ユーザーズガイド DOLMAR MS351.4U PARTS LIST

[. . . ] 5 システム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 製品情報の入手 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 自分で調べる場合の情報入手先 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 販売代理店へのお問い合わせ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [. . . ] 54 EXPAT 1. 95. 8 Library . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 LIBSTDC++ 3. 3. 2 Library. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Agava-C program library . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 4 はじめに Kaspersky Anti-Virus for Proxy Server 5. 5 は Internet Content Adaptation Protocol (ICAP) をサポートするプロクシサーバ 経由のネットワークトラフィックのウイルス保護機能を提供します。 Kaspersky Anti-Virus には、次の機能があります：  プロクシサーバを経由するオブジェクトをウイルススキャンする。 Kaspersky Anti-Virusでは、HTTPS経由で転送されるデータはスキャンされません。      オブジェクトの感染を駆除する。 グループ設定を使用し、さまざまなフィルタ設定を適用可能にする。 ウイルススキャンやアプリケーションエラー、警告を統計ログに書き出す。 悪意あるプログラムを検知したら管理者へ通知する。 定義データベースを更新する。カスペルスキーのアップデートサーバを更新元として安全にデータベース更新が行われ ます。また、ローカルディレクトリからの更新もサポートしています。 定義データベースは、感染オブジェクトの検知と感染の駆除で使用されます。データベースを使用してオブジェクトの内 容と典型的なウイルスコードを比較し、ウイルスの有無をチェックします。 日々新種のウイルスが出現します。したがって定義データベースを最新のものに保つことを推奨します。 このセクションの内容 新機能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 システム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 製品情報の入手 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 販売代理店へのお問い合わせ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Web フォーラムの利用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 自分で調べる場合の情報入手先 製品についての情報は、次の場所から入手できます：    カスペルスキーの Web サイト – 製品関連ページ テクニカルサポートサイト (ナレッジベース) – 製品関連ページ マニュアル カスペルスキーの Web サイト – 製品関連ページ http://www. kaspersky. co. jp/anti-virus_proxy_server このページには、製品の全般的な情報 (機能や特徴) が掲載されています。 テクニカルサポートサイト (ナレッジベース) – 製品関連ページ http://support. kaspersky. co. jp/proxy5 このページには、テクニカルサポートサービスのスペシャリストによって作成された各種記事が掲載されています。 記事の内容は、製品の購入やインストール、使用に関する情報および推奨事項、FAQ などです。 これらの記事は「ライセン スキーについて」「更新設定」「トラブルシューティング」などのトピックごとに分類されています。 製品に関する情報だけでなく、 カスペルスキーのその他の製品に関する情報も含みます。また、テクニカルサポートサービスに関する一般的なニュースが 掲載されることもあります。 マニュアル このマニュアルには、製品の機能や設定オプション、主な動作アルゴリズムについての説明が記載されています。 販売代理店へのお問い合わせ 製品の選択や購入、ライセンスの延長については、当社の販売代理店にお問い合わせください。 WEB フォーラムの利用 特 に 緊 急 の 対 応 が 必 要 で は な い 場 合 は 、 カ ス ペ ル ス キ ー の Web フ ォ ー ラ ム (http://forum. kasperskyclub. com 、 http://forum. kaspersky. com) をご利用ください。ここでは、カスペルスキーのスペシャリストやカスペルスキー製品のユーザが、 さまざまなトピックで意見交換しています。 フォーラムでは、これまでに公開されたトピックの閲覧、コメントの書き込み、新しいトピックの作成、情報の検索が可能です。 7 運用アルゴリズムおよび一般的な導入方法 この章では Kaspersky Anti-Virus の機能、設定、および既存ネットワーク構造との統合について説明します。 このセクションの内容 Kaspersky Anti-Virus の動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 ICAP リクエストの処理アルゴリズム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 一般的な導入方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 ライセンスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 制御スクリプトの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 HTTP トラフィックのアンチウイルス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 ユーザグループに適用するウイルススキャンパラメータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 定義データベースの更新 プロクシサーバを介してユーザから要求されたオブジェクトを処理する場合に、定義データベースが使われます。 