Процесс корректного перехода на новые версии продуктов

• Обновление предыдущей версии приложения (KICS for Linux Nodes)
• Обновление KICS for Networks с использованием скрипта переноса данных

Обновление предыдущей версии приложения (KICS for Linux Nodes)

Вы можете обновить версию KICS for Linux Nodes 1.3 до версии KICS for Linux Nodes 1.5. 

Более ранние версии (например, 1.2 или 1.1) требуют предварительного удаления и чистой установки, поскольку для них не предусмотрено обновление до KICS for Linux Nodes 1.5.

Подготовка к процессу обновления

Перед началом обновления нужно убедиться, что операционная система удовлетворяет требования к ПО, а именно:

• Убедиться в том, что на вашем устройстве не установлено приложение Kaspersky Endpoint Agent для Linux. 
• Убедиться в том, что на вашем устройстве установлен интерпретатор языка Perl версии 5.10 или выше.
• Убедиться в том, что в системе установлена утилита semanage. Если утилита не установлена, установите пакет policycoreutils-python или policycoreutils-python-utils в зависимости от типа менеджера пакетов.
• В операционных системах Astra Linux по умолчанию включен запрет трассировки ptrace (Disable ptrace capability), который может влиять на работу KICS for Linux Nodes. Поэтому рекомендуется отключить запрет трассировки ptrace при установке Astra Linux. Если Astra Linux уже установлена и включен запрет трассировки, то ознакомиться с инструкцией по включению и выключению этого режима можно на сайте Справочного центра Astra Linux (раздел Блокировка трассировки ptrace).
• Для работы компонентов Управление сетевым экраном, Защита от веб-угроз и Защита от сетевых угроз требуется установить на вашем устройстве пакет утилит iptables.
• Для запуска и корректной работы приложения требуется убедиться, что учетная запись root является владельцем следующих директорий и только владелец имеет право на запись в них: /var, /var/opt, /var/opt/kaspersky, /var/log/kaspersky, /opt, /opt/kaspersky, /usr/bin, /usr/lib, /usr/lib64.

Обновления KICS for Linux Nodes до следующей версии можно выполнить двумя способами:

1 способ. Обновление с помощью KSC.

1 шаг. Прежде чем приступить к самому процессу обновления KICS for Linux Nodes через KSC, нужно первым делом обновить агент администрирования KSC на каждом защищаемом устройстве. Обновление выполняется путем установки новой версии Агента администрирования KSC.

Если проигнорировать данный шаг и не обновить агент администрирования, то управлять приложением через Kaspersky Security Center будет невозможно.

На устройстве с операционной системой Astra Linux Special Edition рекомендуется обновлять Агент администрирования удаленно с помощью KSC, так как при обновлении с помощью командной строки в консоли управления KSC создается новый экземпляр того же управляемого устройства, а старый становится недоступным.

2 шаг. Необходимо осуществить обновление плагинов управления KICS for Linux Nodes:

• веб-плагин управления Kaspersky Industrial CyberSecurity for Linux Nodes;
• MMC-плагин управления Kaspersky Industrial CyberSecurity for Linux Nodes.

Обновление осуществляется путем установки новой версии плагина управления. 

3 шаг. Переходим в веб-интерфейс KSC или в консоль администрирования KSC

В меню консоли администрирования KSC выберете Дополнительно → Удаленная установка → Инсталляционные пакеты.

Далее нажимаем кнопку "Создать инсталляционный пакет". Откроется "Мастер создания инсталляционных пакетов" и предложит на выбор несколько опций. Нас интересует опция "Создать инсталляционный пакет для приложения "Лаборатории Касперского".

В следующем шаге задаем имя нашему инсталляционному пакету. Далее открывается стандартное окно Windows с помощью кнопки Обзор и мы указываем путь к файлу kics.kud. Данный файл находится в папке, в которую вы распаковали архив с KICS for Linux Nodes, где находится сборка версии до которой мы хотим обновить наше приложение, в данном случае архив: kics-1.5.0.<номер сборки>.zip.

На следующем шаге ознакомлявшемся с Лицензионным соглашением и принимаем его. После чего мастер загружает файлы, необходимые для установки приложения, на Сервер администрирования KSC.

В веб-консоли KSC "Мастер создания инсталляционного пакет" находится в разделе:  Обнаружение устройств и развертывание → Развертывание и назначение → Инсталляционные пакеты. Следующие шаги после запуска мастера аналогичны. 

4 шаг. Далее переходим в KSC, где можно воспользоваться мастером развертывания защиты. Мастер развертывания защиты позволяет проводить удаленную установку приложений как с использованием специально созданных инсталляционных пакетов, так и напрямую из дистрибутивов.

Возвращаемся в раздел Дополнительно → Удаленная установка и запускаем "Мастер удаленной установки". (В веб-консоли KSC переходим в раздел Обнаружение устройств и развертывание → Развертывание и назначение → Мастер развертывания защиты).

