Compare languages | Security software settings for working with Deckhouse

If Kubernetes cluster nodes are analyzed by security scanners (antivirus tools), you may need to configure them to avoid false positives.

Если узлы кластера Kubernetes анализируются сканерами безопасности (антивирусными средствами), то может потребоваться их настройка для исключения ложноположительных срабатываний.

Deckhouse uses the following directories when working (download their list in csv…):

Deckhouse использует следующие директории при работе (скачать в csv…):

Recommendations for configuring KESL (Kaspersky Endpoint Security for Linux) to work with Deckhouse

Рекомендации по настройке KESL (Kaspersky Endpoint Security для Linux) для работы совместно с Deckhouse

To ensure that KESL does not affect Deckhouse’s performance, follow these configuration recommendations by running them in the command line directly on the host or through the centralized remote management system of Kaspersky Security Center.

Чтобы KESL не влиял на работоспособность Deckhouse, необходимо выполнить описанные ниже рекомендации по настройке через командную строку непосредственно на хосте или через систему централизованного удалённого управления Kaspersky Security Center.

Configuration of KESL is carried out using tasks that have specific numbers. Below is an overview of the general setup and the configuration of the tasks used when setting up KESL with Deckhouse.

Управление KESL осуществляется с помощью задач, имеющих определённые номера. Ниже рассмотрена общая настройка, и конфигурация основных задач, используемых при настройке KESL c Deckhouse.

General Setup

Общая настройка

Modify KESL settings related to network packet marking bits as there are overlaps with Deckhouse’s own network packet markings. To do so:

  1. Stop KESL if it is running, and modofy the following settings:

Измените настройки KESL относительно битов маркировки сетевых пакетов, так как существуют пересечения с маркировкой сетевых пакетов самим Deckhouse. Для этого:

  1. Остановите KESL, если он запущен, и измените настройки:
  • Change the BypassFwMark parameter value from 0x400 to 0x700;
  • Change the NtpFwMark parameter value from 0x200 to 0x600.
  • в параметре BypassFwMark измените значение с 0x400 на 0x700;
  • в параметре NtpFwMark измените значение с 0x200 на 0x600.
  1. Restart KESL.
  1. Запустите KESL.

Below are some example commands you can run to restart KESL:

Пример команд для запуска KESL:

shell systemctl stop kesl sed -i “s/NtpFwMark=0x200/NtpFwMark=0x600/” /var/opt/kaspersky/kesl/common/kesl.ini sed -i “s/BypassFwMark=0x400/BypassFwMark=0x700/” /var/opt/kaspersky/kesl/common/kesl.ini systemctl start kesl

shell systemctl stop kesl sed -i “s/NtpFwMark=0x200/NtpFwMark=0x600/” /var/opt/kaspersky/kesl/common/kesl.ini sed -i “s/BypassFwMark=0x400/BypassFwMark=0x700/” /var/opt/kaspersky/kesl/common/kesl.ini systemctl start kesl

Task 1. File Threat Protection

Задача №1 «Защита от файловых угроз» (File_Threat_Protection)

Exclude Deckhouse directories from analysis by running the following commands:

Добавьте исключение для директорий Deckhouse, выполнив команды:

shell kesl-control –set-settings 1 –add-exclusion /etc/cni kesl-control –set-settings 1 –add-exclusion /etc/Kubernetes kesl-control –set-settings 1 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 1 –add-exclusion /mnt/vector-data kesl-control –set-settings 1 –add-exclusion /opt/cni/bin kesl-control –set-settings 1 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 1 –add-exclusion /var/lib/bashable kesl-control –set-settings 1 –add-exclusion /var/lib/containerd kesl-control –set-settings 1 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 1 –add-exclusion /var/lib/etcd kesl-control –set-settings 1 –add-exclusion /var/lib/kubelet kesl-control –set-settings 1 –add-exclusion /var/lib/upmeter kesl-control –set-settings 1 –add-exclusion /var/log/containers kesl-control –set-settings 1 –add-exclusion /var/log/pods