定義データベースは、スキャンおよびオブジェクトの感染駆除に使用されます。このデータベースには、現在知られているウイルス の説明と、それらのウイルスに感染したオブジェクトの感染を駆除するための方法が登録されています。 アプリケーションに含まれる keepup2date コンポーネントは、データベースの更新を行います。更新は、次に示すカスペルス キーのアップデートサーバから取得されます： http://downloads1. kaspersky-labs. com/ http://downloads2. kaspersky-labs. com/ ftp://downloads1. kaspersky-labs. com/ など インストールパッケージに含まれる updcfg. xml ファイルには、利用可能なアップデートサーバすべての URL が一覧となってい ます。 keepup2date コンポーネントは、プロクシサーバを介した接続における Basic 認証をサポートしています。 定義データベースを更新するために、 keepup2date コンポーネントはアップデートサーバのリストからアドレスを 1 つ選択し、そ のサーバから更新のダウンロードを試みます。そのサーバが使用できない場合は、別のサーバに接続して更新のダウンロードを 試みます。 定義データベースは、カスペルスキーのアップデートサーバで 1 時間おきに更新されます。 アップデートサーバに接続すると、keepup2date コンポーネントが更新を確認してデータをダウンロードします。 定義データベースを 1 時間おきに更新するように keepup2date コンポーネントを設定することを、強くお勧めします。 更新が問題なく終了すると、設定ファイル内の [updater. options] セクションで PostUpdateCmd パラメータの値として 指定されたコマンドが実行されます。デフォルトでは、このコマンドを実行すると定義データベースの再読み込みが自動的に開始 されます。このパラメータに不正な変更が加えられると、更新された定義データベースを使用できなくなったり、アプリケーションが 正しく機能しなくなったりすることがあります。 keepup2date コンポーネントの設定はすべて、設定ファイルの[updater. *] セクションに保管されます。 ネットワークの構造が複雑な場合は、カスペルスキーのアップデートサーバから 1 時間おきに更新をダウンロードし、これをネッ トワークディレクトリに置くことをお勧めします。このディレクトリから更新をコピーするように、ネットワークに接続しているその他の コンピュータを設定します (21 ページ参照)。 19 管 理 者 ガイド 更新処理は、cron ユーティリティを使って自動的に実行するようにスケジューリングするか (20 ページ参照)、またはコマンドライ ンから手動で実行できます (20 ページ参照)。keepup2date コンポーネントを起動するには、 root 権限または kluser ユーザ 権限が必要です。 定義データベースの自動更新 cron サービスを使用して、定義データベースの自動更新を定期的に行うことができます。 cron の設定は、手動で行うか、 /opt/kaspersky/kav4proxy/lib/bin/setup/ ディレクトリ内にある keepup2date. sh スクリプトを使用して行います。 1 時間おきに定義データベースを更新する cron タスクを作成するには、コマンドラインで次のように入力します： # /opt/kaspersky/kav4proxy/lib/bin/setup/keepup2date. sh –install 1 時間おきに定義データベースを更新する cron タスクを削除するには、コマンドラインで次のように入力します： # /opt/kaspersky/kav4proxy/lib/bin/setup/keepup2date. sh –uninstall 例： 1 時間おきに定義データベースを自動更新するようにアプ リケーションを設定する。アップデートサーバは、 updcfg. xml ファイルからデフォルトで選択されるようにする。システムログには、このコンポーネントの動作で発生したエ ラーだけを記録し、すべてのタスク開始に関する一般ログを保持する。コンソールには情報を出力しない。 解決法：タスクを実行するには： 1. Kaspersky Anti-Virus 設定ファイルで、次のように指定します： [updater. report] Append=true ReportLevel=1 2. cron プロセスのルールを設定するファイル (crontab -e) を編集します。たとえば root または kluser ユーザ の場合、次の行を追加します。 23 * * * * /opt/kaspersky/kav4proxy/bin/kav4proxy-keepup2date -q 指定されている cron タスクの開始時間設定はあくまでも一例です。アップデートサーバに負荷がかかり過ぎないように、開始時 間を独自に設定することをお勧めします。 定義データベースの手動更新 定義データベースの更新処理は、コマンドラインからいつでも開始できます。 例： 定義データベースの更新を開始し、更新結果を /var/log/kaspersky/kav4proxy/ ディレクトリ内の keepup2date. log ファイルに保存する。 解決法： このタスクを実行するには、 root (またはその他特権ユーザ) としてログインし、コマンドラインで次のように入力しま す： # /opt/kaspersky/kav4proxy/bin/kav4proxy-keepup2date –l ¥ /var/log/kaspersky/kav4proxy/keepup2date. log 定義データベースを複数のサーバ上で更新する必要がある場合は、各サーバごとに個別に更新をダウンロードするのではなく、 更新をいったんネットワーク上のディレクトリにダウンロードしてから (21 ページ参照) そのディレクトリを Kaspersky Anti-Virus が動作する各サーバのファイルシステム内にマウントしたほうが便利です。その後、最初に指定したこのマウント済みディレクトリ を更新元として指定し、更新スクリプトを実行します。 