If Kubernetes cluster nodes are analyzed by security scanners (antivirus tools), you may need to configure them to avoid false positives. | Если узлы кластера Kubernetes анализируются сканерами безопасности (антивирусными средствами), то может потребоваться их настройка для исключения ложноположительных срабатываний. |
Deckhouse uses the following directories when working (download their list in csv…): | Deckhouse использует следующие директории при работе (скачать в csv…): |
Recommendations for configuring KESL (Kaspersky Endpoint Security for Linux) to work with Deckhouse | Рекомендации по настройке KESL (Kaspersky Endpoint Security для Linux) для работы совместно с Deckhouse |
To ensure that KESL does not affect Deckhouse’s performance, follow these configuration recommendations by running them in the command line directly on the host or through the centralized remote management system of Kaspersky Security Center. | Чтобы KESL не влиял на работоспособность Deckhouse, необходимо выполнить описанные ниже рекомендации по настройке через командную строку непосредственно на хосте или через систему централизованного удалённого управления Kaspersky Security Center. |
Configuration of KESL is carried out using tasks that have specific numbers. Below is an overview of the general setup and the configuration of the tasks used when setting up KESL with Deckhouse. | Управление KESL осуществляется с помощью задач, имеющих определённые номера. Ниже рассмотрена общая настройка, и конфигурация основных задач, используемых при настройке KESL c Deckhouse. |
General Setup | Общая настройка |
Modify KESL settings related to network packet marking bits as there are overlaps with Deckhouse’s own network packet markings. To do so:
| Измените настройки KESL относительно битов маркировки сетевых пакетов, так как существуют пересечения с маркировкой сетевых пакетов самим Deckhouse. Для этого:
|
|
|
|
|
Below are some example commands you can run to restart KESL: | Пример команд для запуска KESL: |
shell systemctl stop kesl sed -i “s/NtpFwMark=0x200/NtpFwMark=0x600/” /var/opt/kaspersky/kesl/common/kesl.ini sed -i “s/BypassFwMark=0x400/BypassFwMark=0x700/” /var/opt/kaspersky/kesl/common/kesl.ini systemctl start kesl | shell systemctl stop kesl sed -i “s/NtpFwMark=0x200/NtpFwMark=0x600/” /var/opt/kaspersky/kesl/common/kesl.ini sed -i “s/BypassFwMark=0x400/BypassFwMark=0x700/” /var/opt/kaspersky/kesl/common/kesl.ini systemctl start kesl |
Task 1. File Threat Protection | Задача №1 «Защита от файловых угроз» (File_Threat_Protection) |
Exclude Deckhouse directories from analysis by running the following commands: | Добавьте исключение для директорий Deckhouse, выполнив команды: |
shell kesl-control –set-settings 1 –add-exclusion /etc/cni kesl-control –set-settings 1 –add-exclusion /etc/Kubernetes kesl-control –set-settings 1 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 1 –add-exclusion /mnt/vector-data kesl-control –set-settings 1 –add-exclusion /opt/cni/bin kesl-control –set-settings 1 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 1 –add-exclusion /var/lib/bashable kesl-control –set-settings 1 –add-exclusion /var/lib/containerd kesl-control –set-settings 1 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 1 –add-exclusion /var/lib/etcd kesl-control –set-settings 1 –add-exclusion /var/lib/kubelet kesl-control –set-settings 1 –add-exclusion /var/lib/upmeter kesl-control –set-settings 1 –add-exclusion /var/log/containers kesl-control –set-settings 1 –add-exclusion /var/log/pods | shell kesl-control –set-settings 1 –add-exclusion /etc/cni kesl-control –set-settings 1 –add-exclusion /etc/Kubernetes kesl-control –set-settings 1 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 1 –add-exclusion /mnt/vector-data kesl-control –set-settings 1 –add-exclusion /opt/cni/bin kesl-control –set-settings 1 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 1 –add-exclusion /var/lib/bashable kesl-control –set-settings 1 –add-exclusion /var/lib/containerd kesl-control –set-settings 1 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 1 –add-exclusion /var/lib/etcd kesl-control –set-settings 1 –add-exclusion /var/lib/kubelet kesl-control –set-settings 1 –add-exclusion /var/lib/upmeter kesl-control –set-settings 1 –add-exclusion /var/log/containers kesl-control –set-settings 1 –add-exclusion /var/log/pods |
When adding, a notification may be shown that some directories do not exist. The rule will still be added (this is expected behavior). | При добавлении может быть показано уведомление, что некоторых директорий не существует. Правило при этом будет добавлено — это нормально. |
Task 2. Scan My Computer | Задача №2 «Поиск вредоносного ПО» (Scan_My_Computer) |
Exclude Deckhouse directories from analysis by running the following commands: | Добавьте исключение для директорий Deckhouse, выполнив команды: |
