Manual de Procedimentos

Instalao do antimalware SEP em plataforma

Linux
Cliente: SERPRO
Verso 2.0

Manual de Procedimentos - Instalao do antimalware SEP em plataforma Linux - SERPRO - Verso 2.0

C ONTROLE

DE

R EVISES

Verso

Data

Autor/Revisor

1.0

26/08/16

Kelmo Siqueira dos Anjos

- Verso original.

1.1

02/09/16

Kelmo Siqueira dos Anjos

- Includas informaes adicionais para

instalao do Java e autoprotect

2.0

30/09/16

Kelmo Siqueira dos Anjos

- Incluso de restries para instalao

do SEP Linux em estaes AR

R ESUMO

DO

Alteraes da Verso

D OCUMENTO

Procedimento para instalao da ferramenta SEP Linux

Descrio:
Local de Publicao:

MGADOP / SUPOP / Segurana / Modelos Tecnolgicos/Manuais de

Configurao e Operao

Validade da Verso:

28/03/2018

Baseado no Modelo de Publicao Verso 1.2

2/15

Manual de Procedimentos - Instalao do antimalware SEP em plataforma Linux - SERPRO - Verso 2.0

S UMRIO
Controle de Revises.......................................................................................................... 2
Resumo do Documento...................................................................................................... 2
1. Introduo...................................................................................................................... 4
1.1. Contexto.................................................................................................................. 4
1.2. Premissas................................................................................................................ 4
1.3. Escopo..................................................................................................................... 4
2. Procedimentos de instalao e configurao da ferramenta SEP Linux..........................4
2.1. Gerao do pacote de instalao............................................................................ 5
2.2. Preparao da ferramenta Java na mquina...........................................................7
2.3. Instalao do SEP Linux........................................................................................... 8
2.4. Compilao do kernel para habilitar a funcionalidade de Autoprotect....................9
3. Comandos locais para gerenciamento da ferramenta SEP Linux..................................10
3.1. Verificar a verso de vacina utilizada pelo SEP Linux............................................10
3.2. Atualizao do arquivo de definio de vrus (vacinas).........................................10
3.3. Verificar o funcionamento do auto-protect............................................................12
3.4. Parar uma varredura agendada em andamento....................................................12
3.5. Verificar a verso do SEP Linux instalado na mquina..........................................12
3.6. Verificar o servidor SEP Manager que est gerenciando o cliente SEP Linux.........13
3.7. Requisitar uma atualizao de poltica ao SEP manager.......................................13
3.8. Verificar a ltima conexo do cliente SEP Linux com o SEP Manager....................13
4. Consideraes finais..................................................................................................... 14
Ficha Tcnica..................................................................................................................... 15

3/15

Manual de Procedimentos - Instalao do antimalware SEP em plataforma Linux - SERPRO - Verso 2.0

1. I NTRODUO
Esse documento visa disponibilizar os procedimentos necessrios para implantar a
ferramenta de antimalware SEP Linux em mquinas com o sistema operacional Linux.

1.1. C ONTEXTO
Descrever os procedimentos necessrios para instalao e configurao da
ferramenta SEP Linux utilizada com sistemas operacionais Linux.

1.2. P REMISSAS
Os procedimentos descritos no documento visam atender as distribuies Linux
utilizadas no Serpro. No qual podero ter particularidades para implementao do SEP
Linux em funo do kernel do sistema operacional e da infraestrutura utilizada
(mquinas fsicas e formas de virtualizao).

1.3. E SCOPO
Descrio dos procedimentos para instalao e configurao da ferramenta de
antimalware SEP Linux nas estaes e servidores com sistema operacional Linux no
SERPRO.

2. P ROCEDIMENTOS

DE INSTALAO E CONFIGURAO DA FERRAMENTA

SEP L INUX

O SEP Linux consiste em uma ferramenta de antimalware para sistemas

operacionais linux fornecida pela Symantec, que possibilita a implementao da
funcionalidade de antimalware de forma gerenciada atravs de um servidor de
antimalware SEP Manager.
Para a implantao do SEP Linux dever ser necessrio ter conectividade com os
servidores SEP Manager e Liveupdate corporativo do Serpro. A partir do servidor SEP
Manager, podero ser gerados os pacotes de instalao que devero ser utilizados na
instalao e o servidor Liveupdate possibilita a atualizao de vacinas do cliente SEP
Linux. A seguir, sero descritos os procedimentos que devero ser executados:

4/15

Manual de Procedimentos - Instalao do antimalware SEP em plataforma Linux - SERPRO - Verso 2.0