例 ： ロ ー カ ル の /home/kavuser/bases/ デ ィ レ ク ト リ を 更 新 元 と し て 定 義 デ ー タ ベ ー ス の 更 新 を 開 始 し 、 結 果 を /tmp/updatesreport. log ファイルに出力する。 解決法： このタスクを実行するには、root (またはその他特権ユーザ) としてログインし、次の手順に従います： 1. 定義データベースの更新ファイルが置かれている共有ディレクトリを、ローカルの /home/kavuser/bases/ ディレクト 20 KASPERSKY MS351. 4U の使 用 リにマウントします。 2. コマンドラインで、次のように入力します： # /opt/kaspersky/kav4proxy/bin/kav4proxy-keepup2date –l ¥ /tmp/updatesreport. log –g /home/kavuser/bases 適切な Webmin プラグインを使用することで、アプリケーションをリモートから更新することもできます。 定義データベースを保管する共有ディレクトリの作成 ローカルコンピュータ上の定義データベースを共有ディレクトリから正しく更新するには、共有ディレクトリのファイル構造がカスペ ルスキーのアップデートサーバと同じである必要があります。以下のセクションでは、このタスクについて詳しく見ていきます。 例：ローカルコンピュータが定義データベースの更新元として使用する共有ローカルディレクトリを作成する。 解決法： タスクを実行するには、root (またはその他特権ユーザ) としてログインし、次の手順に従います： 1. ローカルディレクトリを作成します。kluser アカウントは、このディレクトリに対する書き込み権限を持つ必要がありま す。 次のように入力して keepup2date コンポーネントを実行します： # /opt/kaspersky/kav4proxy/bin/kav4proxy-keepup2date –x <rdir> <rdir> – 作成されたディレクトリへの絶対パス 3. ネットワーク上のローカルコンピュータに、このディレクトリに対する読み取り権限を付与します。 ライセンスの管理 Kaspersky Anti-Virus を使用する権利は、ライセンスキーによって決定されます。キーは製品の配布キットに含まれており、キー を購入してインストールした日からアプリケーションの使用権利が与えられます。 アプリケーション起動時または定義データベースの再読み込み時に、ライセンスキーの有無が毎回チェックされます。 ライセンスキーがインストールされていない場合や、現行ライセンスの情報を読み込むときにエラーが発生した場合は、アプリケー ションの運用が特別な「ライセンス未適用」モードに切り替わります。このモードでは、プロクシサーバを介して送信されたオブジェ クトに対してウイルススキャンが実行されません。その代わり、 LicenseErrorAction パラメータで指定されている動作がすべて のオブジェクトに適用されます。 ライセンスの期限が切れた場合、アプリケーションはこれまでと同じように機能しますが、定義データベースを更新できなくなります。 つまり、ウイルススキャンおよびオブジェクトの処理は実行できますが、ライセンスの期限が切れた後に発行されたデータベース は利用できません。したがって、ライセンスの期限切れ後に現れた新種のウイルスには対応できない可能性があります。 コンピュータを新種のウイルスから保護するために、Kaspersky Anti-Virus のライセンスを更新することをお勧めします。 ライセンスキーによって、アプリケーションを使用する権利が与えられます。ライセンスキーには、ライセンスタイプ、有効期限、販 売元に関する情報など、お客様が購入したライセンスに関する情報が含まれています。 Kaspersky Anti-Virus のライセンスは適宜更新する必要があります。予備のキーをインストールしておき、現在アクティブなキー の期限が切れたときに予備キーを使うように設定することもできます。 ライセンスキー情報の表示 インストールされているライセンスキーに関する情報は、kavicapserver コンポーネントのレポートで確認できます。コンポーネント が起動するたびにライセンスキー情報がロードされ、内容がレポートに表示されます。 kavicapserver. log レポートファイルは、 /var/log/kaspersky/kav4proxy/ ディレクトリに保存されます。 ライセンスキーのステータス詳細は、licensemanager という特別なコンポーネントを使って確認できます。 ライセンスキーに関するすべての情報は、サーバのコンソールで見るか、ネットワーク接続コンピュータから Webmin モジュール 21 管 理 者 ガイド を通じてリモートで見ることができます。 インストールされているライセンスキーに関する情報を参照するには、コマンドラインで次のように入力します： # /opt/kaspersky/kav4proxy/bin/kav4proxy-licensemanager –s サーバコンソールに、情報が次の形式で表示されます： Kaspersky license manager for Linux. [. . . ] 36 グループの作成 グループを使用すれば、プロクシサーバを介して要求または送信されるオブジェクトのウイルス処理用パラメータを、ユーザグ ループごとに定義できます。プロクシサーバを介してオブジェクトを要求するクライアントコンピュータの IP アドレスと要求された オブジェクトの URL に応じて、特定のグループとリクエストが関連付けられます。 Squid 設定ファイル内の icap_send_client_ip パラメータに on が設定されていることを確認してください。この値が設定され ていれば、Squid がクライアントの IP アドレスを Kaspersky Anti-Virus に送信します。 リクエストのパラメータが既存のグループと一致しない場合は、デフォルトのグループに指定されているルールに従ってオブジェク トが処理されます。 各グループのパラメータは、アプリケーション設定ファイル内の次のセクションに格納されています：      [icapserver. groups:<グループ名>] – グループの適用範囲 (クライアントの IP アドレス、オブジェクトの URL) と優先順位を定義するパラメータが含まれます。 [icapserver. filter:<グループ名>] – <グループ名> のフィルタリングルールが含まれます。 [icapserver. engine. options:<グループ名 >] – このグループに関連付けられたオブジェクトを処理するため のウイルススキャンパラメータが含まれます。 [icapserver. actions:<グループ名>] – ウイルスチェック中にオブジェクトに割り当てられたステータスに応じて アプリケーションが実行する動作を定義するパラメータが含まれます。 [icapserver. notify:<グループ名>] – deny 動作の適用によってブロックされたオブジェクトについて管理者へ 通知を行う場合に使用されるパラメータが含まれます。 デフォルトグループのパラメータは [icapserver. groups]、[icapserver. filter]、 [icapserver. engine. options]、[icapserver. actions] および [icapserver. notify]セクションで指定され ています。 28 KASPERSKY MS351. 4U の追 加 設 定 新しいグループを作成する場合、すべてのグループパラメータを指定する必要はありません。指定されていないパラメータについ ては、デフォルト設定が使用されます。 例： managers グループを作成し、192. 168. 10. 0/255. 255. 255. 0 サブネットを使用するクライアントコンピュータから要求さ れたオブジェクトに関する処理ルールを定義する。このグループには、感染していないオブジェクト、駆除済みオブジェクトおよ びパスワードで保護されたオブジェクトのみアクセスできるようにする。グループの優先順位を「 2」に設定し、その他パラメータ にはデフォルト値を使用する。 このタスクを実行するには、root (またはその他特権ユーザ) としてログインし、kav4proxy. conf 設定ファイル内に次のセクショ ンを作成します： [icapserver. groups:managers] Priority=2 ClientIP=192. 168. 10. 0/255. 255. 255. 0 URL=. * [icapserver. engine. options:managers] Cure=true [icapserver. actions:managers] ErrorAction=deny ProtectedAction=skip ウイルススキャン設定 [icapserver. engine. options:< グループ名 >] セクション内に指定された次のアンチウイルスエンジンパラメータは、該 当グループ内での要求されたオブジェクトのスキャンモードと駆除モードを定義します：     ScanPacked=true|false – 圧縮ファイルのスキャンを有効 /無効にする。このモードが無効になっていると、圧縮オブ ジェクトおよびファイルはすべてウイルスに感染していないとみなされます。 ScanArchives=true|false – アーカイブ内のオブジェクトのスキャンを有効/無効にする。このモードが無効になってい ると、アーカイブファイルはすべてウイルスに感染していないとみなされます。 ScanMailBases=true|false – プロクシサーバ経由で要求または送信されたメールデータベースのスキャンを有効 /無 効にする。このモードが無効になっていると、メールデータベースはすべてウイルスに感染していないとみなされます。 ScanMailPlain=true|false – プロクシサーバ経由で要求または送信されたプレーンテキスト形式のメールデータベー スのスキャンを有効/無効にする。このモードが無効になっていると、プレーンテキストメールのデータベースはすべてウ イルスに感染していないとみなされます。 UseHeuristic=true|false – ウイルススキャンで使われるヒューリスティックアナライザを有効/無効にする。 Cure=true|false – オブジェクトの感染駆除を有効/無効にする。このモードが無効になっていると、オブジェクトの感染 駆除が行われません。 UseAVbasesSet=standard|extended – アプリケーションが使用する定義データベースセット。 extended ( 拡張 ) セットには、standard (標準) セットのレコードに加え、アドウェアやリモート管理ユーティリティなどの危険性のあるソフト ウェアのシグネチャが登録されています。 MaxScanTime – 1 つのオブジェクトをスキャンするのにかける最大時間。指定期間内にスキャンが終わらない場合、 オブジェクトには OK ステータスが割り当てられます。     スキャン済みオブジェクトに適用する動作の選択 スキャン済みオブジェクトに対する動作は、ウイルスチェックの結果を受けてオブジェクトに割り当てられるステータスによって定義 されます。 Kaspersky Anti-Virus では、次のステータスを使用します： 29 管 理 者 ガイド         OK – スキャン処理を問題なく通過した、ウイルスに感染していないオブジェクト。 INFECTED – オブジェクトがウイルスに感染している。駆除できない、または駆除が行われなかった。 CURED – オブジェクトはウイルスに感染していたが、正常に駆除された。 WARNING – 既知のウイルスに似たコードがオブジェクトに含まれている。 SUSPICIOUS – オブジェクトが未知のウイルスに感染している疑いがある。 PROTECTED – オブジェクトがパスワードで保護されているためスキャンできない。 CORRUPTED – オブジェクトが破損している。 ERROR – オブジェクトスキャン中にエラーが発生した。 ステータスに応じて Kaspersky Anti-Virus がオブジェクトに対して実行する動作は、[icapserver. actions] セクション (デ フォルトグループの場合) および [icapserver. actions:<グループ名>] セクション (管理者が作成したグループの場合 ) 内にある次のパラメータで指定します：        InfectedAction – 感染駆除されなかった/できなかったオブジェクトに対する動作 SuspiciousAction – 未知のウイルスに感染している疑いのあるオブジェクトに対する動作 WarningAction – 既知のウイルスに類似したコードが含まれているオブジェクトに対する動作 ErrorAction – ERROR ステータスが割り当てられたオブジェクトに対する動作 ProtectedAction – パスワードで保護されているオブジェクトに対する動作 CorruptedAction – 破損オブジェクトに対する動作 CuredAction – 駆除済みオブジェクトに対する動作 上記のパラメータには、次の値を設定できます：   skip – オブジェクトの送信を許可する。 