shell kesl-control –set-settings 2 –add-exclusion /etc/cni kesl-control –set-settings 2 –add-exclusion /etc/Kubernetes kesl-control –set-settings 2 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 2 –add-exclusion /mnt/vector-data kesl-control –set-settings 2 –add-exclusion /opt/cni/bin kesl-control –set-settings 2 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 2 –add-exclusion /var/lib/bashable kesl-control –set-settings 2 –add-exclusion /var/lib/containerd kesl-control –set-settings 2 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 2 –add-exclusion /var/lib/etcd kesl-control –set-settings 2 –add-exclusion /var/lib/kubelet kesl-control –set-settings 2 –add-exclusion /var/lib/upmeter kesl-control –set-settings 2 –add-exclusion /var/log/containers kesl-control –set-settings 2 –add-exclusion /var/log/pods | shell kesl-control –set-settings 2 –add-exclusion /etc/cni kesl-control –set-settings 2 –add-exclusion /etc/Kubernetes kesl-control –set-settings 2 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 2 –add-exclusion /mnt/vector-data kesl-control –set-settings 2 –add-exclusion /opt/cni/bin kesl-control –set-settings 2 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 2 –add-exclusion /var/lib/bashable kesl-control –set-settings 2 –add-exclusion /var/lib/containerd kesl-control –set-settings 2 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 2 –add-exclusion /var/lib/etcd kesl-control –set-settings 2 –add-exclusion /var/lib/kubelet kesl-control –set-settings 2 –add-exclusion /var/lib/upmeter kesl-control –set-settings 2 –add-exclusion /var/log/containers kesl-control –set-settings 2 –add-exclusion /var/log/pods |
When adding, a notification may be shown that some directories do not exist. The rule will still be added (this is expected behavior). | При добавлении может быть показано уведомление, что некоторых директорий не существует. Правило при этом будет добавлено — это нормально. |
Task 3. Selective Scan | Задача №3 «Выборочная проверка» (Scan_File) |
Exclude Deckhouse directories from analysis by running the following commands: | Добавьте исключение для директорий Deckhouse, выполнив команды: |
shell kesl-control –set-settings 3 –add-exclusion /etc/cni kesl-control –set-settings 3 –add-exclusion /etc/Kubernetes kesl-control –set-settings 3 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 3 –add-exclusion /mnt/vector-data kesl-control –set-settings 3 –add-exclusion /opt/cni/bin kesl-control –set-settings 3 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 3 –add-exclusion /var/lib/bashable kesl-control –set-settings 3 –add-exclusion /var/lib/containerd kesl-control –set-settings 3 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 3 –add-exclusion /var/lib/etcd kesl-control –set-settings 3 –add-exclusion /var/lib/kubelet kesl-control –set-settings 3 –add-exclusion /var/lib/upmeter kesl-control –set-settings 3 –add-exclusion /var/log/containers kesl-control –set-settings 3 –add-exclusion /var/log/pods | shell kesl-control –set-settings 3 –add-exclusion /etc/cni kesl-control –set-settings 3 –add-exclusion /etc/Kubernetes kesl-control –set-settings 3 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 3 –add-exclusion /mnt/vector-data kesl-control –set-settings 3 –add-exclusion /opt/cni/bin kesl-control –set-settings 3 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 3 –add-exclusion /var/lib/bashable kesl-control –set-settings 3 –add-exclusion /var/lib/containerd kesl-control –set-settings 3 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 3 –add-exclusion /var/lib/etcd kesl-control –set-settings 3 –add-exclusion /var/lib/kubelet kesl-control –set-settings 3 –add-exclusion /var/lib/upmeter kesl-control –set-settings 3 –add-exclusion /var/log/containers kesl-control –set-settings 3 –add-exclusion /var/log/pods |
Note: when adding, a notification may be shown that some directories do not exist. The rule will still be added (this is expected behavior). | При добавлении может быть показано уведомление, что некоторых директорий не существует. Правило при этом будет добавлено — это нормально. |
Task 4. Critical Areas Scan | Задача №4 «Проверка важных областей» (Critical_Areas_Scan) |
Exclude Deckhouse directories from analysis by running the following commands: | Добавьте исключение для директорий Deckhouse, выполнив команды: |
shell kesl-control –set-settings 4 –add-exclusion /etc/cni kesl-control –set-settings 4 –add-exclusion /etc/Kubernetes kesl-control –set-settings 4 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 4 –add-exclusion /mnt/vector-data kesl-control –set-settings 4 –add-exclusion /opt/cni/bin kesl-control –set-settings 4 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 4 –add-exclusion /var/lib/bashable kesl-control –set-settings 4 –add-exclusion /var/lib/containerd kesl-control –set-settings 4 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 4 –add-exclusion /var/lib/etcd kesl-control –set-settings 4 –add-exclusion /var/lib/kubelet kesl-control –set-settings 4 –add-exclusion /var/lib/upmeter kesl-control –set-settings 4 –add-exclusion /var/log/containers kesl-control –set-settings 