Далее нужно выбрать инсталляционный пакет приложения, которое требуется установить. На следующем шаге выбираются устройства на которых надо обновить приложение до новой версии. В окне Параметры задачи удаленной установки настройте параметры удаленной установки приложения.

Далее будет предложено выбрать действие, которое требуется выполнить, если необходимо перезагрузить операционную систему во время установки приложения. Выбираем интересующее нас действие и нажимаем "Далее", указываем, следует ли перемещать устройства в группу администрирования после установки Агента администрирования. По умолчанию стоит "Не перемещать устройства". После чего выбираем требуется ли нам учетная запись для установки или установлен агент администрирования и нажимаем Далее.

На финальном шаге по умолчанию вариант Запустить задачу после завершения работы мастера не выбран. Если вы выберете этот параметр, Задача удаленной установки приложения начнется сразу после завершения работы мастера. Если вы не выберете этот параметр, Задача удаленной установки приложения не начнется. Вы можете запустить эту задачу в дальнейшем вручную.

2 способ. Обновление с помощью командной строки

Обновление KICS for Linux Nodes с помощью командной строки выполняется путем установки на устройство новой версии приложения из пакета формата RPM или DEB в соответствии с типом менеджера пакетов.

Обратите внимание, если в новой версии приложения изменились условия Лицензионного соглашения и/или Политики конфиденциальности, вам нужно принять новые условия в ходе обновления приложения.

Чтобы принять условия новых соглашений в ходе обновления, нужно использовать переменные окружения KICS_EULA_AGREED=yes, KICS_PRIVACY_POLICY_AGREED=yes и KICS_USE_KSN=yes/no.

Установка пакета KICS for Linux Nodes осуществляется с помощью следующей команды в соответствии с типом менеджера пакетов. Если у вас установлен графический пользовательский интерфейс приложения предыдущей версии, вам также нужно установить пакет, содержащий файлы графического интерфейса приложения.

• Для пакета в формате RPM:

# [KICS_EULA_AGREED=yes] [KICS_PRIVACY_POLICY_AGREED=yes] [KICS_USE_KSN=yes/no] rpm -U --replacefiles --replacepkgs kics-1.5.0-<номер сборки>.<arch>.rpm [kics-gui-1.5.0-<номер сборки>.<arch>.rpm]

где <arch> – тип архитектуры: i386 – для 32-битных операционных систем, а x86_64 – для 64-битных операционных систем.

• Для пакета в формате DEB:

# [KICS_EULA_AGREED=yes] [KICS_PRIVACY_POLICY_AGREED=yes] [KICS_USE_KSN=yes/no] apt-get install ./kics_1.5.0-<номер сборки>_<arch>.deb [./kics-gui_1.5.0-<номер сборки>_<arch>.deb]

где <arch> – тип архитектуры: i386 – для 32-битных операционных систем, а amd64 – для 64-битных операционных систем.

После выполнения данной команды KICS for Linux Nodes будет автоматически перезапущен.

В ходе обновления в новую версию приложения переносится журнал событий. Для большинства параметров используются значения, настроенные для предыдущей версии приложения. Для некоторых параметров устанавливаются особые значения. Если во время переноса параметров по какой-либо причине происходит ошибка, для приложения устанавливаются значения по умолчанию.

Изменения параметров приложения, сделанные после завершения обновления и до перезапуска приложения, не сохраняются.

Обновление KICS for Networks с использованием скрипта переноса данных

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или ICS community и НЕ является официальной рекомендацией вендора

Убедитесь, что все пункты из статьи подготовки соблюдены

Если вы планируете обновить KICS for Networks до следующей версии, то нужно воспользоваться скриптом переноса данных, который идет в комплекте поставки программы. Скрипт переноса данных имеет следующее название: данных kics4net-backup.sh.

Использованием скрипта kics4net-backup.sh поддерживается для версий программы, начиная с версии 4.0. Скрипт нужно использовать локально, на том сервере, где установлены компоненты KICS for Networks  резервную копию или перенос данных которых вы хотите сделать.

Скрипт kics4net-backup.sh переносить из текущей версии продукта следующие данные:

• политика безопасности;
• данные о состоянии и режимах работы технологий и методов;
• параметры обновления баз и программных модулей;
• информация о добавленном лицензионном ключе;
• записи аудита;
• сообщения программы;
• риски категории Уязвимость;
• зарегистрированные события;
• сохраненный трафик для событий;
• данные карты сети;
• данные об исполняемых файлах.

Рекомендуется создать резервную копию всех данных KICS for Networks. Резервная копия создается также с помощью скрипта kics4net-backup.sh. При резервном копировании скрипт помимо предыдущих данных позволяет сохранить следующие компоненты:

• конфигурация сервисов программы;
• имя компьютера;
• номер версии программы.

