| Порт | Процесс | Протокол | Функция |
|---|---|---|---|
| 8060 | klcsweb | TCP | Передача на клиентские устройства опубликованных инсталляционных пакетов |
| 8061 | klcsweb | TCP (TLS) | Передача на клиентские устройства опубликованных инсталляционных пакетов |
| 13000 | klserver | TCP (TLS) | Прием подключений от Агентов администрирования и от подчиненных Серверов администрирования; используется также на подчиненных серверах для приема подключений от главного Сервера (например, если подчиненный Сервер находится в демилитаризованной зоне) |
| 13000 | klserver | UDP | Прием информации от Агентов администрирования о выключении устройств |
| 13299 | klserver | TCP (TLS) | Прием подключений от Identity and Access Manager (IAM) к Серверу администрирования; прием подключений к Серверу администрирования через OpenAPI |
| 17000 | klactprx | TCP (TLS) | Прием подключений для активации приложений от управляемых устройств |
| 4444 | kliam | HTTPS | Аутентификация с использованием протокола OpenID Connect |
| 9050 | kliam | HTTPS | Подключение к Серверу администрирования с помощью IAM |
GID для группы kladmins и UID для каждого из созданных пользователей (ksc, rightless и ksciam) должны быть одинаковыми для всех 3-х устройств.
- Проверить GID и UID можно командами *getent group kladmins* и *getent passwd <ksc, rightless или ksciam>* соответственно - Сменить GID и UID можно командами sudo groupmod -g <новый\_GID> kladmins и sudo usermod -u <новый\_UID> <ksc, rightless или ksciam> соответственно [](https://antiapt-community.ru/uploads/images/gallery/2026-04/VW5rhmeTbUDBNAk7-image.png) Пример создания группы и пользователя ### Развертывание файлового сервера Файловый сервер необходим для синхронизации данных между активным и пассивным узлами отказоустойчивого кластера KSC Linux. [Требования к файловому серверу](https://support.kaspersky.com/KSCLinux/16.1/ru-RU/255792.htm)**:** - Доступ к файловому серверу должен быть включен для обоих узлов в параметрах NFS-сервера. - NFS-протокол должен иметь версию 4.0 или 4.1. - Минимальные требования для ядра Linux: - 3.19.0-25, если вы используете NFS 4.0; - 4.4.0-176, если вы используете NFS 4.1. - Установите необходимые утилиты одной из следующих команд в зависимости от используемого дистрибутива Linux ```bash sudo yum install nfs-utils sudo apt install nfs-kernel-server ``` Далее необходимо создать две общие папки. Для хранения информации о состоянии отказоустойчивого кластера и для хранения данных и параметров KSC Linux.Имена папок должны быть /mnt/KlFocStateShare и /mnt/KlFocDataShare\\\_klfoc. Поэтому проверьте, что на устройстве отсутствуют данные директории.