2.1. GERAO DO PACOTE DE INSTALAO

Para a gerao do pacote de instalao do cliente SEP Linux ser necessrio o
acesso a console de gerenciamento do SEP Manager. Caso no tenha acesso mesma,
contatar o Agente de Segurana da Regional do Serpro (em geral, lotado na OPSOI da
Regional) ao qual pertence a localidade que se deseja instalar o SEP Linux. Ou a equipe
de Segurana da Intranet do Serpro lotada na Regional Recife (OPSST).
Com o acesso a console de gerenciamento do SEP Manager, devero ser
executados os procedimentos abaixo:

Acessar a console do SEP Manager, atravs

https://<endereco_IP_SEP_Manager>:8014/console ;

do

seguinte

link

Web:

Na console do SEP Manager, acessar a aba Admin e selecionar a opo Install

Package (Ilustrao 1);

Ilustrao 1

Na tela de Client Install Package, sero disponibilizadas as opes de pacotes de

instalao em funo do sistema operacional e plataforma utilizada. Para os
pacotes de instalao Linux, dever ser escolhido o tipo de pacote em funo da
distribuio Linux utilizada na verso mais recente disponvel do SEP:

Linux RPG, para plataformas baseadas na distribuio Rede Hat;

Linux DPKG, para plataformas baseadas na distribuio Debian;

5/15

Manual de Procedimentos - Instalao do antimalware SEP em plataforma Linux - SERPRO - Verso 2.0

Para gerar um pacote de instalao, dever ser selecionada a opo desejada,

clicar com o boto direito do mouse sobre a mesma e selecionar o item Export
(Ilustrao 2);

Ilustrao 2

Em seguida, ser visualizada a tela de Export Package onde dever ser

selecionada a opo Export a managed client para gerar um pacote de
instalao para um cliente gerenciado pelo SEP Manager e selecionado o grupo
no qual o cliente SEP ser alocado na console do SEP Manager. Ao trmino da
configurao do pacote de instalao clicar no boto OK ( Ilustrao 3) ;

Ilustrao 3

6/15

Manual de Procedimentos - Instalao do antimalware SEP em plataforma Linux - SERPRO - Verso 2.0

Ser iniciada a gerao do pacote de instalao e o progresso da atividade poder

ser acompanhado de forma grfica (Ilustrao 4). Ao seu trmino, ser
disponibilizado um arquivo compactado para ser utilizado na instalao do cliente
SEP Linux;

Ilustrao 4

2.2. PREPARAO DA FERRAMENTA JAVA NA MQUINA

Para o funcionamento do SEP Linux necessrio ter disponvel na mquina uma
verso do Java igual ou superior a verso 1.5, as classes e bibliotecas Java devem ter
como proprietrio o usurio root e devem possuir polticas de segurana JCE (Java
Cryptography Extension) adicionais.
Para que no ocorram conflitos com outras aplicaes instaladas na mquina que
utilizam o Java, os arquivos da verso mais nova do Java devero ser disponibilizados na
mquina para ser utilizado apenas pelo SEP Linux. Para isso, devero ser realizados os
seguintes procedimentos:

Realizar o download da verso Java disponvel no site da ferramenta

(www.java.com) na mquina que ser instalado o SEP Linux (ou solicitar a equipe
de segurana da intranet do Serpro em Recife). Para mquinas linux, realizar o
download do arquivo tar.gz correspondente ao tipo de plataforma utilizada (32
bits ou 64 bits). Exemplo: arquivo jre-8u65-linux-i586.tar.gz;

Realizar o download das polticas de segurana associadas a verso Java que foi
obtida, disponvel no site www.oracle.com, representada atravs do arquivo
jce_policy-<verso_java>.zip. Exemplo: Para o Java 8 (arquivo jre-8u65-linuxi586.tar.gz) dever ser realizado o download do arquivo jce_policy-8.zip;

Acessar o diretrio /usr, como usurio root, e criar o diretrio java atravs
do comando mkdir java, disponibilizando com isso o diretrio /usr/java/;

Copiar os arquivos da ferramenta Java (Exemplo: arquivo jre-8u65-linuxi586.tar.gz) e do jce_policy correspondente (Exemplo: arquivo jce_policy-8.zip)
para o diretrio criado anteriormente (/usr/java/);
7/15

Manual de Procedimentos - Instalao do antimalware SEP em plataforma Linux - SERPRO - Verso 2.0

Descompactar o arquivo da ferramenta Java atravs do comando tar -xvf

<nome_do_arquivo>. Exemplo: tar -xvf jre-8u65-linux-i586.tar.gz ;