deny – オブジェクトの送信を拒否し、対応する通知ファイルとオブジェクトを置き換える。 オブジェクトに deny 動作を適用すると、オブジェクトはステータスに応じていずれかの代替ファイルと置き換えられます：        object_infected – 感染オブジェクトの検知に関する通知が含まれるテンプレート object_suspicious – 未知のウイルスに感染している疑いがあるオブジェクトの検知に関する通知のテンプレート object_warning – 既知のウイルスのコードに類似したオブジェクトの検知に関する通知のテンプレート object_protected – パスワードで保護されているオブジェクトの検知に関する通知のテンプレート object_error – スキャンエラーの原因となったオブジェクトの検知に関する通知のテンプレート object_corrupted – 破損オブジェクトの検知に関する通知のテンプレート object_cured – 駆除に成功した感染オブジェクトの検知に関する通知のテンプレート 管理者は、特別なマクロを追加するなどして、これらテンプレートのテキストを変更できます (47 ページ参照)。 例： デフォルトグループのスキャン済みオブジェクトに対して、次の動作を指定する：   CURED および PROTECTED ステータスが割り当てられたオブジェクトの送信を許可する。 その他すべてのオブジェクトの送信を禁止する。 解決法： このタスクを実行するには、 root (またはその他特権ユーザ ) としてログインし、 [icapserver. actions] セク ション内で、以下のパラメータ値を指定します。 [icapserver. actions] CuredAction=skip ProtectedAction=skip InfectedAction=deny SuspiciousAction=deny 30 KASPERSKY MS351. 4U の追 加 設 定 WarningAction=deny ErrorAction=deny CorruptedAction=deny 管理者への通知 プロクシを介して転送されたオブジェクトに対して deny 動作が適用される場合は、特別なスクリプトも実行されます。このような スクリプトは、/opt/kaspersky/kav4proxy/share/examples/notify. sh にあります。スクリプトのファイル名は、アプリケーション設定 ファイル内の [icapserver. notify:<グループ名>] セクションにある NotifyScript パラメータに含まれています。 通知スクリプトのサンプルと、このスクリプトを実行するようアプリケーションを設定する方法は次のとおりです。 SHELL 構文を使用して、スキャン後にプロクシ経由のオブジェクト転送をブロックするたびに実行するようなカスタムスクリプトを 作成できます。管理者が作成したグループには、独自の通知スクリプトを割り当てることができます (28 ページ参照)。 ブロックされたオブジェクトに関する通知が admin@test. local 宛てに送られるようにアプリケーションを設定するには： 1. 実行スクリプトファイルを次の内容で作成します： #!/bin/sh recipients='admin@test. local' action=%ACTION% verdict=%VERDICT% sendmail -t -i<<EOT From: Kaspersky Anti-Virus For Linux Proxy Server <root@$HOSTNAME> To: $recipients Subject: $verdict object requested Action applied: Verdict: $action $verdict %URL% Requested URL: Client IP: %CLIENT_ADDR% Found: Infected: %VIRUS_LIST% Cured: %CURED_LIST% Suspicious: %SUSP_LIST% Warnings: %WARN_LIST% This message generated by %PRODUCT% at %DATE% on $HOSTNAME EOT スクリプトの作成では、%URL% や %CLIENT_ADDR% などの特別なマクロを使用して、追加情報を指定できます (47 ページ参照)。 2. スクリプトファイルを保存し、このマクロを実行する適切な権限を kluser ユーザアカウントが持っていることを確認しま す。 スクリプトのファイル名を NotifyScript パ ラ メ ー タ の 値 と し て 設 定 し ま す 。 た と え ば 、 ス ク リ プ ト が 31 管 理 者 ガイド /usr/local/bin/notify. sh ファイルとして保存されており、デフォルトグループのルールに従って処理されたオブジェクトが ブ ロ ッ ク さ れ た と き に こ の ス ク リ プ ト が 実 行 さ れ る よ う に す る に は 、 [icapserver. notify] セ ク シ ョ ン の NotifyScript パラメータに次の値を指定します： [icapserver. notify] NotifyScript=/usr/local/bin/notify. sh アプリケーションには通知テンプレートが付属しており、スクリプトの作成に利用できます。デフォルトでは /opt/kaspersky/kav4proxy/share/notify/ にあります。 動作モード ライセンスおよび定義データベースのステータスに応じて、アプリケーションは次のいずれかのモードで動作します：   基本モード – アプリケーションのすべての機能を使用できる動作モード。このモードでは、プロクシトラフィックのウイル ススキャンと感染オブジェクトの駆除 (有効になっている場合) が実行されます。 定義データベース更新不可の動作モード – 現在のライセンスの有効期限が切れたときに適用されるモード。このモード では、ライセンスの有効期限が切れた時点の定義データベースを使用して、プロクシトラフィックのウイルススキャンと感 染オブジェクトの駆除 (有効になっている場合) が実行されます。 ライセンス未適用での動作モード – ライセンスキーがインストールされていない場合や、現在のライセンス情報の読み 込み中にエラーが発生した場合に使用されるモード。