shell kesl-control –set-settings 1 –add-exclusion /etc/cni kesl-control –set-settings 1 –add-exclusion /etc/Kubernetes kesl-control –set-settings 1 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 1 –add-exclusion /mnt/vector-data kesl-control –set-settings 1 –add-exclusion /opt/cni/bin kesl-control –set-settings 1 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 1 –add-exclusion /var/lib/bashable kesl-control –set-settings 1 –add-exclusion /var/lib/containerd kesl-control –set-settings 1 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 1 –add-exclusion /var/lib/etcd kesl-control –set-settings 1 –add-exclusion /var/lib/kubelet kesl-control –set-settings 1 –add-exclusion /var/lib/upmeter kesl-control –set-settings 1 –add-exclusion /var/log/containers kesl-control –set-settings 1 –add-exclusion /var/log/pods

When adding, a notification may be shown that some directories do not exist. The rule will still be added (this is expected behavior).

При добавлении может быть показано уведомление, что некоторых директорий не существует. Правило при этом будет добавлено — это нормально.

Task 2. Scan My Computer

Задача №2 «Поиск вредоносного ПО» (Scan_My_Computer)

Exclude Deckhouse directories from analysis by running the following commands:

Добавьте исключение для директорий Deckhouse, выполнив команды:

shell kesl-control –set-settings 2 –add-exclusion /etc/cni kesl-control –set-settings 2 –add-exclusion /etc/Kubernetes kesl-control –set-settings 2 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 2 –add-exclusion /mnt/vector-data kesl-control –set-settings 2 –add-exclusion /opt/cni/bin kesl-control –set-settings 2 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 2 –add-exclusion /var/lib/bashable kesl-control –set-settings 2 –add-exclusion /var/lib/containerd kesl-control –set-settings 2 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 2 –add-exclusion /var/lib/etcd kesl-control –set-settings 2 –add-exclusion /var/lib/kubelet kesl-control –set-settings 2 –add-exclusion /var/lib/upmeter kesl-control –set-settings 2 –add-exclusion /var/log/containers kesl-control –set-settings 2 –add-exclusion /var/log/pods

shell kesl-control –set-settings 2 –add-exclusion /etc/cni kesl-control –set-settings 2 –add-exclusion /etc/Kubernetes kesl-control –set-settings 2 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 2 –add-exclusion /mnt/vector-data kesl-control –set-settings 2 –add-exclusion /opt/cni/bin kesl-control –set-settings 2 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 2 –add-exclusion /var/lib/bashable kesl-control –set-settings 2 –add-exclusion /var/lib/containerd kesl-control –set-settings 2 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 2 –add-exclusion /var/lib/etcd kesl-control –set-settings 2 –add-exclusion /var/lib/kubelet kesl-control –set-settings 2 –add-exclusion /var/lib/upmeter kesl-control –set-settings 2 –add-exclusion /var/log/containers kesl-control –set-settings 2 –add-exclusion /var/log/pods

When adding, a notification may be shown that some directories do not exist. The rule will still be added (this is expected behavior).

При добавлении может быть показано уведомление, что некоторых директорий не существует. Правило при этом будет добавлено — это нормально.

Task 3. Selective Scan

Задача №3 «Выборочная проверка» (Scan_File)

Exclude Deckhouse directories from analysis by running the following commands:

Добавьте исключение для директорий Deckhouse, выполнив команды:

shell kesl-control –set-settings 3 –add-exclusion /etc/cni kesl-control –set-settings 3 –add-exclusion /etc/Kubernetes kesl-control –set-settings 3 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 3 –add-exclusion /mnt/vector-data kesl-control –set-settings 3 –add-exclusion /opt/cni/bin kesl-control –set-settings 3 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 3 –add-exclusion /var/lib/bashable kesl-control –set-settings 3 –add-exclusion /var/lib/containerd kesl-control –set-settings 3 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 3 –add-exclusion /var/lib/etcd kesl-control –set-settings 3 –add-exclusion /var/lib/kubelet kesl-control –set-settings 3 –add-exclusion /var/lib/upmeter kesl-control –set-settings 3 –add-exclusion /var/log/containers kesl-control –set-settings 3 –add-exclusion /var/log/pods