- Для создания и настройки папок выполните команды: ```bash sudo mkdir -p /mnt/KlFocStateShare sudo mkdir -p /mnt/KlFocDataShare\_klfoc sudo chown ksc:kladmins /mnt/KlFocStateShare sudo chown ksc:kladmins /mnt/KlFocDataShare\_klfoc sudo chmod -R 770 /mnt/KlFocStateShare /mnt/KlFocDataShare\_klfoc sudo sh -c "echo /mnt/KlFocStateShare \*(rw,sync,no\_subtree\_check,no\_root\_squash) >> /etc/exports" #одной строкой sudo sh -c "echo /mnt/KlFocDataShare\_klfoc \*(rw,sync,no\_subtree\_check,no\_root\_squash) >> /etc/exports" #одной строкой sudo exportfs -a sudo systemctl start rpcbind sudo systemctl start nfs-server ``` Для автозапуска выполните команду ```bash sudo systemctl enable rpcbind ``` Перезапустите файловый сервер. После чего он будет подготовлен ### Подготовка СУБД Для работы отказоустойчивого кластера KSC Linux необходимо использовать СУБД на выделенном хосте. В данном руководстве рассмотрен пример с использованием СУБД Postgres. [Полный список поддерживаемых СУБД](https://support.kaspersky.com/KSCLinux/16.1/ru-RU/255791.htm). **Необходимо настроить конфигурацию СУБД. Для этого перейдите в /etc/postgresql/<VERSION>/main/postgresql.conf и примените следующие параметры:** ```ini max_connections = 151 shared_buffers = #25% от объема оперативной памяти устройства, на котором установлена СУБД, если оперативной памяти меньше 1 ГБ, то необходимо оставить значение по умолчанию. huge_pages = try temp_buffers = 24MB max_prepared_transactions = 0 work_mem = 16MB maintenance_work_mem = 128 MB max_stack_depth = 2MB #максимальный размер стека (например, можно получить это значение, выполнив команду 'ulimit -s’, показывает размер стека в КБ) минус 1 МБ temp_file_limit = -1 fsync = on max_parallel_workers_per_gather = 0 ``` [](https://antiapt-community.ru/uploads/images/gallery/2026-04/sMy2ptfmlLPtIaXP-image.png) Для работы KSC Linux версии 16.0 и выше на сервере СУБД необходимо наличие 2-х БД. kav – обеспечивает работу всех основных функций KSC Linux, iam – обеспечивает работу службы Identity and Access Manager. Для KSC Linux 15.4 и ниже БД iam не нужна. Для работы с этими БД рекомендуется создать отдельных пользователей СУБД. Например можно использовать интерактивный терминальный клиент psql для выполнения SQL-запросов. **Выполните следующие команды через клиент psql:** ```sql CREATE USER "kscdbadmin" WITH PASSWORD '<пароль>'; – для создания пользователя СУБД для БД kav ``` или ```sql CREATE USER "kscdbadmin"; \password kscdbadmin #чтобы не вводить пароль в открытом виде CREATE DATABASE "kav" ENCODING 'UTF8' OWNER "kscdbadmin"; #cоздание БД kav ``` Также выполните команды по выдаче прав для пользователя БД kav ```sql GRANT ALL PRIVILEGES ON DATABASE "kav" TO "kscdbadmin"; GRANT USAGE ON SCHEMA public TO "kscdbadmin"; GRANT CREATE ON SCHEMA public TO "kscdbadmin"; GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA "public" TO "kscdbadmin"; GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA "public" TO "kscdbadmin"; ``` Затем необходимо повторить аналогичные действия для создания 2-й БД iam ```sql CREATE USER "iamdbadmin" WITH PASSWORD '<пароль>'; CREATE DATABASE "iam" ENCODING 'UTF8' OWNER "iamdbadmin"; GRANT ALL PRIVILEGES ON DATABASE "iam" TO "iamdbadmin"; GRANT USAGE ON SCHEMA public TO "iamdbadmin"; GRANT CREATE ON SCHEMA public TO "iamdbadmin"; GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA "public" TO "iamdbadmin"; GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA "public" TO "iamdbadmin"; ```Важно! При удалении KSC Linux БД iam не удаляется автоматически. Поэтому при удалении или переустановке KSC Linux необходимо удалить / пересоздать БД iam
