Pomoc online ESET

Wyszukaj Polski
Wybierz kategorię
Wybierz temat

Instalacja agenta — system Linux

Wymagania wstępne

Zalecamy korzystanie z najnowszej wersji programu OpenSSL1.1.1. Agent ESET Management obsługuje OpenSSL 3.x. Najniższa obsługiwana wersja biblioteki OpenSSL w systemie Linux to openssl-1.0.1e-30. Jednocześnie w systemie może być zainstalowanych więcej wersjiOpenSSL. Co najmniej jedna obsługiwana wersja musi być zainstalowana w systemie.

oAby pokazać bieżącą wersję domyślną, możesz użyć polecenia openssl version.

oMożesz też wyświetlić wszystkie wersje biblioteki OpenSSL zainstalowane w systemie. W tym celu sprawdź końcówki nazw plików wyświetlonych przy użyciu polecenia sudo find / -iname *libcrypto.so*

oMożna sprawdzić zgodność klienta Linux przy pomocy następującego polecenia: openssl s_client -connect google.com:443 -tls1_2


important

OpenSSL 3.x obsługa

Agent ESET Management obsługuje OpenSSL 3.x.

Serwer/MDM ESET PROTECT nie obsługuje OpenSSL 3.x natywnie, ale można włączyć obsługę OpenSSL 3.x dla ESET PROTECT On-Prem.

 

Zainstaluj pakiet lshw na komputerze klient/serwer z systemem Linux, aby agent ESET Management poprawnie raportował spis sprzętu.

 

Dystrybucja Linuksa

Polecenie terminala

Debian, Ubuntu

sudo apt-get install -y lshw

Red Hat, CentOS, RHEL

sudo yum install -y lshw

OpenSUSE

sudo zypper install lshw

 

W przypadku systemu Linux CentOS zalecamy zainstalowanie pakietu policycoreutils-devel. Aby zainstalować pakiet, należy uruchomić polecenie:

yum install policycoreutils-devel

Wspomagana instalacja serwerowa agenta:

oDostępny w sieci komputer pełniący rolę serwera, na którym zainstalowano serwer ESET PROTECT i konsolę internetową ESET PROTECT.

Instalacja offline agenta:

oDostępny w sieci komputer pełniący rolę serwera, na którym zainstalowano serwer ESET PROTECT.

oMusi istnieć certyfikat dla agenta.

oMusi istnieć klucz publiczny urzędu certyfikacji.

Instalacja

Wykonaj poniższe czynności, aby zainstalować komponent agenta ESET Management w systemie Linux przy użyciu polecenia Terminal:


important

Upewnij się, że spełnione są wszystkie wymagania wstępne dotyczące instalacji wskazane powyżej.

1.Pobierz skrypt instalacji agenta:

wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh

2.Spraw, aby plik był wykonywalny:

chmod +x agent-linux-x86_64.sh

3.Uruchom skrypt instalacji w oparciu o poniższy przykład (nowe wiersze są oddzielone znakiem „\”, co umożliwia skopiowanie całego polecenia do terminala):


note

Aby uzyskać więcej informacji, zapoznaj się z parametrami poniżej.

Wspomagana instalacja serwerowa:

sudo ./agent-linux-x86_64.sh \
--skip-license \
--hostname=10.1.0.1 \
--port=2222 \
--webconsole-user=Administrator \
--webconsole-password=aB45$45c \
--webconsole-port=2223

Instalacja offline:

sudo ./agent-linux-x86_64.sh \
--skip-license \
--cert-path=/home/admin/Desktop/agent.pfx \
--cert-auth-path=/home/admin/Desktop/CA.der \
--cert-password=N3lluI4#2aCC \
--hostname=10.1.179.36 \
--port=2222


note

Zalecamy usunięcie poleceń zawierających poufne dane (na przykład hasło) z historii wiersza poleceń:

1.Uruchom polecenie history, aby wyświetlić listę wszystkich poleceń w historii.

2.Uruchom polecenie history -d line_number (określ numer wiersza, w którym występuje interesujące Cię polecenie). Możesz też wywołać polecenie history -c, aby usunąć całą historię wiersza poleceń.