shell kesl-control –set-settings 3 –add-exclusion /etc/cni kesl-control –set-settings 3 –add-exclusion /etc/Kubernetes kesl-control –set-settings 3 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 3 –add-exclusion /mnt/vector-data kesl-control –set-settings 3 –add-exclusion /opt/cni/bin kesl-control –set-settings 3 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 3 –add-exclusion /var/lib/bashable kesl-control –set-settings 3 –add-exclusion /var/lib/containerd kesl-control –set-settings 3 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 3 –add-exclusion /var/lib/etcd kesl-control –set-settings 3 –add-exclusion /var/lib/kubelet kesl-control –set-settings 3 –add-exclusion /var/lib/upmeter kesl-control –set-settings 3 –add-exclusion /var/log/containers kesl-control –set-settings 3 –add-exclusion /var/log/pods

Note: when adding, a notification may be shown that some directories do not exist. The rule will still be added (this is expected behavior).

При добавлении может быть показано уведомление, что некоторых директорий не существует. Правило при этом будет добавлено — это нормально.

Task 4. Critical Areas Scan

Задача №4 «Проверка важных областей» (Critical_Areas_Scan)

Exclude Deckhouse directories from analysis by running the following commands:

Добавьте исключение для директорий Deckhouse, выполнив команды:

shell kesl-control –set-settings 4 –add-exclusion /etc/cni kesl-control –set-settings 4 –add-exclusion /etc/Kubernetes kesl-control –set-settings 4 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 4 –add-exclusion /mnt/vector-data kesl-control –set-settings 4 –add-exclusion /opt/cni/bin kesl-control –set-settings 4 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 4 –add-exclusion /var/lib/bashable kesl-control –set-settings 4 –add-exclusion /var/lib/containerd kesl-control –set-settings 4 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 4 –add-exclusion /var/lib/etcd kesl-control –set-settings 4 –add-exclusion /var/lib/kubelet kesl-control –set-settings 4 –add-exclusion /var/lib/upmeter kesl-control –set-settings 4 –add-exclusion /var/log/containers kesl-control –set-settings 4 –add-exclusion /var/log/pods

shell kesl-control –set-settings 4 –add-exclusion /etc/cni kesl-control –set-settings 4 –add-exclusion /etc/Kubernetes kesl-control –set-settings 4 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 4 –add-exclusion /mnt/vector-data kesl-control –set-settings 4 –add-exclusion /opt/cni/bin kesl-control –set-settings 4 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 4 –add-exclusion /var/lib/bashable kesl-control –set-settings 4 –add-exclusion /var/lib/containerd kesl-control –set-settings 4 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 4 –add-exclusion /var/lib/etcd kesl-control –set-settings 4 –add-exclusion /var/lib/kubelet kesl-control –set-settings 4 –add-exclusion /var/lib/upmeter kesl-control –set-settings 4 –add-exclusion /var/log/containers kesl-control –set-settings 4 –add-exclusion /var/log/pods

When adding, a notification may be shown that some directories do not exist. The rule will still be added (this is expected behavior).

При добавлении может быть показано уведомление, что некоторых директорий не существует. Правило при этом будет добавлено — это нормально.

