigEd.exe來完成的（具體見本文第五節(jié)的第6點(diǎn)“使用GRC.DAT修改SAVFL策略”）。測試情況1、客戶端安裝完成檢查 可在現(xiàn)有的RHEL6.1環(huán)境下正常運(yùn)行，用Xmanager登陸客戶端服務(wù)器可看見如下圖：（1）.各后臺(tái)服務(wù)運(yùn)行正常（2）.病毒庫及防病毒引擎成功加載 （3）.實(shí)時(shí)防護(hù)已啟動(dòng)2、客戶端配置情況檢查1>.自動(dòng)防護(hù)狀態(tài)運(yùn)行/opt/Symantec/symantec_antivirus/savinfo–a命令若顯示enable表示自動(dòng)防護(hù)為啟用狀態(tài)若顯示disable表示自動(dòng)防護(hù)為禁用狀態(tài)/opt/Symantec/symantec_antivirus/savautoprotect-d禁用2>.病毒掃描方式運(yùn)行/opt/Symantec/symantec_antivirus/savscheduledscan–l命令若顯示為空表示沒有設(shè)置調(diào)度掃描3>.隔離區(qū)查看/var/symantec/Quarantine可查看感染病毒后被隔離的文件，名字為xxx.VBN。3、SAVFL客戶端病毒庫更新檢查 查看啟用的調(diào)度更新/opt/Symantec/symantec_antivirus/savliveupdate–v查看調(diào)度更新/opt/Symantec/symantec_antivirus/savliveupdate–u立即手動(dòng)啟動(dòng)調(diào)度更新 病毒庫已經(jīng)成功更新到當(dāng)前最新，如下圖：或通過/opt/Symantec/symantec_antivirus/savinfo–d命令查看病毒庫版本4、病毒查殺案例 上傳病毒樣本文件（txt、com、zip）目錄virus至RHEL服務(wù)器/tmp目錄，立即被SAVFL檢測到并進(jìn)行了殺查，如下圖：六、日常運(yùn)維服務(wù)器配置信息、版本服務(wù)器配置(注：SAVFL防病毒系統(tǒng)的SEPM管理服務(wù)端和LUA更新服務(wù)端將安裝在此機(jī)器上)IP8OS賬號(hào)/密碼administrator/windows@2008SEPM管理服務(wù)端版本12.1.1000.1控制臺(tái)賬號(hào)/密碼admin/Symantec@2008遠(yuǎn)程Web登陸地址http://8:9090日志及報(bào)告查看8:8445/ReportingLUA更新服務(wù)端版本1控制臺(tái)賬號(hào)/密碼admin/symantec123SAVFL客戶端相關(guān)維護(hù)操作0、查看SAVFL服務(wù)運(yùn)行狀態(tài)#/etc/init.d/rtvscandstatus#/etc/init.d/symcfgdstatus#/etc/init.d/autoprotectstatus#/etc/init.d/reporterdstatus1、停止SAVFL服務(wù)運(yùn)行/etc/init.d/rtvscandstop/etc/init.d/symcfgdstop/etc/init.d/autoprotectstop/etc/init.d/reporterdstop2、SAVFL相關(guān)日志目錄/var/log/syslogrtvscanandsymcfgddaemons/var/log/messagesrtvscanandsymcfgddaemons/var/symantec/LogsScanlogs/opt/Symantec/LiveUpdate/liveupdt.logLiveUpdatelog/opt/Symantec/ReportingAgent/LinuxSavreporterlogfiles3、SAVFL常用命令的使用方法說明[root@esxi4v03init.d]#/opt/Symantec/symantec_antivirus/savInvalidparameterorcommand.Usage:sav[OPTIONS]COMMANDOptionsare:-q|--quiet-h|--helpCommandsare:autoprotect-e|--enable-d|--disablemanualscan-s|--scan<filelist>-c|--clscan<filelist>-t|--stopscheduledscan-c|--create<ID>-f|--frequency<daily|weekly|monthly>-i|--interval<HH:MM|SUN-SAT|1-31>-t|--time<HH:MM>-m|--missedevents<0|1>-l|--list-n|--info<ID>-d|--delete<ID>-e|--enable<ID>-s|--disable<ID>-p|--stop<ID>liveupdate-u|--update-v|--view-s|--schedule-f|--frequency<daily|weekly|monthly>-i|--interval<HH:MM|SUN-SAT|1-31>-t|--time<HH:MM>-m|--missedevents<0|1>quarantine-l|--list-d|--delete<ID>-r|--restore<ID>-p|--repair<ID>-i|--info<ID>definitions-r|--rollback-u|--usenewestinfo-d|--defs-e|--engine-p|--product-s|--scanner-a|--autoprotect-t|--threatsFormoreinformationpleaserefertothemanpageordocumentation.4、自動(dòng)防護(hù)禁用執(zhí)行命令/opt/Symantec/symantec_antivirus/savautoprotect-d禁用/opt/Symantec/symantec_antivirus/savinfo–a查看自動(dòng)防護(hù)狀態(tài)5、隔離區(qū)查看查看/var/symantec/Quarantine目錄6、掃描及更新1>、立即手動(dòng)全盤掃描命令/opt/Symantec/symantec_antivirus/savmanualscan-s/（注：全盤掃描）2>、調(diào)度掃描命令savscheduledscan--create<scanID>-f<frequenc