CentOS
セキュリティ
ServerProtect
CentOSDay 5

CentOS 7.4 に ServerProtect™ for Linux をインストールする

ServerProtect™ for Linux

https://www.trendmicro.com/ja_jp/business/products/user-protection/sps/endpoint/serverprotect-linux.html

必要なパッケージのインストール

yum -y install bzip2 compat-libstdc++-33 "perl(Sys::Syslog)"

システム要件 1 に記載の必要なインストールパッケージの RHEL7 サポート版に記載があるもののうち、実際にインストールが必要なのは compat-libstdc++-33perl-Sys-Syslog パッケージのみで、他は minimal インストールですでにインストール済みとなっている。また クイックスタートガイド には記載があるが bzip2 が別途必要。

アクティベーションコードの入手

ServerProtect for Linux のインストールに必要なアクティベーションコードの入手にはメールアドレス等の登録が必要。登録したメールアドレスにアクティベーションコードが送付される。
体験版ダウンロード ページより登録できる。

インストール

curl -LO http://files.trendmicro.com/products/splx/SPLX30_X64.tgz && tar xf SPLX30_X64.tgz
./SProtectLinux-3.0.bin -s -S SP-XXXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
Installing ServerProtect for Linux:
Unpacking...
Installing rpm file...
準備しています...              ################################# [100%]
更新中 / インストール中...
   1:SProtectLinux-3.0-1061           ################################# [100%]
Do you wish to connect this SPLX server to Trend Micro Control Manager? (y/n) [y] n
Activation successful.
Starting services...
Starting ServerProtect for Linux:
Checking configuration file:                               [  OK  ]
Starting splxcore:
Starting Entity:                                           [  OK  ]
Loading splx kernel module:                                [Not available]]

Error:   Kernel Hook Module (KHM) for this Linux kernel version is not
available. Check if the KHM for your  Linux kernel version is released
on the Trend Micro website at  "http://www.trendmicro.com/en/products/
file-server/sp-linux/use/kernel.htm".Or,follow the instructions in the
INSTALL file in "/opt/TrendMicro/SProtectLinux/SPLX.module/src/module"
to build the KHM for your Linux kernel version.

Starting vsapiapp:                                         [  OK  ]
ServerProtect for Linux core started.
                                                           [  OK  ]
Starting splxhttpd:
Starting splxhttpd:                                        [  OK  ]
ServerProtect for Linux httpd started.
                                                           [  OK  ]
ServerProtect for Linux started.

The virus notification program is not started. This program only starts in
K Desktop Environment (KDE). Start this program using the Quick Access
console in KDE.

ServerProtect for Linux installation completed.

SProtectLinux-3.0.bin オプション

オプション 説明
-f ServerProtect を強制的にインストールする。
-h 使用可能なパラメータのリストを表示する。
-n ServerProtect をインストールした後に ServerProtect サービスを開始しない。
-r リモートインストールツールを抽出する。
-s 使用許諾契約書を表示しない。
-S {アクティベーションコード} アクティベーションコードを入力して ServerProtect をアクティベートする。
-x ServerProtect の rpm ファイルを抽出する。
-X ServerProtect のバイナリファイルを抽出する。

Kernel Hook Module (KHM)

uname -r
curl -L http://files.trendmicro.com/products/kernel/splx_kernel_module-3.0.1.0017.CentOS7_3.10.0-693.5.2.el7.x86_64.x86_64.tar.gz | tar xz -C /opt/TrendMicro/SProtectLinux/SPLX.module
ls -lah /opt/TrendMicro/SProtectLinux/SPLX.module
service splx restart

Kernel Support のページから該当するバージョンを探してダウンロードして /opt/TrendMicro/SProtectLinux/SPLX.module 内に展開し、 splx サービスを再起動するとシンボリックリンクが作成される。

パッチ

ダウンロードページの Patch タブより最新のパッチが確認できる。

Service Pack 1 Patch 7

curl -LO http://files.trendmicro.com/products/splx/product%20patch/splx_30_lx_en_sp1_patch7_r1.tar.gz
tar xf splx_30_lx_en_sp1_patch7_r1.tar.gz
./splx_30_lx_en_sp1_patch7.bin -e RedHat7 x86_64

本 Patch (build 1505) では、ServerProtect for Linux 3.0 のリリース後に発見された全ての問題を修正する。
詳細は splx_30_lx_jp_sp1_patch7_r1_readme_utf8.txt で確認できる。

Critical Patch

curl -LO http://files.trendmicro.com/products/splx/product%20patch/splx_30_lx_en_criticalpatch1531.tar.gz
tar xf splx_30_lx_en_criticalpatch1531.tar.gz && cd splx_30_lx_en_criticalpatch1531 && ./install.sh

本 Critical Patch の適用によって、ServerProtect 管理コンソールに利用されている Apache および OpenSSL がアップデートされる。
詳細は splx_30_lx_en_criticalpatch1531_readme_JP_r2_utf8.txt で確認できる。
本 Critical Patch をインストールする前に SP1 Patch7 (build:1505) をインストールする必要がある。

ServerProtect Web コンソール

FirewallD

firewall-cmd --add-port=1494{2,3}/tcp --permanent && firewall-cmd --reload

https://192.168.56.101:14943/

初期状態ではパスワードなしでログインできる。

参考文献