Task 11. System Integrity Monitoring

Задача №11 «Контроль целостности системы» (System_Integrity_Monitoring)

Exclude Deckhouse directories from analysis by running the following commands:

Добавьте исключение для директорий Deckhouse, выполнив команды:

shell kesl-control –set-settings 11 –add-exclusion /etc/cni kesl-control –set-settings 11 –add-exclusion /etc/Kubernetes kesl-control –set-settings 11 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 11 –add-exclusion /mnt/vector-data kesl-control –set-settings 11 –add-exclusion /opt/cni/bin kesl-control –set-settings 11 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 11 –add-exclusion /var/lib/bashable kesl-control –set-settings 11 –add-exclusion /var/lib/containerd kesl-control –set-settings 11 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 11 –add-exclusion /var/lib/etcd kesl-control –set-settings 11 –add-exclusion /var/lib/kubelet kesl-control –set-settings 11 –add-exclusion /var/lib/upmeter kesl-control –set-settings 11 –add-exclusion /var/log/containers kesl-control –set-settings 11 –add-exclusion /var/log/pods

shell kesl-control –set-settings 11 –add-exclusion /etc/cni kesl-control –set-settings 11 –add-exclusion /etc/Kubernetes kesl-control –set-settings 11 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 11 –add-exclusion /mnt/vector-data kesl-control –set-settings 11 –add-exclusion /opt/cni/bin kesl-control –set-settings 11 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 11 –add-exclusion /var/lib/bashable kesl-control –set-settings 11 –add-exclusion /var/lib/containerd kesl-control –set-settings 11 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 11 –add-exclusion /var/lib/etcd kesl-control –set-settings 11 –add-exclusion /var/lib/kubelet kesl-control –set-settings 11 –add-exclusion /var/lib/upmeter kesl-control –set-settings 11 –add-exclusion /var/log/containers kesl-control –set-settings 11 –add-exclusion /var/log/pods

When adding, a notification may be shown that some directories do not exist. The rule will still be added (this is expected behavior).

При добавлении может быть показано уведомление, что некоторых директорий не существует. Правило при этом будет добавлено — это нормально.

Task 12. Firewall Management

Задача №12 «Управление сетевым экраном» (Firewall_Management)

The task must be disabled. Do not enable it once disabled. It will render Deckhouse inoperable.

Задачу необходимо отключить и не включать. Включение задачи приведёт к неработоспособности Deckhouse.

This task removes all iptables rules not related to KESL (link to the KESL documentation).

Эта задача удаляет все правила iptables, не относящиеся к KESL (ссылка на документацию KESL).

If the task is enabled, disable it by running the following command:

Если задача включена, отключите её, выполнив команду:

shell kesl-control –stop-task 12

shell kesl-control –stop-task 12

Task 13. Anti-Cryptor

Задача №13 «Защита от шифрования» (Anti_Cryptor)

Exclude Deckhouse directories from analysis by running the following commands:

Добавьте исключение для директорий Deckhouse, выполнив команды:

shell kesl-control –set-settings 13 –add-exclusion /etc/cni kesl-control –set-settings 13 –add-exclusion /etc/Kubernetes kesl-control –set-settings 13 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 13 –add-exclusion /mnt/vector-data kesl-control –set-settings 13 –add-exclusion /opt/cni/bin kesl-control –set-settings 13 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 13 –add-exclusion /var/lib/bashable kesl-control –set-settings 13 –add-exclusion /var/lib/containerd kesl-control –set-settings 13 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 13 –add-exclusion /var/lib/etcd kesl-control –set-settings 13 –add-exclusion /var/lib/kubelet kesl-control –set-settings 13 –add-exclusion /var/lib/upmeter kesl-control –set-settings 13 –add-exclusion /var/log/containers kesl-control –set-settings 13 –add-exclusion /var/log/pods

shell kesl-control –set-settings 13 –add-exclusion /etc/cni kesl-control –set-settings 13 –add-exclusion /etc/Kubernetes kesl-control –set-settings 13 –add-exclusion /mnt/kubernetes-data kesl-control –set-settings 13 –add-exclusion /mnt/vector-data kesl-control –set-settings 13 –add-exclusion /opt/cni/bin kesl-control –set-settings 13 –add-exclusion /opt/deckhouse/bin kesl-control –set-settings 13 –add-exclusion /var/lib/bashable kesl-control –set-settings 13 –add-exclusion /var/lib/containerd kesl-control –set-settings 13 –add-exclusion /var/lib/deckhouse kesl-control –set-settings 13 –add-exclusion /var/lib/etcd kesl-control –set-settings 13 –add-exclusion /var/lib/kubelet kesl-control –set-settings 13 –add-exclusion /var/lib/upmeter kesl-control –set-settings 13 –add-exclusion /var/log/containers kesl-control –set-settings 13 –add-exclusion /var/log/pods

When adding, a notification may be shown that some directories do not exist. The rule will still be added (this is expected behavior).

