第 2 章 使用 Insights for RHEL malware 检测服务

要开始使用恶意软件检测服务,您必须执行以下操作。本章中每个操作的流程。

注意

有些流程需要系统上的 sudo 访问权限,而其他步骤要求管理员执行该操作是具有 Malware 检测管理员角色 的 User Access 组的成员。

表 2.1. 设置恶意软件检测服务的流程和访问要求。

操作描述所需的权限

安装 YARA 并配置 Insights 客户端

安装 YARA 应用程序并将 Insights 客户端配置为使用恶意软件检测服务

sudo 访问

在 Red Hat Hybrid Cloud Console 中配置用户访问权限

Red Hat Hybrid Cloud Console > Settings 图标(PROFILE)> Identity & Access Management > User Access > Groups 中,创建 malware 检测组,然后在组中添加适当的角色和成员

红帽帐户的机构管理员

查看结果

请参阅混合云控制台中的系统扫描结果

带有 Malware 检测查看器角色的用户访问组中的成员资格

2.1. 安装 YARA 并配置 Insights 客户端

执行以下步骤在 RHEL 系统上安装 YARA 和恶意软件检测控制器,然后运行测试和完整的恶意软件检测扫描,并将数据报告到 Insights for Red Hat Enterprise Linux 应用程序。

先决条件

  • 系统操作系统版本必须是 RHEL8 或 RHEL9。
  • 管理员必须具有系统的 sudo 访问权限。
  • 系统必须安装 Insights 客户端软件包,并注册到 Insights for Red Hat Enterprise Linux。

流程

  1. 安装 YARA。

    红帽客户门户网站上提供了适用于 RHEL8 和 RHEL9 的 YARA RPM:

    $ sudo dnf install yara
    注意

    RHEL7 不支持 Insights for Red Hat Enterprise Linux malware 检测。

  2. 如果还没有完成,请将系统注册到 Insights for Red Hat Enterprise Linux。

    重要

    必须在系统上安装 Insights 客户端软件包,并通过 Insights 为 Red Hat Enterprise Linux 注册的系统,然后才能使用恶意软件检测服务。

    1. 安装 Insights 客户端 RPM。

      $ sudo yum install insights-client
    2. 测试与 Insights for Red Hat Enterprise Linux 的连接。

      $ sudo insights-client --test-connection
    3. 使用 Insights for Red Hat Enterprise Linux 注册系统。

      $ sudo insights-client --register
  3. 运行 Insights 客户端恶意软件检测收集器。

    $ sudo insights-client --collector malware-detection

    收集器对此初始运行执行以下操作:

    • /etc/insights-client/malware-detection-config.yml中创建一个恶意软件检测配置文件
    • 执行测试扫描并上传结果

      注意

      这是使用简单测试规则对系统进行非常小的扫描。测试扫描主要是为了帮助验证安装、操作和上传是否在恶意软件检测服务正常工作。将会发现几个匹配项,但这意图且无需担心。初始测试扫描的结果不会出现在恶意软件检测服务 UI 中。

  4. 执行完整的文件系统扫描。

    1. 编辑 /etc/insights-client/malware-detection-config.yml,并将 test_scan 选项设置为 false。

      test_scan: false

      考虑设置以下选项以最小化扫描时间:

      • filesystem_scan_only - 仅扫描系统上的某些目录
      • filesystem_scan_exclude - 排除正在扫描的某些目录
      • filesystem_scan_since - 仅扫描最近修改的文件
    2. 重新运行客户端收集器:

      $ sudo insights-client --collector malware-detection
  5. (可选)扫描进程。这将首先扫描文件系统,然后扫描所有进程。在文件系统和进程扫描完成后,在 Security > Malware 中查看结果。

    重要

    默认情况下禁用扫描进程。在 Linux 系统上有 YARA 和扫描进程存在一个问题,这可能会产生不佳的系统性能。这个问题将在 YARA 即将推出的发行版本中解决,但建议不要扫描进程

    1. 要启用进程扫描,请在 /etc/insights-client/malware-config.yml 中设置 scan_processes: true

      scan_processes: true
注意

考虑在存在时设置这些与进程相关的选项: processes_scan_only - 只扫描系统上 processess_scan_exclude - 排除某些进程被扫描的 processes_scan_since - 只扫描最近启动的进程

  1. 保存更改,然后再次运行收集器。

    $ sudo insights-client --collector malware-detection