Kaspersky Security Center Linux にログインするための IP アドレスの許可リストの設定

2024年5月20日

ID 231374

既定では、ユーザーは、Kaspersky Security Center Web コンソールを開くことができる任意のデバイスで Kaspersky Security Center Linux にログインできます。ただし、管理サーバーを設定することで、ユーザーが許可された IP アドレスを持つデバイスからのみ管理サーバーに接続できるように設定できます。こうすると、侵入者が Kaspersky Security Center Linux アカウントを盗んだとしても、侵入者のデバイスの IP アドレスが許可リストに登録されていないため、Kaspersky Security Center Linux にログインすることはできません。

ユーザーが Kaspersky Security Center Linux にログインするか、Kaspersky Security Center Linux OpenAPI を介して管理サーバーと連携するアプリケーションを実行した場合に IP アドレスが検証されます。この時点で、ユーザーのデバイスは管理サーバーとの接続を確立しようとします。デバイスの IP アドレスが許可リストにない場合、 認証エラーが発生し、KLAUD_EV_SERVERCONNECT イベントが管理サーバーとの接続が確立されていないことを通知します。

IP アドレスの許可リストの要件

次のアプリケーションが管理サーバーに接続しようとした際にのみ IP アドレスが検証されます:

  • Kaspersky Security Center Web コンソールサーバー

    Kaspersky Security Center Web コンソールを介して Kaspersky Security Center Linux にログオンすると、オペレーティングシステムの標準の方法で、Kaspersky Security Center Web コンソールサーバーがインストールされているデバイスのファイアウォールを設定することができます。誰かがあるデバイスから Kaspersky Security Center Linux にログインしようとした場合、Kaspersky Security Center Web コンソールサーバーが別のデバイスにインストールされていると、ファイアウォールが侵入者の干渉防止に役立ちます。

  • Klakaut 自動化オブジェクト経由で管理サーバーと連携しているアプリケーション
  • Kaspersky Anti Targeted Attack Platform または Kaspersky Security for Virtualization のような、OpenAPI 経由で管理サーバーと連携するアプリケーション

このため、上のリストにあるアプリケーションがインストールされているデバイスのアドレスを指定してください。

IPv4 と IPv6 アドレスを指定できます。IP アドレスの範囲を指定することはできません。

IP アドレスの許可リストを設定する方法

事前に許可リストを設定していなかった場合は、次の手順に従ってください。

Kaspersky Security Center Linux にログインするための IP アドレスの許可リストを設定するには:

  1. 管理サーバーデバイスで、管理者権限を持つアカウントでコマンドプロンプトを実行します。
  2. カレントディレクトリを Kaspersky Security Center Linux のインストールフォルダー(通常は /opt/kaspersky/ksc64/sbin)に変更します。
  3. root アカウントで次のコマンドを入力します:

    klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP アドレス>" -t s

    前述の要件を満たす IP アドレスを指定します。複数の IP アドレスを指定する場合はセミコロンで区切ります。

    単一のデバイスに対して管理サーバーへの接続を許可する方法の例:

    klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s

    複数のデバイスに対して管理サーバーへの接続を許可する方法の例:

    klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s

  4. 管理サーバーサービスを再起動します。

管理サーバーの SysLog イベントログで、IP アドレスの許可リストが正常に設定されているかどうかを確認できます:

IP アドレスの許可リストを変更する方法

最初に許可リストを作成した方法と同じ方法で許可リストを変更できます。同じコマンドを実行して新しい許可リストの名前を指定します。

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP アドレス>" -t s

許可リストから一部の IP アドレスを削除する場合は、書き直します。たとえば、許可リストに IP アドレス「198.51.100.0; 203.0.113.0」が含まれているとします。IP アドレス「198.51.100.0」を削除したいとします。この場合、コマンドプロンプトで次のコマンドを入力します:

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s

管理サーバーサービスを忘れずに再起動してください。

設定済みの IP アドレスの許可リストをリセットする方法

既に設定済みの IP アドレスの許可リストをリセットするには:

  1. root アカウントのコマンドプロンプトで次のコマンドを入力します:

    klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s

  2. 管理サーバーサービスを再起動します。

その後、IP アドレスは検証されなくなります。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。