Descompactar
o
arquivo
jce_policy
atravs
<nome_do_arquivo>. Exemplo: unzip jce_policy-8.zip;

Acessar o diretrio criado ao descompactar o arquivo jce_policy, que ir

apresentar a seguinte estrutura /usr/java/UnlimitedJCEPolicy<verso_java>.
Exemplo: /usr/java/UnlimitedJCEPolicyJRE8;

Copiar os arquivos ".jar" para o diretrio /usr/java/<verso_java>/lib/security/

atravs do comando cp *.jar /usr/java/<verso_java>/lib/security/ ;

Acessar o diretrio /usr/java e em seguida executar o comando " chown root:root

/usr/java -R que definir o usurio root como proprietrio do diretrio
/usr/java e seus subdiretrios;

do

comando

unzip

Os procedimentos descritos anteriormente no realizam uma nova instalao do

Java na mquina, apenas disponibilizaro os arquivos correspondentes as classes,
bibliotecas e polticas de segurana na estrutura necessria para o funcionamento do
SEP Linux, sem alterar a estrutura do Java instalado na mquina para uso das outras
aplicaes.

2.3. INSTALAO DO SEP LINUX

Aps a gerao do pacote de instalao do SEP Linux, na console de gerenciamento
do SEP Manager, realizar os seguintes procedimentos:

Copiar o pacote de instalao, gerado anteriormente atravs da console de

gerenciamento do SEP Manager, para o diretrio /usr/src/ e descompactar o
pacote de instalao atravs do comando unzip <nome_pacote>;

Acessar o diretrio /usr/src/ <nome_do_grupo_console_SEP>/Symantec Endpoint

Protection version <versao_SEP_Linux> - English/ e descompactar o arquivo
SymantecEndpointProtection.zip
atravs
do
comando
unzip
SymantecEndpointProtection.zip;

Em seguida, alterar a propriedade de execuo do arquivo install.sh atravs do

comando chmod +x install.sh;

Executar a instalao do cliente SEP Linux atravs do comando " ./install -i". Ao
trmino da instalao ser visualizada a seguinte informao:
8/15

Manual de Procedimentos - Instalao do antimalware SEP em plataforma Linux - SERPRO - Verso 2.0

Installation completed
=====================================================
Daemon status:
symcfgd

[running]

rtvscand

[running]

smcd

[running]

=====================================================

Os logs do processo de instalao estaro disponveis no diretrio /root, so

eles:

sepfl-install.log

sep-install.log

sepap-install.log

sepap-legacy-install.log

sepui-install.log

sepjlu-install.log

sepfl-kbuild.log

No caso das estaes AR (Autoridade de Registro) do Serpro, com a

distribuio Ubuntu 16, no dever ser realizada a compilao do kernel para
habilitar a funcionalidade do Autoprotect (item 2.4) . Devido problemas de
compatibilidade com o pacote ar-serpro. Para manter um nvel de segurana
adequado, no grupo AR da localidade na console do SEP Manager a poltica de
scaneamento agendado ser configurado para verificar a mquina diariamente s 12:30.

2.4. COMPILAO DO KERNEL PARA HABILITAR A FUNCIONALIDADE DE AUTOPROTECT

Os procedimentos descritos nesse item no devero ser realizados em estaes AR
do Serpro com distribuio Ubuntu 16.
O funcionamento do mecanismo de Autoprotect para o SEP for Linux depender da
verso do kernel utilizada na mquina. Para verificar o funcionamento do mecanismo de
Autoprotect, devero ser realizados os procedimentos descritos no item 3.3 (Verificar o
funcionamento do autoprotect) para avaliar se o status encontra-se enabled.
Caso o autoprotect continue desabilitado (disabled), aps a realizao das aes
descritas anteriormente, devero ser executados os procedimentos descritos a seguir:

9/15

Manual de Procedimentos - Instalao do antimalware SEP em plataforma Linux - SERPRO - Verso 2.0

Acessar o diretrio /usr/src/ <nome_do_grupo_console_SEP>/Symantec Endpoint

Protection version <versao_SEP_Linux> - English/src/ e copiar o arquivo apkernelmodule.tar.bz2 para o diretrio /usr/src/;

Descompactar o arquivo ap-kernelmodule.tar.bz2 atravs do comando tar -xvf

ap-kernelmodule.tar.bz2;

Acessar o diretrio ap-kernelmodule-12.1.7004-6500 e executar o comando

./build.sh;

Ocorrendo erro no processo de compilao do mecanismo de Autoprotec ser

visualizada a mensagem Build failed . Caso no ocorram erros, o funcionamento do
Autoprotect poder ser constatado executando os procedimentos descritos no item 3.3
(Verificar o funcionamento do autoprotect).