このモードでは、プロクシトラフィックのウイルススキャンは実行さ れず、LicenseErrorAction パラメータで定義された処理がすべてのオブジェクトに適用されます。 •定義データベースを使用しない動作モード – 定義データベースがインストールされていない場合や、定義データベース の読み込み中にエラーが発生した場合に使用されるモード。このモードでは、プロクシトラフィックのウイルススキャンは 実行されず、BasesErrorAction パラメータで定義されている処理がすべてのオブジェクトに適用されます。   。 プロクシとの ICAP 経由のやり取りで使用されるモード Kaspersky Anti-Virus が プ ロ ク シ サ ー バ と や り 取 り す る 場 合 の モ ー ド は 、 kav4proxy. conf フ ァ イ ル の [icapserver. protocol] セクションにある AnswerMode パラメータで定義します。このパラメータには、次の値を指定で きます：  partial – Kaspersky Anti-Virus は、スキャン中のオブジェクトの一部を MaxSendDelayTime パラメータで指定され た間隔でプロクシに送信し、さらにプロクシはそのデータをユーザに転送します。オブジェクトの最後の一部分は、オブ ジェクトのウイルススキャンが完了し、スキャン結果のステータスが deny 動作の適用に該当しない場合でないとユー ザに送信されません。オブジェクトに deny 動作が適用されている場合、テンプレートベースのファイルはユーザに送信 されず (29 ページ参照)、接続が切断されます。 このモードは、サイズの大きいファイルをダウンロードする場合に役立ちます。このモードを使用すると、ウイルスチェック が完了する前に、ユーザがオブジェクトの受信を開始できます。そうでないと、ユーザが長時間待てずに、応答を受け取 る前に接続を切断してしまう可能性があります。  complete – Kaspersky Anti-Virus は、オブジェクトをダウンロードして完全にテストした後、スキャン結果のステータス が deny 動作の適用に該当しない場合にかぎって、プロクシサーバにオブジェクトを返します。ウイルススキャンの結果 としてオブジェクトに deny 動作が適用される場合、要求されたオブジェクトの代わりに、テンプレートベースのファイル がユーザに返されます (29 ページ参照)。 complete モードを使用する場合に注意したいのは、ブラウザ内でオブジェクトをクリックした後、プロクシサーバによっ てオブジェクトが完全にダウンロードされて Kaspersky Anti-Virus によるスキャンが完了してからでないと、オブジェクト の保存またはスキャンのキャンセルを選択するウィンドウが表示されない点です。ダウンロードをキャンセルするには、 ブラウザウィンドウを閉じることで接続を切断する必要があります。 32 KASPERSKY MS351. 4U の追 加 設 定 統計情報の記録 Kaspersky Anti-Virus の統計情報には、次の 2 種類があります：   ウイルススキャンおよび処理の結果に関する統計情報 アプリケーション動作に関する全般的な統計情報 ウイルス処理の統計情報は、ローカルファイルまたはネットワークソケットに書き込むことができます。ローカルファイルへ統計情 報を記録するようにアプリケーションを設定するには、このファイルのパスを AVStatisticsFile パラメータの値として指定します。 ネットワークソケットを指定する場合は、AVStatisticsAddress パラメータを使用します。 作成される統計情報ファイル内の各行には、テストされた各オブジェクトに関する情報が次の形式で含まれます： <LEN><tab><RESULT><tab><METHOD><tab><ICAP_CLIENT_IP><tab> <HTTP_USER_NAME><tab><HTTP_USER_IP><tab><URL> <tab> – タブ文字 以下の表で、すべてのパラメータの情報をまとめてあります。 表 1 統計情報パラメータ シンボル名 <LEN> <RESULT> <METHOD> <ICAP_CLIENT_IP> <HTTP_USER_NAME> <HTTP_USER_IP> <URL> 値 リクエストのサイズ (バイト単位) ウイルススキャンの結果 ICAP リクエスト処理モード (RESPMOD または REQMOD) オブジェクトをリクエストした ICAP クライアントの IP アドレ ス オブジェクトをリクエストした HTTP ユーザ名 オブジェクトをリクエストした HTTP ユーザの IP アドレス 要求されたオブジェクトの URL なんらかの理由でオブジェクト処理の結果が出力されなかった場合、その情報は記録されません。 ウイルススキャンの統計情報に加え、Kaspersky Anti-Virus の動作に関する統計情報を返す特別なカウンタも使用されます。カ ウンタの値は、アプリケーション設定ファイル内の CounterStatisticsFile パラメータで指定されているファイルに出力できます。 作成されたファイルには、カウンタによって返される値が記録されます。以下の表で、カウンタの情報をまとめています。 表 2 アプリケーション動作のカウンタ カウンタ Total_requests Infected_requests Protected_requests Error_requests Proccessed_traffic Clean_traffic Infected_traffic Traffic_per_min 説明 処理されたスキャンリクエストの総数 感染もしくは感染の疑いがあるオブジェクト、または既知のウ イルスに似たオブジェクトを返したリクエストの数 パスワード保護されたオブジェクトを返したリクエストの数 処理エラーの原因となったオブジェクトを返したリクエストの数 処理されたトラフィックの総量 (MB)。サービス上のトラフィッ クも含む 感染駆除されたトラフィックの総量 (MB) 感染トラフィックの総量 (MB) 1 分あたりの平均トラフィック量 (MB) 33 管 理 者 ガイド カウンタ Request_per_min Engine_errors Total_connections Total_processes Idle_processes 説明 1 分あたりの平均 ICAP リクエスト処理数 アプリケーション動作中に発生したエラーの数 ICAP サーバへのアクティブな接続の数 ユーザからのリクエストを処理中のプロセス数 アイドル状態でリクエストを待機中のプロセス数 KASPERSKY MS351. 