第 2 章 使用 Insights for RHEL malware-detection 服务

要开始使用 malware-detection 服务,必须执行以下操作:本章遵循每个操作的步骤。

注意

有些流程需要系统的 sudo 访问权限,其他流程要求管理员执行该操作是具有 Malware 检测管理员角色的用户访问组的成员。

表 2.1. 设置恶意检测服务的流程和访问要求。

操作描述所需的权限

安装 YARA 并配置 Insights 客户端

安装 YARA 应用程序并配置 Insights 客户端以使用 malware-detection 服务

sudo 访问权限

在 Red Hat Hybrid Cloud 控制台中配置用户访问

Red Hat Hybrid Cloud Console > Settings 菜单(gear 图标)> Identity & Access Management > User Access > Groups, create malware-detection groups,然后将适当的角色和成员添加到组中

红帽帐户的机构管理员

查看结果

请参阅混合云控制台中的系统扫描结果

带有 Malware 检测查看器角色的 User Access 组成员资格

2.1. 安装 YARA 并配置 Insights 客户端

执行以下步骤在 RHEL 系统上安装 YARA 和 malware-detection 控制器,然后运行测试和完整的恶意检测扫描,并将数据报告给 Insights for Red Hat Enterprise Linux 应用程序。

先决条件

  • 系统操作系统版本必须是 RHEL8 或 RHEL9。
  • 管理员必须具有系统的 sudo 访问权限。
  • 系统必须安装 Insights 客户端软件包,并注册到 Insights for Red Hat Enterprise Linux。

流程

  1. 安装 YARA。

    红帽客户门户网站上提供了适用于 RHEL8 和 RHEL9 的 YARA RPM: 

    $ sudo dnf install yara
    注意

    RHEL7 不支持 Insights for Red Hat Enterprise Linux malware-detection。

  2. 如果尚未完成,请通过 Insights for Red Hat Enterprise Linux 注册系统。

    重要

    在可以使用 malware-detection 服务前,必须在系统中安装 Insights 客户端软件包,以及使用 Insights for Red Hat Enterprise Linux 的系统。

    1. 安装 Insights 客户端 RPM。 

      $ sudo yum install insights-client

    2. 测试与 Insights for Red Hat Enterprise Linux 的连接。 

      $ sudo insights-client --test-connection

    3. 使用 Insights for Red Hat Enterprise Linux 注册系统。 

      $ sudo insights-client --register

  3. 运行 Insights 客户端 malware-detection 收集器。 

    $ sudo insights-client --collector malware-detection

    收集器对此初始运行执行以下操作:

    • /etc/insights-client/malware-detection-config.yml中创建 malware-detection 配置文件

    • 执行测试扫描并上传结果

      注意

      这是使用简单测试规则的系统的最小扫描。测试扫描主要是为了帮助验证安装、操作和上传是否在 malware-detection 服务中正常工作。找到多个匹配项,但这意是有意关注的。初始测试扫描的结果不会出现在 malware-detection 服务 UI 中。

  4. 执行完整的文件系统扫描。

    1. 编辑 /etc/insights-client/malware-detection-config.yml,并将 test_scan 选项设置为 false。 

      test_scan: false

      考虑设置以下选项来最小化扫描时间:

      • filesystem_scan_only - 仅扫描系统上的某些目录
      • filesystem_scan_exclude - 用来排除扫描某些目录
      • filesystem_scan_since - 仅扫描最近修改的文件

    2. 重新运行客户端收集器: 

      $ sudo insights-client --collector malware-detection

  5. (可选)扫描进程。这将首先扫描文件系统,然后扫描所有进程。在文件系统和进程扫描完成后,在 Security > Malware 中查看结果。

    重要

    默认情况下禁用扫描过程。在 Linux 系统上有 YARA 和扫描进程存在一个问题,这可能会产生不佳的系统性能。这个问题将在即将发布的 YARA 版本中解决,但建议不要扫描进程

    1. 要启用进程扫描,请在 /etc/insights-client/malware-detection-config.yml 中设置 scan_processes: true

      scan_processes: true
注意

在您存在时请考虑设置这些进程相关选项:process_scan_only - 仅扫描系统上的某些进程,以仅扫描某些进程被扫描的 process_scan_since - 以仅扫描最近启动的进程

  1. 保存更改,然后再次运行收集器。 

    $ sudo insights-client --collector malware-detection