3. C OMANDOS

LOCAIS PARA GERENCIAMENTO DA FERRAMENTA

SEP L INUX

O
SEP
Linux
disponibiliza
diversos
comandos
no
diretrio
/opt/Symantec/symantec_antivirus que podem auxiliar na manuteno da ferramenta.
A seguir sero descritos alguns desses comandos.

3.1. VERIFICAR A VERSO DE VACINA UTILIZADA PELO SEP LINUX

Para verificar o arquivo de definio de vrus disponvel no cliente SEP Linux, dever
ser executado no diretrio /opt/Symantec/symantec_antivirus, o seguinte comando:

./sav info -d

3.2. ATUALIZAO DO ARQUIVO DE DEFINIO DE VRUS (VACINAS)

Caso necessrio, o download do arquivo de definio de vrus (ou assinaturas de
vrus ou vacinas) poder ser solicitado ao servidor Liveupdate em qualquer momento
(independente do horrio agendado para essa finalidade) atravs do comando ./sav
liveupdate -u no diretrio /opt/Symantec/symantec_antivirus.
Ao trmino do processo de download e instalao do novo arquivo de definio de
vrus, a verificao da efetivao da atualizao poder ser realizada atravs do
comando ./sav info -d. Identificando se a data do arquivo de definio de vrus
correspondente ao mais recente foi disponibilizada.

10/15

Manual de Procedimentos - Instalao do antimalware SEP em plataforma Linux - SERPRO - Verso 2.0

O mecanismo de atualizao do arquivo de definio de vrus (liveupdate) faz uso

do Java disponvel na mquina para que o mesmo possa ser executado. Caso exista
algum problema no uso do Java, aps a execuo do comando ./sav liveupdate -u
poder ser informada a mensagem abaixo:

Command failed: Problem with LiveUpdate.

Check that java directory is in PATH
Unable to perform update
Para solucionar o problema, executar o script ./update_java_home.sh (disponvel
no diretrio /opt/Symantec/symantec_antivirus/) , que ao ser executado ir fornecer as
informaes abaixo:

Searching /usr/java for java...

Found /usr/java/<verso_do_java>/bin/java
Updated /etc/Symantec.conf with java path.
Ao trmino do procedimento descrito anteriormente, executar novamente o
comando ./sav liveupdate -u para verificar se o Liveupdate est funcionando
corretamente.
Caso necessrio, poder tambm ser realizada a atualizao manual do arquivo de
definio de vrus atravs dos procedimentos descritos a seguir:

Com usurio root, realizar a instalao do pacote sharutils atravs do

comando aptitude install sharutils ou apt-get install sharutils;

Realizar o donwload do site da Symantec (www.symantec.com) do arquivo de

definio de vrus mais recente para a plataforma linux, disponvel no menu
Security Center Virus Definitions & Update ;

O arquivo disponibilizado para essa finalidade possui a seguinte nomenclatura

<data_da_vacina>.sh. Ao trmino do download, alterar a propriedade de
execuo do arquivo atravs do comando chmod +x i<data_da_vacina>.sh ;

Em seguida, executar a instalao do arquivo de definio de vrus atravs do

comando "./<data_da_vacina>.sh ".

Ao trmino da instalao do novo arquivo de definio de vrus, verificar atravs

do comando ./sav info -d a sua efetividade.

11/15

Manual de Procedimentos - Instalao do antimalware SEP em plataforma Linux - SERPRO - Verso 2.0

3.3. VERIFICAR O FUNCIONAMENTO DO AUTO-PROTECT

Para verificar se a funcionalidade de auto-protect esta habilitada na mquina,
dever
ser
utilizado
o
comando
./sav
info
-a
(no
diretrio
/opt/Symantec/symantec_antivirus), informando como resultado enable, disable ou
malfunction.
Caso no tenha sido implementada a funcionalidade de auto-protect na instalao
do SEP Linux, devido a verso do Kernel, o cliente SEP Linux dever ser direcionado para
um grupo no SEP Manager que possibilite o agendamento da varredura de arquivos
diria.
Caso no tenha sido implementada a funcionalidade de auto-protect na instalao
do SEP Linux, devido a verso do Kernel, o cliente SEP Linux dever ser direcionado para
um grupo no SEP Manager que possibilite o agendamento da varredura de arquivos
diria.
Para habilitar o autoprotect, caso esteja desabilitado (disabled), dever ser
executado o comando ./sav autoprotect -e.

