F-Secure Policy ManagerでLinux Securityを管理してみた

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

F-Secure Policy Managerを使って、F-Secure Linux Securityを管理してみました。
Policy ManagerをWindows Serverにインストールし、Linux Securityを一元管理します。

事前準備

F-Secure Policy ManagerはEC2にインストールして利用します。
システム要件を確認し、OSとインスタンスタイプを選択します。
今回は、Windows Server 2016を選択しました。

ポリシーマネージャはWindows、Linux共に対応しています。
Linuxでは一部機能が使えない点に注意が必要です。

ポリシーマネージャが、ホスト(ポリシーマネージャーに管理されるコンピュータ)からのhttp、https通信を受け取れるようセキュリティグループを設定します。

ポリシーマネージャーのインストール

インストーラをダウンロードします。

インストーラを実行すると、ウィザードが開始されます。

ポリシーマネージャーコンソールとポリシーサーバーマネージャをインストールします。

管理アカウントのパスワードを入力します。

ポリシーマネージャーで利用するポートはデフォルトのままとしました。

ポリシーマネージャーコンソールへの接続

ポリシーマネージャーコンソールに接続します。
スタートメニューから、F-secureポリシーマネージャーコンソールを選択します。

localhostにadminユーザーで接続します。
パスワードはインストール時に指定したものを入力します。

ライセンスを入力するか評価版として利用するか選択します。今回は評価版として利用しました。
接続が完了すると、コンソール画面が表示されます。

署名鍵のエクスポート

F-secure Linuxを管理する際に、署名鍵が必要になります。
ツール>サーバーの構成>鍵>エクスポートを選択します。

パスワードを入力してエクスポートします。

「admin.pub、admin.prv」がエクスポートされます。
admin.pubをホストに転送します。

F-secure Linuxセキュリティの管理

F-secure Linuxのインストール

F-secure Linuxをインストールします。
こちらの記事の"インストール"を実施します。

fsav-configコマンドを実行し、初期設定を行います。
Manager managedを指定し、マネージャのIPアドレスを指定します。
admin.pubはエクスポートした署名鍵を指定します。

$ sudo /opt/f-secure/fsav/fsav-config
Select language to use in Web User Interface
	[1] English
	[2] Japanese (default)
	[3] German
	[4] French

Please select 1, 2, 3, or 4 [2]: 2

We will now ask you some questions regarding the installation of this product.
A default value will be shown in square brackets after the question. To accept
the default, just press enter.

Do you want to configure the product to run as standalone, Policy Manager managed
or PSB managed?
Select [s]tandalone, Policy [M]anager managed, or [P]SB managed [Policy Manager managed]: M


Address of F-Secure Policy Manager Server [http://localhost/]: http://172.31.1.166
Give the admin.pub file location [/root/admin.pub]: /home/ec2-user/admin.pub


Configuring........

Please enter the keycode you have received with your
purchase of F-Secure Linux Security.
keycode:
No keycode entered.
You can later upgrade the product to fully licensed by running
/opt/f-secure/fsav/sbin/convert_to_full_installation.sh
Checking installation type...
  Evaluation version, enabling all features
  Installing Server Edition.

Configuring.....

Allow remote access to the web user interface? [no] no

Allow connections from localhost to the web user interface
without login? [yes] yes



Running /opt/f-secure/fsav/bin/fsav-compile-drivers
Dazuko not needed

Feature summary:
- Real-time virus protection enabled
- Integrity checking enabled
- Firewall enabled

Installation completed successfully.
Starting F-Secure Linux Security modules (/etc/init.d/fsma start)

To configure the product, please run /opt/f-secure/fsav/fsav-config.

If you want to completely disable some of the product modules, please
run /opt/f-secure/fsav/sbin/fschooser.
$

ポリシードメインの作成

ポリシーマネージャーコンソールから、ポリシードメインを作成します。
編集>新規ポリシードメインを選択します。

Amazon Linuxというドメインを作成しました。
本番環境では、OSや役割(web,app,mailなど)に応じて作成すると良いと思います。

ポリシードメインへの追加

ホストを追加します。
編集>新しいホストを追加 を選択します。
ホストを選択し、Amazon Linuxドメインにインポートします。

Amazon Linuxドメインに追加された事がわかります。

ポリシー設定

Amazon Linuxポリシーの設定内容を確認します。
設定を詳細ビューで開き、F-Secure Linuxセキュリティを選択します。
Amazon Linuxドメインの"ファイアウォール"を確認すると、灰色になっています。
灰色はルートドメインから継承された値です。

ホストはAmazon Linuxのポリシーを継承し、ファイアウォールは有効な状態です。

Amazon Linuxポリシーの設定を変更します。
"ファイアウォールを有効にしました"をいいえにします。

ポリシーの変更は、ポリシーが配布されるときに適用されます。
概要>ポリシーを配布する を選択します。

ホストはAmazon Linuxのポリシーを継承し、ファイアウォールが無効になりました。

おわりに

F-Secure Policy Managerを使って、F-Secure Linux Securityを管理してみました。
ポリシードメインごとに設定を行う事で、Linux Securityの設定を一元管理できる事を確認しました。

参考

検証環境

  • Windows_Server-2016-Japanese-Full-Base-2017.11.18(ami-4a3b8a2c)