Затем необходимо разрешить подключение к СУБД с внешних устройств. Перейдите к редактированию файла /etc/postgresql//<VERSION>/main/pg\_hba.conf. Укажите возможность подключения к созданным базам данных kav и iam, а также к предустановленной БД postgres как на примере [](https://antiapt-community.ru/uploads/images/gallery/2026-04/f1WnBw4mxZ2wFnwX-image.png) Затем в файле /etc/postgresql/<VERSION>/main/postgresql.conf укажите возможность прослушивания внешних адресов [](https://antiapt-community.ru/uploads/images/gallery/2026-04/k7ORg1H7baYhbi2w-image.png) Перезапустите службу СУБД ### Конфигурация общих папок **Для настройки связи узлов отказоустойчивого кластера KSC Linux с файловым сервером необходимо подключить к ним папки, созданные ранее. В зависимости от вашего дистрибутива Linux установите либо пакет nfs-utils, либо пакет nfs-kernel-server на каждом узле кластера, выполнив соответствующую команду:** ```bash yum install nfs-utils apt install nfs-kernel-server ``` **Создайте папки, которые будут точками монтирования:** ```bash mkdir -p /mnt/KlFocStateShare mkdir -p /mnt/KlFocDataShare_klfoc ``` **Сопоставьте точки монтирования и общие папки, указав их в /etc/fstab:** ```bash sudo sh -c "echo <адрес файлового сервера>:/mnt/KlFocStateShare /mnt/KlFocStateShare nfs vers=4,soft,timeo=50,retrans=2,auto,user,rw 0 0 >> /etc/fstab" sudo sh -c "echo <адрес файлового сервера>:/mnt/KlFocDataShare_klfoc /mnt/KlFocDataShare_klfoc nfs vers=4,noauto,user,rw,exec 0 0 >> /etc/fstab" ``` **Подключите общие папки, выполнив следующие команды:** ```bash mount /mnt/KlFocStateShare mount /mnt/KlFocDataShare_klfoc ``` После этого разрешения на доступ к общим папкам принадлежат ksc:kladmins [](https://antiapt-community.ru/uploads/images/gallery/2026-04/US6QhWS8xd73KJmY-image.png) ### Конфигурация сетевого адаптера / балансировщика В зависимости от выбранной схемы развёртывания необходимо настроить сетевую инфраструктуру для возможности переключения между узлами кластера. В любом из случаев вам пригодятся команды nmcli device status для вывода списка сетевых интерфейсов под управлением NetworkManager, nmcli con show для вывода списка сетевых подключений и ip a для идентификации сетевых интерфейсов. **На обоих узлах отказоустойчивого кластера необходимо:** - Если выбрана схема с виртуальными сетевым адаптером **Установить пакет iputils-arping. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:** ```bash yum install iputils apt install iputils-arping ``` **Для создания виртуального сетевого интерфейса выполнить команду (одной строкой):** ```bash nmcli connection add type macvlan dev <физический интерфейс> mode bridge ifname <виртуальный интерфейс> ipv4.addresses <адрес с маской> ipv4.method manual autoconnect no ``` Имя виртуального интерфейса задаётся произвольно, но должно быть одинаково на обоих узлах кластера [](https://antiapt-community.ru/uploads/images/gallery/2026-04/zPqk7bsyAsZdj4aK-image.png) - Если выбрана схема с физическим сетевым адаптером **Установить пакет iputils-arping. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:** ```bash yum install iputils apt install iputils-arping ``` На обоих узлах кластера на дополнительном сетевом адаптере укажите одинаковый ip-адрес любым удобным способом (через графический интерфейс, терминал) и переведите этот сетевой интерфейс в состояние DOWN командой ```bash ip link set <интерфейс> down ``` - Если выбрана схема с внешним балансировщиком - Подготовьте выделенное Linux-устройство с установленным nginx или другим балансировщиком нагрузки; - Настройте балансировку нагрузки. Установите активный узел в качестве основного сервера и пассивный узел в качестве резервного сервера; - На сервере балансировщика откройте всеВажно! Доступность узлов отказоустойчивого кластера должна определяться доступностью основных портов подключения к Серверу администрирования (13000 TCP, 13299 TCP). Пассивный узел не принимает никаких внешних подключений, пока не произойдет переключение.