4U のレポートパラメータ Kaspersky Anti-Virus の コ ン ポ ー ネ ン ト に よ っ て 実 行 さ れ た 処 理 の 結 果 は 、 [icapserver. report] セ ク シ ョ ン の ReportFileName パラメータで指定されたログファイル、またはシステムログ (syslog) にテキスト形式でまとめられます。 ReportFileName パラメータの値として空白の文字列が指定されている場合 (ReportFileName=)、アプリケーション動作に関 する情報は記録されません。 出力される情報の量を変更するには、 [icapserver. report] セクションの ReportLevel パラメータで指定されているレ ポート詳細レベルを変更します。 レポート詳細レベルは、コンポーネントの動作に関する情報をレポートに記録するときの情報詳細レベルを表す数値です。各レベ ルに含まれる情報は、1 つ前のレベルに情報が追加された内容です。 以下の表では、レポート詳細レベルについて説明します。 表 3 レポート詳細レベル レベル レベル名 レベルを表す文 字 F 意味 0 緊急エラー 致命的なエラーに関する情報 ( 何らかの動作を実行できないため に、プログラムが終了するようなエラー )。コンポーネントが感染して いる、起動中にエラーが発生した、データベースまたはライセンス キーの読み込み中にエラーが発生した、など。 コンポーネントの動作停止を引き起こさないその他のエラーに関する 情報。ファイルのスキャン中に発生したエラーに関する情報など。 アプリケーションのシャットダウンを引き起こすようなエラーに関する 通知。ライセンスキー期限切れやディスクの容量不足に関する警告 など。 重要な情報に関するメッセージ。コンポーネントが実行中かどうか、 設定ファイルのパス、スキャン範囲、データベース更新、ライセンス キー、統計情報など。 定義されているレポート詳細レベルに基づいたファイルスキャンに関 するメッセージ デバッグ情報 1 2 エラー 警告 E W 3 情報、通知 I 4 9 動作 デバッグ A D 緊急エラーに関する情報は、レポート詳細レベルに関係なく常に表示されます。最適なレベルは 4 であり、これがデフォルト設定 でもあります。 情報メッセージは、次の 2 種類に分けられます：   ウイルスチェックに関するメッセージ アプリケーションの動作に関するメッセージ たとえば、オブジェクトのウイルススキャン結果に関する情報は、次のような形式で記録されます： <DD-MM-YY HH:MM:SS> <REPORT_LEVEL> <METHOD> <ICAP_CLIENT_IP> <HTTP_USER_NAME> <HTTP_USER_IP> <URL> <RESULT> 34 KASPERSKY MS351. 4U の追 加 設 定 以下の表で、すべてのパラメータの値をまとめてあります。 表 4 ログの情報パラメータ シンボル名 <DD-MM-YY HH:MM:SS> <REPORT_LEVEL> <METHOD> <ICAP_CLIENT_IP> <HTTP_USER_NAME> <HTTP_USER_IP> <URL> <RESULT> 値 DateFormat および TimeFormat の設定で定義されてい る形式のレコード作成日時 レポート詳細レベルを表す文字 ICAP リクエスト処理モード (RESPMOD または REQMOD) オブジェクトをリクエストした ICAP クライアントの IP アドレス オブジェクトをリクエストした HTTP ユーザ名 オブジェクトをリクエストした HTTP ユーザの IP アドレス 要求されたオブジェクトの URL ウイルススキャンの結果 エラー検出用メモリダンプの作成 アプリケーション処理が緊急シャットダウンされるとき、メモリダンプファイル (コアファイル) が作成されます。これらのファイルは、 後でカスペルスキーのサポートが Kaspersky Anti-Virus の運用中に発生した問題の原因を特定する場合に使用します。デフォ ルトでは、コアファイルの作成は無効になっています。 メモリダンプファイルの作成を有効にするには、アプリケーション設定ファイル内の [icapserver. path] セクションにある CorePath パラメータに、/var/log/kaspersky/kav4proxy/core/ というパスを指定します。 /var/log/kaspersky/kav4proxy/core/ ディレクトリが作成されているパーティションに、コアファイルを保存するのに十分なディスク 容量があるかどうか確認してください。 FreeBSD ベースのシステムでは、システムのカーネルパラメータの変更が必要な場合があります。変更するには、root として次 のコマンドを実行します： # sysctl -w kern. sugid_coredump=1 これで、アプリケーション処理が緊急シャットダウンされるときに、メモリのダンプが格納されたファイルが /var/log/kaspersky/kav4proxy/core/ ディレクトリに作成されます。 FreeBSD ベースのシステムの場合、コアファイルを使用して必要な情報を収集できたら、すぐにコアファイルの作成を無効にして ください。また、システムカーネルの変更も元に戻してください。 元に戻すには、次のコマンドを実行します： # sysctl -w kern. sugid_coredump=0 インターネット放送について インターネット放送によって生成された Web トラフィックのウイルス処理を Kaspersky Anti-Virus で行うと、データストリームの 送信やプロクシサーバの処理が中断される可能性があり、プロクシ経由での放送が聴き取りにくくなります。そのような場合は ExcludeMimeType パラメータを使用して、これらのトラフィックをウイルススキャン範囲から除外することをお勧めします。たとえ ば、次のように設定します： [icapserver. filter] ExcludeMimeType=^audio/mpeg$ ExcludeMimeType=^application/vnd. ms. wms-hdr. asfv1$ 35 管 理 者 ガイド ExcludeMimeType=^application/x-mms-framed$ この設定では、MPEG、ASF、および Microsoft Windows Media 形式のデータストリームがスキャン範囲から除外されます。 KASPERSKY MS351. 