4.Po wyświetleniu monitu naciśnij y, aby zaakceptować certyfikat. Możesz zignorować wszelkie błędy dotyczące SELinux zgłoszone przez instalator.

5.Po zakończeniu instalacji sprawdź, czy usługa agenta ESET Management jest aktywna:

sudo systemctl status eraagent

6.Ustaw usługę eraagent tak, by uruchamiała się podczas rozruchu: sudo systemctl enable eraagent


note

Dziennik instalatora

Dziennik instalatora może się przydać podczas rozwiązywania problemów. Można go znaleźć w plikach dziennika.

Parametry

Połączenie z serwerem ESET PROTECT jest nawiązywane przy użyciu parametrów --hostname oraz --port (port nie jest używany, gdy dostępny jest rekord SRV). arrow_down_businessMożliwe formaty połączenia.

Atrybut

Opis

Wymagane

--hostname

Nazwa hosta lub adres IP serwera ESET PROTECT używana do nawiązania połączenia.

Tak

--port

Port serwera ESET PROTECT (wartość domyślna to 2222).

Tak

--cert-path

Ścieżka lokalna do pliku certyfikatu agenta (więcej informacji na temat certyfikatu).

Tak (offline)

--cert-auth-path

Ścieżka do pliku urzędu certyfikacji serwera (więcej informacji na temat urzędu).

Tak (offline)

--cert-password

Hasło certyfikatu agenta.

Tak (offline)

--cert-auth-password

Hasło do urzędu certyfikacji.

Tak (jeśli jest używany)

--skip-license

Podczas instalacji użytkownik nie będzie proszony o potwierdzenie umowy licencyjnej.

Nie

--cert-content

— zakodowana w formacie Base64 treść zakodowanego w formacie PKCS12 certyfikatu klucza publicznego oraz klucza prywatnego, służącego do zabezpieczania kanałów komunikacyjnych na serwerze i agentach. Należy używać wyłącznie opcji --cert-path lub --cert-content.

Nie

--cert-auth-content

Zakodowana w formacie Base64 treść certyfikatu kodowanego DER klucza prywatnego urzędu certyfikacji, używanego do weryfikacji zdalnych elementów równorzędnych (serwerów lub serwerów proxy). Należy używać wyłącznie opcji --cert-auth-path lub --cert-auth-content.

Nie

--webconsole-hostname

Nazwa hosta lub adres IP używane w konsoli internetowej do łączenia się z serwerem (jeśli wartość ta pozostanie pusta, instalator skopiuje ją z „hostname”).

Nie

--webconsole-port

Port używany przez konsolę internetową do nawiązywania połączenia z serwerem (wartość domyślna to 2223).

Nie

--webconsole-user

Nazwa użytkownika używana przez konsolę internetową do nawiązywania połączenia z serwerem (wartość domyślna to Administrator).


important

Nie można używać użytkownika z uwierzytelnianiem dwuskładnikowym w instalacjach wspomaganych przez serwer.

Nie

--webconsole-password

Hasło używane przez konsolę internetową do łączenia się z serwerem.

Tak (wspomagane przez serwer)

--proxy-hostname

Nazwa hosta serwera proxy. Ten parametr powoduje włączenie korzystania z serwera proxy HTTP (który jest już zainstalowany w sieci) na potrzeby replikacji między agentem ESET Management a serwerem ESET PROTECT (nie dotyczy buforowania aktualizacji).

Jeśli używany jest serwer proxy

--proxy-port

Port serwera proxy HTTP służący do nawiązywania połączenia z serwerem.

Jeśli używany jest serwer proxy

--enable-imp-program

Włącza program ulepszania produktu.

Nie

--disable-imp-program

Wyłącza program ulepszania produktu.

