目次
- Kernel Support Package (KSP) とは
- KSPをダウンロードする方法・適用方法
- よくある質問
本製品で使用する略称
- DS (Deep Security) :Deep Securityソフトウェア全体を指します。
- DSA (Deep Security Agent):保護対象サーバにインストールし、複数のセキュリティ機能を統合的に提供するコンポーネントです。
- DSM (Deep Security Manager):Deep Securityを管理するコンポーネントです。
- KSP (Kernel Support Package):Linux版Deep Security Agentで各種保護機能を提供するために必要なコンポーネントです。本製品Q&Aで説明を行います。
Kernel Support Package (KSP) とは
概要
KSPとは、DSAがLinuxのカーネルをサポートするためのプログラムです。
Linux版の DSA では、各機能を有効にする前に、必ず Kernel Support Package (KSP) と呼ばれる専用のパッケージをDSMにインポートしてください。
お使いのカーネルをサポートするKSPがDSAに適用されていない場合、各種保護機能は有効にできません。KSPを適用できなかった場合、「不正プログラム対策エンジンがオフライン」「侵入防御対策エンジンがオフライン」など、有効にした機能に関するエラーが発生することがあります。
サポートされるカーネルの一覧
Linux 版 DSA は、原則としてサポート対象プラットフォームの各ディストリビュータが提供している公式カーネルをサポートします。
サポート対象カーネル一覧に記載されていないバージョンのカーネルの使用はサポート対象外となり、各種保護機能が有効にできません。
- Supported Linux Kernels (20.0.1)
- Supported Linux Kernels (20.0.0)
- Supported Linux Kernels (12.0)
- Supported Linux Kernels (11.0)
- Supported Linux Kernels (10.0)
- Supported Linux Kernels (9.6)
サポートされるカーネルの一覧に記載の文字列と、カーネルバージョンは完全一致としてください。
たとえば、Red Hat Enterprise Linux のカーネルバージョンが「5.14.0-70.13.1.el9_0.x86_64」の場合、リストに「5.14.0-70.13.1.el9_0.x86_64」が記載されているためサポート対象となります 。
(例)
カーネルバージョンが「5.14.0-70」である場合、KSPのリストのバージョンは「5.14.0-70」を選ぶ必要があります。
「5.14.0-70.13.1.el9_0.x86_64」は合致しません。
Ubuntuなどの一部のOSではカーネルタイプが複数存在します。カーネルバージョンだけなくリストのサポートしているカーネルタイプの「Y」の有無もご確認ください。
genericはサポートしているもののgkeはサポートしてないなどの場合がございます。
(例)
Ubuntuの「4.15.0-20」ではgenericには「Y」が記載されておりサポートしているものの、gkeには「Y」の記載がないためサポートされません。
注意事項
- 最新のKSPを利用いただくことを推奨します。
- 最新のKSPには、不具合の修正が含まれる場合があります。
- 最新のKSPには、新たにサポートしたカーネルに加え、既存の対応カーネルのサポートも含まれます。
- 各カーネルバージョンのサポートを開始したKSPのビルドや、新たにサポートされたカーネルバージョンを確認するには、お使いのDSAのバージョン向けのKSPのReadmeをご覧ください。
- 新しいカーネルのアップデートには随時対応します。
- 新しいカーネルのアップデートに随時対応するのは「通常サポート終了日」までとなります。DS 12.0 以下のバージョンにおいての「延長サポート終了日」までの間は、ご要望をいただいてから都度作成します
- OSベンダーによる特別な延長サポート中に提供された特殊なカーネルなど、弊社で入手できないカーネルの場合は、KSPを作成できない場合があります。
- KSPのバージョン表記の改定に伴い、制限事項が発生しております。詳細は次のFAQをご確認ください。KSP(Kernel Support Package) バージョン表記の改訂に伴う制限事項
KSPのReadme
Kernel Support PackageのReadmeは英語版のみとなります。
KSPをダウンロードする方法・適用方法
いずれかの方法を選択してください。
お薦めの方法 (自動更新あり)
次の条件を満たす環境では本方法を使います。
初回のダウンロード、および更新のための設定操作は次の通りです。
- 管理コンソールを開きます。
- [管理]→[アップデート]→[ソフトウェア]→[ダウンロードセンター] 画面で、Linux版 Deep Security Agent (DSA) のインストールパッケージを検索し、インポートします。
- このとき、DSMがインターネットに接続し、その時点での最新KSPをダウンロードおよびインポートします。
- [管理]→[システム設定]→[アップデート]にて、「ローカルにダウンロードしたソフトウェアの最新版を自動的にダウンロードセンターから取得」設定を有効にします。
- [管理]→[予約タスク]を開き、ソフトウェアアップデートの予約タスクを作成し、有効にします。(セキュリティアップデートや、その他のタスクの実行時刻と重複や時刻が近くならないように調整してください。)
以上の設定を行うと、新しいKSPが公開される都度、自動的にDSMがKSPをインポートします。
DSMに新しいKSPがインポートされると、KSP適用済みのDSAに自動で配信されます。
侵入防御で使用されるドライバは、DSAのサービスを再起動したタイミングで新しいビルドに置き換えられます。
侵入防御をお使いの環境でKSPを更新した場合は、なるべく間をおかずにDSAのサービスを再起動いただくことを推奨します。
その他の方法 (手動での更新)
次のような状況下では本方法を使います。
- DSMがインターネットに接続できない
- ソフトウェアの予約アップデートタスクを設定していない
- KSPを手動でインポートしたい
適用手順は次の通りです。
- 下記のページから、お使いのDSAのバージョンに合わせたKSPをダウンロードします。
- 管理コンソールの [管理]→[アップデート]→[ソフトウェア]→[ローカル] を開き、手順1でダウンロードしたKSPをインポートします。
- DSAにKSPを適用するためには、管理コンソールの[コンピュータ]から端末を選び "ポリシーの送信" を実施します。
侵入防御で使用されるドライバは、DSAのサービスを再起動したタイミングで新しいビルドに置き換えられます。
侵入防御をお使いの環境でKSPを更新した場合は、なるべく間をおかずにDSAのサービスを再起動いただくことを推奨します。
よくある質問
Q. マルチテナント環境を使用しています。不要なKSPを削除することはできますか?
A. 自動削除することはできません。最新でなく、かつ利用されていないもののみ手動で削除できます。
2022/11時点でヘルプセンターの記述に誤りがございます。現在、修正対応中です。