4 –add-exclusion /var/log/pods | shell kesl-control –set-settings 4 –add-exclusion /etc/cni kesl-control –set-settings 4 –add-exclusion /etc/Kubernetes kesl-control –set-settings 4 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 4 –add-exclusion /mnt/vector-data kesl-control –set-settings 4 –add-exclusion /opt/cni/bin kesl-control –set-settings 4 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 4 –add-exclusion /var/lib/bashable kesl-control –set-settings 4 –add-exclusion /var/lib/containerd kesl-control –set-settings 4 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 4 –add-exclusion /var/lib/etcd kesl-control –set-settings 4 –add-exclusion /var/lib/kubelet kesl-control –set-settings 4 –add-exclusion /var/lib/upmeter kesl-control –set-settings 4 –add-exclusion /var/log/containers kesl-control –set-settings 4 –add-exclusion /var/log/pods |
When adding, a notification may be shown that some directories do not exist. The rule will still be added (this is expected behavior). | При добавлении может быть показано уведомление, что некоторых директорий не существует. Правило при этом будет добавлено — это нормально. |
Task 11. System Integrity Monitoring | Задача №11 «Контроль целостности системы» (System_Integrity_Monitoring) |
Exclude Deckhouse directories from analysis by running the following commands: | Добавьте исключение для директорий Deckhouse, выполнив команды: |
shell kesl-control –set-settings 11 –add-exclusion /etc/cni kesl-control –set-settings 11 –add-exclusion /etc/Kubernetes kesl-control –set-settings 11 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 11 –add-exclusion /mnt/vector-data kesl-control –set-settings 11 –add-exclusion /opt/cni/bin kesl-control –set-settings 11 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 11 –add-exclusion /var/lib/bashable kesl-control –set-settings 11 –add-exclusion /var/lib/containerd kesl-control –set-settings 11 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 11 –add-exclusion /var/lib/etcd kesl-control –set-settings 11 –add-exclusion /var/lib/kubelet kesl-control –set-settings 11 –add-exclusion /var/lib/upmeter kesl-control –set-settings 11 –add-exclusion /var/log/containers kesl-control –set-settings 11 –add-exclusion /var/log/pods | shell kesl-control –set-settings 11 –add-exclusion /etc/cni kesl-control –set-settings 11 –add-exclusion /etc/Kubernetes kesl-control –set-settings 11 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 11 –add-exclusion /mnt/vector-data kesl-control –set-settings 11 –add-exclusion /opt/cni/bin kesl-control –set-settings 11 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 11 –add-exclusion /var/lib/bashable kesl-control –set-settings 11 –add-exclusion /var/lib/containerd kesl-control –set-settings 11 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 11 –add-exclusion /var/lib/etcd kesl-control –set-settings 11 –add-exclusion /var/lib/kubelet kesl-control –set-settings 11 –add-exclusion /var/lib/upmeter kesl-control –set-settings 11 –add-exclusion /var/log/containers kesl-control –set-settings 11 –add-exclusion /var/log/pods |
When adding, a notification may be shown that some directories do not exist. The rule will still be added (this is expected behavior). | При добавлении может быть показано уведомление, что некоторых директорий не существует. Правило при этом будет добавлено — это нормально. |
Task 12. Firewall Management | Задача №12 «Управление сетевым экраном» (Firewall_Management) |
The task must be disabled. Do not enable it once disabled. It will render Deckhouse inoperable. | Задачу необходимо отключить и не включать. Включение задачи приведёт к неработоспособности Deckhouse. |
This task removes all iptables rules not related to KESL (link to the KESL documentation). | Эта задача удаляет все правила iptables, не относящиеся к KESL (ссылка на документацию KESL). |
If the task is enabled, disable it by running the following command: | Если задача включена, отключите её, выполнив команду: |
shell kesl-control –stop-task 12 | shell kesl-control –stop-task 12 |
Task 13. Anti-Cryptor | Задача №13 «Защита от шифрования» (Anti_Cryptor) |
Exclude Deckhouse directories from analysis by running the following commands: | Добавьте исключение для директорий Deckhouse, выполнив команды: |