Nie

Połączenie i certyfikaty

Należy skonfigurować połączenie z serwerem ESET PROTECT: --hostname, --port (port nie jest potrzebny w przypadku podania rekordu usługi; wartość domyślna dla portu to 2222)

W przypadku wspomaganej instalacji serwerowej należy podać następujące informacje: --webconsole-port, --webconsole-user, --webconsole-password

W przypadku instalacji offline należy podać informacje dotyczące certyfikatu: --cert-path, --cert-password. Parametry instalacji --cert-path i --cert-auth-path wymagają plików certyfikatów (.pfx i .der), które można wyeksportować z konsoli internetowej ESET PROTECT. (Zapoznaj się z informacjami o eksportowaniu pliku .pfx i pliku .der).

Parametry typu hasła

Parametry typu hasła można podać w postaci zmiennych środowiskowych, pliku, wartości odczytywanej ze strumienia stdin lub podawanej w formie zwykłego tekstu. czyli:

--password=env:SECRET_PASSWORD, gdzieSECRET_PASSWORD to zmienna środowiskowa zawierająca hasło

--password=file:/opt/secret, gdzie hasło zawiera pierwszy wiersz zwykłego pliku /opt/secret

--password=stdin to instrukcja umożliwiająca instalatorowi odczytanie hasła ze standardowego strumienia wejścia

Zapis --password="pass:PASSWORD" jest odpowiednikiem --password="PASSWORD" i jest obowiązkowy, jeśli hasło to faktycznie "stdin" (wejście standardowe) lub ciąg znaków zaczynający się od "env:", "file:" lub "pass:"

 


warning

Hasło do certyfikatu nie może zawierać następujących znaków: " \ Znaki te powodują błąd krytyczny podczas inicjowania agenta.

Połączenie z serwerem proxy HTTP

Jeśli używasz serwera proxy HTTP do replikacji między agentem ESET Management a serwerem ESET PROTECT (nie do buforowania aktualizacji), możesz określić parametry połączenia w --proxy-hostname i --proxy-port.

PRZYKŁAD — instalacja offline agenta z połączeniem z serwerem proxy HTTP:

./agent-linux-x86_64.sh \

--skip-license \

--cert-path=/home/admin/Desktop/agent.pfx \

--cert-auth-path=/home/admin/Desktop/CA.der \

--cert-password=N3lluI4#2aCC \

--hostname=10.1.179.36 \

--port=2222 \

--proxy-hostname=10.1.180.3 \

--proxy-port=3333 \

 


important

Protokół komunikacji między agentem a serwerem ESET PROTECT nie obsługuje uwierzytelniania. Żadne rozwiązanie proxy używane do przekazywania komunikacji agenta na serwer ESET PROTECT i wymagające uwierzytelniania nie będzie działać.

Jeśli port domyślny używany dla konsoli internetowej lub agenta zostanie zmieniony, może być konieczna korekta ustawień zapory. W przeciwnym razie instalacja może się nie powieść.

Uaktualnianie i naprawianie instalacji agenta w systemie Linux

W przypadku ręcznej instalacji agenta w systemie, w którym agent jest już zainstalowany, mogą wystąpić poniższe sytuacje:

Zaktualizuj — uruchom nowszą wersję instalatora.

oWspomagana instalacja serwerowa — aplikacja zostaje uaktualniona, ale nadal używa wcześniejszych certyfikatów.

oInstalacja offline — aplikacja zostaje uaktualniona i używane są nowe certyfikaty.

Napraw — uruchom tę samą wersję instalatora. Za pomocą tej opcji można przeprowadzić migrację agenta na inny serwer ESET PROTECT.

oWspomagana instalacja serwerowa — aplikacja zostaje ponownie zainstalowana, a następnie otrzymuje bieżące certyfikaty z serwera ESET PROTECT (zdefiniowanego przy użyciu parametru hostname).

oInstalacja offline — aplikacja zostaje zainstalowana ponownie i używane są nowe certyfikaty.

Jeśli podczas ręcznego migrowania agenta ze starszego serwera na inny nowszy serwer ESET PROTECT używana jest wspomagana instalacja serwerowa, polecenie instalacji należy uruchomić dwukrotnie. Pierwsze uruchomienie spowoduje uaktualnienie agenta, a drugie uzyskanie nowych certyfikatów, aby agent mógł połączyć się ze serwerem ESET PROTECT.