3.4. PARAR UMA VARREDURA AGENDADA EM ANDAMENTO

Durante o processo de varredura de arquivos dos diretrios /home, /var e /etc, caso
seja necessrio parar a verificao dos mesmos, devero ser executados os
procedimentos abaixo:

Identificar o nome da escaneamento que esta sendo executdo atravs do

comando ./sav scheduledscan -l;

Parar o escaneamento
<nome_da_varredura>

com

comando

./sav

scheduledscan

stop

3.5. VERIFICAR A VERSO DO SEP LINUX INSTALADO NA MQUINA

Para verificar a verso do SEP Linux instalado na mquina deve ser executado o
seguinte comando, no diretrio /opt/Symantec/symantec_antivirus/:

./sav info -p

12/15

Manual de Procedimentos - Instalao do antimalware SEP em plataforma Linux - SERPRO - Verso 2.0

3.6. VERIFICAR O SERVIDOR SEP MANAGER QUE EST GERENCIANDO O CLIENTE SEP LINUX
Para verificar o servidor SEP Manager que esta gerenciando o funcionamento do
cliente SEP Linux dever ser executado o seguinte comando, no diretrio
/opt/Symantec/symantec_antivirus/:

./sav manage -p

3.7. REQUISITAR UMA ATUALIZAO DE POLTICA AO SEP MANAGER

Para ser possvel solicitar uma atualizao de poltica do cliente SEP Linux ao SEP
Manager,
dever
ser
executado
o
seguinte
abaixo,
no
diretrio
/opt/Symantec/symantec_antivirus/:

./sav manage -h
Periodicamente, a cada 15 minutos, o cliente SEP comunica-se com o servidor SEP
Manager.

3.8. VERIFICAR A LTIMA CONEXO DO CLIENTE SEP LINUX COM O SEP MANAGER
Para verificar a ltima conexo do cliente SEP Linux com o SEP Manager dever ser
executado o seguinte abaixo, no diretrio /opt/Symantec/symantec_antivirus/:

./sav manage -t

13/15

Manual de Procedimentos - Instalao do antimalware SEP em plataforma Linux - SERPRO - Verso 2.0

4. C ONSIDERAES

FINAIS

O funcionamento do mecanismo de auto-protect (mecanismo que avalia e

existncia de vrus em arquivos antes de serem gravados na mquina) no SEP Linux
depender da verso do Kernel existente na mquina.
Caso ocorra a necessidade de implementar o SEP Linux em um servidor Linux
instalado em uma mquina virtual paravirtualizada, ou seja, implementada em uma
infraestrutura de virtualizao customizada para ter uma melhor performance no uso dos
dispositivos da mquina fsica. O Kernel do sistema operacional (da mquina virtual) ir
ser alterado para possibilitar o acesso a customizao disponibilizada pela infraestrutura
de virtualizao. Logo, a funcionalidade de autoprotect provavelmente no poder ser
possvel de ser implementada.
Para contornar essa situao, possibilitando um nvel adequado de segurana,
dever ser criado um grupo especfico na console do SEP Manager e implementada uma
poltica de escaneamento agendado diria para possibilitar um nvel adequado de
segurana.
No caso das estaes AR (Autoridade de Registro) do Serpro, com a distribuio
Ubuntu 16, no dever ser realizada a compilao do kernel para habilitar a
funcionalidade do Autoprotect (item 2.4). Devido problemas de compatibilidade com o
pacote ar-serpro. Para manter um nvel de segurana adequado, no grupo AR da
localidade na console do SEP Manager a poltica de scaneamento agendado ser
configurado para verificar a mquina diariamente s 12:30.

14/15

Manual de Procedimentos - Instalao do antimalware SEP em plataforma Linux - SERPRO - Verso 2.0

F ICHA T CNICA
SERVIO FEDERAL DE PROCESSAMENTO DE DADOS
Diretor Presidente: Maria da Glria Guimares dos Santos
Diretora Superintendente: Maria da Glria Guimares dos Santos
Diretor de Operaes

Iran Martins Porto Junior

Superintendente de Operaes SUPOP

Gilberto de Oliveira Netto

Departamento de Operaes de Recife SUPOP/OPRCE

Reinaldo Melo Soares

Setor de Segurana Tcnica de Recife SUPOP/OPRCE/OPSIN/OPSST

Gustavo Alencar
Elaborao

Kelmo Siqueira dos Anjos SUPOP/OPRCE/OPSIN/OPSST

Colaborao

SUPOP/OPRCE/OPSIN/OPSST
Verso 2.0
setembro / 2016

15/15