При добавлении может быть показано уведомление, что некоторых директорий не существует. Правило при этом будет добавлено — это нормально.

Task 14. Web Threat Protection

Задача №14 «Защита от веб-угроз» (Web_Threat_Protection)

We recommended disabling the task. If you need to enable the task for some reason, configure it independently to avoid affecting Deckhouse performance.

Задачу рекомендуется отключить.

If the task is enabled and its negative impact on Deckhouse is detected, disable the task by executing the command below:

Если есть необходимость включить задачу, выполните настройку таким образом, чтобы не было влияния на работоспособность Deckhouse.

shell kesl-control –stop-task 14

Если задача включена и обнаружено её негативное влияние на Deckhouse, отключите задачу, выполнив команду:

Task 17. Network Threat Protection

shell kesl-control –stop-task 14

We recommended disabling the task. If you need to enable the task for some reason, configure it independently to avoid affecting Deckhouse performance.

Задача №17 «Защита от сетевых угроз» (Network_Threat_Protection)

If the task is enabled and its negative impact on Deckhouse is detected, disable the task by executing the command below:

Задачу рекомендуется отключить.

shell kesl-control –stop-task 17

Если есть необходимость включить задачу, выполните настройку таким образом, чтобы не было влияния на работоспособность Deckhouse.

Task 20. Behavior Detection

Если задача включена и обнаружено её негативное влияние на Deckhouse, отключите задачу, выполнив команду:

With default settings, this task has no negative impact on Deckhouse performance. If you need to enable the task for some reason, configure it independently to avoid affecting Deckhouse performance.

shell kesl-control –stop-task 17

If the task is enabled and its negative impact on Deckhouse is detected, disable the task by executing the command below:

Задача №20 «Анализ поведения» (Behavior_Detection)

shell kesl-control –stop-task 20

С настройками по умолчанию задача негативного влияния на работоспособность Deckhouse не оказывает.

Task 21. Application Control

Если есть необходимость включить задачу, выполните настройку таким образом, чтобы не было влияния на работоспособность Deckhouse.

With default settings, this task has no negative impact on Deckhouse performance. If you need to enable the task for some reason, configure it independently to avoid affecting Deckhouse performance.

Если задача включена и обнаружено её негативное влияние на Deckhouse, отключите задачу, выполнив команду:

If the task is enabled and its negative impact on Deckhouse is detected, disable the task by executing the command below:

shell kesl-control –stop-task 20

shell kesl-control –stop-task 21

Задача №21 «Контроль программ» (Application_Control)

Task 22. Web Control

С настройками по умолчанию задача негативного влияния на работоспособность Deckhouse не оказывает.

We recommended disabling the task. If you need to enable the task for some reason, configure it independently to avoid affecting Deckhouse performance.

Если есть необходимость включить задачу, выполните настройку таким образом, чтобы не было влияния на работоспособность Deckhouse.

If the task is enabled and its negative impact on Deckhouse is detected, disable the task by executing the command below:

Если задача включена и обнаружено её негативное влияние на Deckhouse, отключите задачу, выполнив команду:

shell kesl-control –stop-task 22

shell kesl-control –stop-task 21

 

Задача №22 «Веб-контроль» (Web_Control)

 

Задачу рекомендуется отключить.

 

Если есть необходимость включить задачу, выполните настройку таким образом, чтобы не было влияния на работоспособность Deckhouse.

 

Если задача включена и обнаружено её негативное влияние на Deckhouse, отключите задачу, выполнив команду:

 

shell kesl-control –stop-task 22