shell kesl-control –set-settings 13 –add-exclusion /etc/cni kesl-control –set-settings 13 –add-exclusion /etc/Kubernetes kesl-control –set-settings 13 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 13 –add-exclusion /mnt/vector-data kesl-control –set-settings 13 –add-exclusion /opt/cni/bin kesl-control –set-settings 13 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 13 –add-exclusion /var/lib/bashable kesl-control –set-settings 13 –add-exclusion /var/lib/containerd kesl-control –set-settings 13 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 13 –add-exclusion /var/lib/etcd kesl-control –set-settings 13 –add-exclusion /var/lib/kubelet kesl-control –set-settings 13 –add-exclusion /var/lib/upmeter kesl-control –set-settings 13 –add-exclusion /var/log/containers kesl-control –set-settings 13 –add-exclusion /var/log/pods | shell kesl-control –set-settings 13 –add-exclusion /etc/cni kesl-control –set-settings 13 –add-exclusion /etc/Kubernetes kesl-control –set-settings 13 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 13 –add-exclusion /mnt/vector-data kesl-control –set-settings 13 –add-exclusion /opt/cni/bin kesl-control –set-settings 13 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 13 –add-exclusion /var/lib/bashable kesl-control –set-settings 13 –add-exclusion /var/lib/containerd kesl-control –set-settings 13 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 13 –add-exclusion /var/lib/etcd kesl-control –set-settings 13 –add-exclusion /var/lib/kubelet kesl-control –set-settings 13 –add-exclusion /var/lib/upmeter kesl-control –set-settings 13 –add-exclusion /var/log/containers kesl-control –set-settings 13 –add-exclusion /var/log/pods |
When adding, a notification may be shown that some directories do not exist. The rule will still be added (this is expected behavior). | При добавлении может быть показано уведомление, что некоторых директорий не существует. Правило при этом будет добавлено — это нормально. |
Task 14. Web Threat Protection | Задача №14 «Защита от веб-угроз» (Web_Threat_Protection) |
We recommended disabling the task. If you need to enable the task for some reason, configure it independently to avoid affecting Deckhouse performance. | Задачу рекомендуется отключить. |
If the task is enabled and its negative impact on Deckhouse is detected, disable the task by executing the command below: | Если есть необходимость включить задачу, выполните настройку таким образом, чтобы не было влияния на работоспособность Deckhouse. |
shell kesl-control –stop-task 14 | Если задача включена и обнаружено её негативное влияние на Deckhouse, отключите задачу, выполнив команду: |
Task 17. Network Threat Protection | shell kesl-control –stop-task 14 |
We recommended disabling the task. If you need to enable the task for some reason, configure it independently to avoid affecting Deckhouse performance. | Задача №17 «Защита от сетевых угроз» (Network_Threat_Protection) |
If the task is enabled and its negative impact on Deckhouse is detected, disable the task by executing the command below: | Задачу рекомендуется отключить. |
shell kesl-control –stop-task 17 | Если есть необходимость включить задачу, выполните настройку таким образом, чтобы не было влияния на работоспособность Deckhouse. |
Task 20. Behavior Detection | Если задача включена и обнаружено её негативное влияние на Deckhouse, отключите задачу, выполнив команду: |
With default settings, this task has no negative impact on Deckhouse performance. If you need to enable the task for some reason, configure it independently to avoid affecting Deckhouse performance. | shell kesl-control –stop-task 17 |
If the task is enabled and its negative impact on Deckhouse is detected, disable the task by executing the command below: | Задача №20 «Анализ поведения» (Behavior_Detection) |
shell kesl-control –stop-task 20 | С настройками по умолчанию задача негативного влияния на работоспособность Deckhouse не оказывает. |
Task 21. Application Control | Если есть необходимость включить задачу, выполните настройку таким образом, чтобы не было влияния на работоспособность Deckhouse. |
With default settings, this task has no negative impact on Deckhouse performance. If you need to enable the task for some reason, configure it independently to avoid affecting Deckhouse performance. | Если задача включена и обнаружено её негативное влияние на Deckhouse, отключите задачу, выполнив команду: |
If the task is enabled and its negative impact on Deckhouse is detected, disable the task by executing the command below: | shell kesl-control –stop-task 20 |
shell kesl-control –stop-task 21 | Задача №21 «Контроль программ» (Application_Control) |
Task 22. Web Control | С настройками по умолчанию задача негативного влияния на работоспособность Deckhouse не оказывает. |
We recommended disabling the task. If you need to enable the task for some reason, configure it independently to avoid affecting Deckhouse performance. | Если есть необходимость включить задачу, выполните настройку таким образом, чтобы не было влияния на работоспособность Deckhouse. |
If the task is enabled and its negative impact on Deckhouse is detected, disable the task by executing the command below: | Если задача включена и обнаружено её негативное влияние на Deckhouse, отключите задачу, выполнив команду: |
shell kesl-control –stop-task 22 | shell kesl-control –stop-task 21 |
Задача №22 «Веб-контроль» (Web_Control) | |
Задачу рекомендуется отключить. | |
Если есть необходимость включить задачу, выполните настройку таким образом, чтобы не было влияния на работоспособность Deckhouse. | |
Если задача включена и обнаружено её негативное влияние на Deckhouse, отключите задачу, выполнив команду: | |
shell kesl-control –stop-task 22 |