### Установка KSC Linux [Дистрибутивы KSC](https://www.kaspersky.ru/small-to-medium-business-security/downloads/endpoint) [](https://antiapt-community.ru/uploads/images/gallery/2026-04/XKqeo2xyG572awwG-image.png) #### Установка KSC на активный узел кластера **Для начала установки KSC Linux скачайте необходимый дистрибутив KSC в зависимости от вашего дистрибутива Linux и выполните одну из команд:** ```bash sudo apt-get install /Совет! Для удобства перед запуском скрипта postinstall.pl можно создать файл ответов answers.txt, в котором указать все необходимые значения для настройки активного узла кластера KSC Linux. Это поможет избежать ошибок установки из-за неточного ввода параметров после запуска скрипта postinstall.pl.
Для применения файла ответов выполните команду export KLAUTOANSWERS=/полный/путь/до/answers.txt (Важно! Обязательно указать именно полный путь) [](https://antiapt-community.ru/uploads/images/gallery/2026-04/mTcglW8GonZNGUeb-image.png) Затем запустите скрипт настройки /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl - Примите условия Лицензионного соглашения – введите Y - Примите условия Политики конфиденциальности – введите Y - Выберите значение Основной узел кластера – введите 2 - Укажите локальный путь к точке монтирования общей папки состояния – введите /mnt/KlFocStateShare - Укажите локальный путь к точке монтирования общей папки данных – введите /mnt/KlFocDataShare\_klfoc - Выберите режим подключения отказоустойчивого кластера: через дополнительный сетевой адаптер или внешний балансировщик нагрузки - Если вы используете дополнительный сетевой адаптер, введите его имя (имя отображено в столбце NAME в выводе команды nmcli con show) - Введите FQDN или IP-адрес дополнительного сетевого адаптера либо FQDN или IP-адрес внешнего балансировщика нагрузки - Введите номер SSL-порта Сервера администрирования. По умолчанию номер порта – 13000 - Оцените примерное количество устройств, которыми вы планируете управлять: - Если число управляемых устройств составляет от 1 до 100, введите 1 - Если число управляемых устройств составляет от 101 до 1000, введите 2 - Если число управляемых устройств составляет более 1000, введите 3 - Этот параметр используется для автоматического определения случайной задержки запуска задач в целях оптимизации нагрузки на сеть - Введите имя группы безопасности для служб. В данном примере kladmins - Введите имя учетной записи для запуска службы Сервера администрирования. В данном примере ksc - Введите имя учетной записи, чтобы запустить другие службы. В данном примере ksc - Выберите СУБД для работы с KSC. MySQL или MariaDB – 1, PostgreSQL или Postgres Pro SQL – 2 - Введите DNS-имя или IP-адрес устройства c СУБД - Введите номер порта базы данных. По умолчанию 3306 для MySQL или MariaDB и 5432 для PostgreSQL или Postgres Pro - Введите имя базы данных. В данном примере kav - Введите имя учетной записи администратора базы данных. В данном примере kscdbadmin - Введите пароль учетной записи администратора базы данных - Введите FQDN сервера IAM (адрес самого KSC) - Введите имя учетной записи для запуска службы IAM. В данном примере ksciam - Выберите СУБД для работы с IAM. MySQL или MariaDB – 1, PostgreSQL или Postgres Pro SQL – 2 - Введите DNS-имя или IP-адрес устройства c СУБД - Введите номер порта базы данных. По умолчанию 3306 для MySQL или MariaDB и 5432 для PostgreSQL или Postgres Pro - Введите имя базы данных. В данном примере iam - Введите имя учетной записи администратора базы данных. В данном примере iamdbadmin - Введите пароль учетной записи администратора базы данных - Подождите, пока службы добавятся и запустятся автоматически: - klfocsvc\_klfoc - kladminserver\_klfoc - klwebsrv\_klfoc - klactprx\_klfoc - klnagent\_klfoc - kliam\_klfoc **Для добавления нового пользователя с ролью главный администратора воспользуйтесь командой:** ```bash sudo /opt/kaspersky/ksc64/sbin/kladduser -n <имя пользователя> ``` #### Установка KSC на пассивный узел кластера **Аналогично в зависимости от вашего дистрибутива Linux и выполните одну из команд:** ```bash sudo apt-get install /