4U の最適化 Kaspersky Anti-Virus は、レスポンスにかかる時間やトラフィックを減らして最適化することができます。パフォーマンスの低下を 引き起こす主な理由は次のとおりです：   Kaspersky Anti-Virus とプロクシサーバ間の大容量データの送信 すべてのオブジェクトの無差別スキャン このアプリケーションは、204 No Content レスポンスをサポートしています。この機能を使えば、トラフィックを減らすことができま す(36 ページ参照)。 除外リストを設定することで、すべてのオブジェクトを無差別にスキャンしなくても済みます (36 ページ参照)。 トラフィックの削減 プロクシサーバから受信したオブジェクトがアプリケーションによって変更されないことがあります (オブジェクトが感染していない 場合など)。アプリケーションが「complete モード」で動作している (32 ページ参照) 場合は、オブジェクト全体がプロクシサーバ に送り返されます。 アプリケーションが「 partial モード」 (32 ページ参照 ) で動作していて、チェック対象オブジェクトのサイズが小さい場合は、 MaxSendDelayTime パラメータで指定された期間が終了する前にスキャンを完了できます。この場合も、オブジェクト全体がプ ロクシサーバに返されます。 不 要 な ト ラ フ ィ ッ ク を 避 け る に は 、 204 No Content レ ス ポ ン ス を 使 用 し ま す 。 ア プ リ ケ ー シ ョ ン 設 定 フ ァ イ ル の [icapserver. protocol] セクション内で Allow204 パラメータに true を割り当ててください。これで、オブジェクト全体を 送信する代わりに 204 No Content レスポンスが返されるようになります。 除外リストの設定 除外リストを設定して、Kaspersky Anti-Virus のパフォーマンスを向上させることができます。除外ルールには 3 種類あります：    オブジェクトの URL による除外 オブジェクトの 種類による除外 オブジェクトのサイズによる除外 URL による除外では、アプリケーション設定ファイルの [icapserver. filter] セクションにある ExcludeURL パラメータ 値と、オブジェクトの URL が比較されます。URL が一致すると、ウイルススキャンは実行されずに 204 No Content レスポン スがプロクシサーバに送信されます。 オブジェクトの種類による除外では、受信したオブジェクトの HTTP ヘッダの Content-Type フィールドを分析します。 kav4proxy. conf フ ァ イ ル の [icapserver. filter] セ ク シ ョ ン 内 の ExcludeMimeType パ ラ メ ー タ 値 の う ち 一 つ と Content-Type が一致すると、ウイルススキャンは実行されず 204 No Content レスポンスがプロクシサーバに送信されます。 オブジェクトのサイズによる除外は、オブジェクトの HTTP ヘッダの Content-Length フィールドをチェックして行います。この フィールドの値が kav4proxy. conf ファイルの [icapserver. filter] セクション内の MaxReqLength パラメータ値を越 えると、ウイルススキャンは実行されず、204 No Content レスポンスがプロクシサーバに送信されます。 除外ルールをより効果的に使用するには、ICAP preview 機能を有効にしてください。 この機能を使用して、オブジェクト全体ではなく最初の部分だけをダウンロードするように設定できます。アプリケーションはオブ ジェクトの最初の部分にある HTTP ヘッダ部分を見てオブジェクトをフィルタします。フィルタにマッチした場合は、アプリケーショ ンはダウンロードを停止して 204 No Content レスポンスを返します。 このアプローチでアプリケーションとプロクシサーバのトラフィックが減尐し、アプリケーションのパフォーマンスが向上します。 受信するオブジェクトの最初の部分のサイズは、 kav4proxy. conf ファイルの [icapserver. protocol] セクション内の PreviewSize パラメータを通じて指定されます。このときプロクシサーバは、プレビューができるように設定されている必要があり ます。Squid プロクシサーバでは、プレビュー機能は Squid 設定ファイルの icap_preview_enable で有効になります。 36 アプリケーションのアンインストール Linux が動作するサーバからアンインストールするには、次の手順に従います：  rpm パッケージからインストールした場合は、次のコマンドを入力します： # rpm –e <distribution_package_name>  deb パッケージからインストールした場合は、次のコマンドを入力します： # dpkg –r <distribution_package_name> FreeBSD が動作するサーバからアンインストールするには、次のコマンドを利用します： # pkg_delete <distribution_package_name> Kaspersky Anti-Virus のアンインストールは自動的に進行します。次の操作が実行されます： 1. kluser 権限で実行しているタスクのうち、定義データベースの更新を行う cron タスクを削除する。 Squid プロクシサーバの設定ファイルを Kaspersky Anti-Virus のインストール前の状態に戻し、プロクシを再起動す る。 アプリケーションサービスを停止する。 アプリケーションの自動スタートアップ登録を元に戻す。 Kaspersky Anti-Virus の動作中に作成された一時ファイルおよび一時ディレクトリを削除する。 アプリケーションファイルを削除する。定義データベースを含め、パッケージからインストールされた Kaspersky Anti-Virus のファイルとディレクトリがすべて削除されます。レポート、設定ファイル、バックアップ用ディレクトリは削除さ れません。 37 KASPERSKY MS351. 4U の設定の検証 Kaspersky Anti-Virus をインストールして設定したら、テスト用ウイルスとその亜種を使用して、アプリケーションの設定を確認す ることをお勧めします。 このセクションの内容 テスト用ウイルス EICAR とその亜種 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [. . . ]