Сценарий обновления KICS for Networks с помощью данного скрипта состоит из следующих шагов:

1 шаг. Создание резервной копии данных от предыдущей версии программы на компьютерах Сервера и сенсоров

1. На компьютер с установленным компонентом программы предыдущей версии скопируйте в произвольную директорию архив kics4net-release_<номер версии программы>.tar.gz из комплекта поставки программы.
2. Перейдите в директорию, в которую скопирован архив, и введите команду для распаковки архива:

   tar -zxvf kics4net-release_<номер версии программы>.tar.gz

   Распакованные директории и файлы появятся во вложенной директории kics4net-release_<номер версии программы>.

3. Перейдите в директорию с распакованными файлами скриптов и пакетов для установки, проверки и удаления компонентов программы. Файлы находятся во вложенной директории kics4net-release_<номер версии программы>/linux-astra.
4. Запустите скрипт kics4net-backup.sh:
   • Если вы хотите создать резервную копию данных на компьютере Сервера, введите команду:

     sudo bash kics4net-backup.sh -b -p <путь к файлу резервной копии> <необязательные параметры>

   • Если вы хотите создать резервную копию данных на компьютере сенсора, введите команду:

     sudo bash kics4net-backup.sh -s -p <путь к файлу резервной копии> <необязательные параметры>

где:

• -b – параметр для включения режима записи данных Сервера в файл резервной копии (обязательный параметр при запуске на компьютере Сервера).
• -p – параметр, указывающий полный путь и имя файла создаваемой резервной копии (обязательный параметр).
• -s – параметр для включения режима записи данных сенсора в файл резервной копии (обязательный параметр при запуске на компьютере сенсора).
•  <необязательные параметры> – один или несколько необязательных параметров, перечисленных ниже.
• -t – параметр для выключения сохранения трафика (если параметр не указан, трафик сохраняется).
• -e – параметр для выключения сохранения зарегистрированных событий (если параметр не указан, события сохраняются). Вы можете указать этот параметр только при создании резервной копии данных на компьютере Сервера.
• -n – параметр для выключения сохранения данных карты сети (если параметр не указан, данные карты сети сохраняются). Вы можете указать этот параметр только при создании резервной копии данных на компьютере Сервера.
• -x – параметр для выключения сохранения данных об исполняемых файлах (если параметр не указан, данные об исполняемых файлах сохраняются). Вы можете указать этот параметр только при создании резервной копии данных на компьютере Сервера.
• -d – параметр для остановки сервисов программы (если параметр не указан, происходит запуск сервисов программы после завершения работы скрипта).

пример: sudo bash kics4net-backup.sh -b -p ./old_kics4net_data -t

Скрипт начнет резервное копирование данных. Дождитесь завершения работы скрипта kics4net-backup.sh и сохраните созданный файл резервной копии.

2 шаг. Удаление предыдущей версии программы

Этот шаг выполняется, если вы хотите установить компоненты текущей версии KICS for Networks на те же узлы, на которых установлены компоненты предыдущей версии.

Есть несколько способов удаления компонентов KICS for Networks:

• Централизованно на всех узлах, на которых выполнялась установка предыдущей версии программы.

  Этот способ выполняется с помощью скрипта централизованной установки компонентов программы путем выполнения процедуры централизованного удаления.

• Локально на каждом узле, на котором установлен компонент предыдущей версии программы.

  Этот способ выполняется с помощью скрипта локального удаления компонентов программы (если компонент предыдущей версии программы предусматривает возможности локальной установки и локального удаления).

3 шаг. Установка текущей версии.

Процесс установки описан в разделе "Развертывание KICS for Networks".

4 шаг. Загрузка данных из резервной копии после установки новой версии программы.

Перейдите в директорию:

Откройте командную строку и запустите скрипт kics4net-backup.sh на компьютере Сервера:

Если требуется загрузить данные резервной копии на сенсоре, введите следующую команду:

где:

• -r – параметр для включения режима чтения и загрузки данных из файла резервной копии Сервера (обязательный параметр при запуске на компьютере Сервера).
• -p – параметр, указывающий полный путь и имя файла резервной копии (обязательный параметр).
• -l – параметр для включения режима чтения и загрузки данных из файла резервной копии сенсора (обязательный параметр при запуске на компьютере сенсора).
• <необязательный параметр> – параметр -d для остановки сервисов программы (если параметр не указан, происходит запуск сервисов программы после завершения работы скрипта).

Для специфических сценариев использования скрипта kics4net-backup.sh предусмотрен дополнительный параметр команды запуска --restore-database. Этот параметр предназначен для восстановления из файла резервной копии только базы данных Сервера. В сценарии обновления предыдущей версии программы этот параметр не используется. Чтение и загрузку данных из файла резервной копии Сервера, включающих и данные для восстановления базы данных, обеспечивает параметр -r (см. выше).

Скрипт начнет загрузку данных из файла резервной копии в программу. Дождитесь завершения работы скрипта kics4net-backup.sh.

После завершения загрузки данных из резервных копий на всех узлах подключитесь к Серверу через веб-интерфейс и проверьте параметры развертывания узлов в разделе Параметры → Развертывание. При необходимости добавьте сенсоры.