Інтерактивна довідка ESET

Виберіть категорію
Виберіть тему

Інсталяція агента – Linux

Попередні вимоги відсутні

Рекомендуємо використовувати останню версію OpenSSL1.1.1. Агент ESET Management також підтримує OpenSSL 3.x. Мінімально підтримувана версія OpenSSL для Linux: openssl-1.0.1e-30. У системі одночасно може бути інстальовано більше версій OpenSSL. Принаймні одна з них має бути підтримуваною.

oВикористовуйте команду openssl version, щоб вивести поточну версію за замовчуванням.

oВи можете переглянути перелік усіх версій OpenSSL, інстальованих у системі. Щоб вивести список закінчень імен файлів, виконайте команду sudo find / -iname *libcrypto.so*

oЩоб перевірити, чи підтримує ваш клієнт Linux цю функцію, використайте таку команду: openssl s_client -connect google.com:443 -tls1_2


important

OpenSSL 3.x підтримки

Агент ESET Management підтримує OpenSSL 3.x.

Сервер/MDM ESET PROTECT не підтримує OpenSSL 3.x, проте можна ввімкнути підтримку OpenSSL 3.x для ESET PROTECT On-Prem.

 

Інсталюйте пакет lshw на сервер або клієнт комп’ютера з Linux, щоб агент ESET Management міг створювати правильні звіти про інвентаризацію обладнання.

 

Дистрибутив Linux

Команда термінала

Debian, Ubuntu

sudo apt-get install -y lshw

Red Hat, CentOS, RHEL

sudo yum install -y lshw

OpenSUSE

sudo zypper install lshw

 

У Linux CentOS рекомендуємо інсталювати пакет policycoreutils-devel. Для цього виконайте таку команду:

yum install policycoreutils-devel

Інсталяція агента з використанням сервера:

oНеобхідно забезпечити можливість підключення до комп’ютера до сервера з мережі. Крім того, на ньому має бути інстальовано сервер ESET PROTECT і веб-консоль ESET PROTECT.

Інсталяція агента в автономному режимі:

oНеобхідно забезпечити можливість підключення до комп’ютера до сервера з мережі. Крім того, на ньому має бути інстальовано сервер ESET PROTECT.

oТакож слід підготувати сертифікат агента.

oКрім того, потрібен файл відкритого ключа центру сертифікації сервера.

Інсталяція

Дотримуйтеся наведених нижче інструкцій, щоб інсталювати агент ESET Management у Linux за допомогою команди термінала:


important

Мають бути дотримані всі вказані вище попередні вимоги щодо інсталяції.

1.Завантажте сценарій інсталяції агента:

wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh

2.Зробіть файл виконуваним:

chmod +x agent-linux-x86_64.sh

3.Запустіть сценарій інсталяції на основі наведеного нижче прикладу (Нові рядки розділяються символом "\", що дає змогу скопіювати всю команду в Terminal):


note

Докладніше див. в розділі Параметри нижче.

Інсталяція з використанням сервера:

sudo ./agent-linux-x86_64.sh \
--skip-license \
--hostname=10.1.0.1 \
--port=2222 \
--webconsole-user=Administrator \
--webconsole-password=aB45$45c \
--webconsole-port=2223

Інсталяція в автономному режимі:

sudo ./agent-linux-x86_64.sh \
--skip-license \
--cert-path=/home/admin/Desktop/agent.pfx \
--cert-auth-path=/home/admin/Desktop/CA.der \
--cert-password=N3lluI4#2aCC \
--hostname=10.1.179.36 \
--port=2222


note

Рекомендуємо видалити з історії командного рядка команди, які містять конфіденційні дані (наприклад, пароль):

1.Запустіть history, щоб переглянути список усіх команд в історії.

2.Запустіть history -d line_number (укажіть номер рядка команди). Окрім того, можна запустити history -c, щоб видалити всю історію командного рядка.

4.Коли з’явиться запит, натисніть y, щоб прийняти сертифікат. Можна ігнорувати будь-які помилки щодо SELinux, які повертає інсталятор.

5.Після інсталяції переконайтеся, що служба агента ESET Management працює:

sudo systemctl status eraagent

6.Налаштуйте службу eraagent для запуску під час завантаження: sudo systemctl enable eraagent


note

Журнал інсталятора

Журнал інсталятора може стати в пригоді для виправлення неполадок. Він доступний у розділі Файли журналу.

Параметри:

Підключення до сервера ESET PROTECT налаштовується за допомогою параметрів --hostname та --port (за наявності запису SRV порт не використовується). arrow_down_businessМожливі формати підключення.

Атрибут

Опис

Потрібно

--hostname

IP-адреса або ім’я хоста сервера ESET PROTECT для підключення.

Так

--port

Порт сервера ESET PROTECT (за замовчуванням: 2222).

Так

--cert-path

Локальний шлях до файлу сертифіката агента (див. докладніше про сертифікат).

Так (в автономному режимі)

--cert-auth-path

Шлях до файлу Центру сертифікації сервера (див. докладніше про центр).

Так (в автономному режимі)

--cert-password

Пароль сертифіката агента.

Так (в автономному режимі)

--cert-auth-password

Пароль Центру сертифікації.

Да (якщо використовується)

--skip-license

Інсталятор не просить користувача підтвердити ліцензійну угоду.

Ні

--cert-content

Для налаштування захищених каналів зв’язку із сервером і агентами використовується зашифрований вміст у форматі Base64 зашифрованого сертифіката відкритого ключа у форматі PKCS12 та приватний ключ. Використовуйте лише один із параметрів: --cert-path або --cert-content.

Ні

--cert-auth-content

Для перевірки віддалених вузлів (проксі-сервера або звичайного сервера) використовується зашифрований вміст у форматі Base64 зашифрованого сертифіката приватного ключа у форматі DER. Використовуйте лише один із параметрів: --cert-auth-path або --cert-auth-content.

Ні

--webconsole-hostname

Ім’я хоста або IP-адреса, що використовуються у веб-консолі для підключення до сервера (якщо залишити це поле порожнім, його значення буде скопійовано з поля "hostname").

Ні

--webconsole-port

Порт, який використовує веб-консоль для підключення до сервера (значення за замовчуванням – 2223).

Ні

--webconsole-user

Ім’я користувача, яке використовує веб-консоль для підключення до сервера (значення за замовчуванням – Administrator).


important

Для інсталяцій із використанням сервера не можна використовувати користувача з двофакторною автентифікацією.

Ні

--webconsole-password

Пароль, який використовує веб-консоль для підключення до сервера.

Так (із використанням сервера)

--proxy-hostname

Ім’я хоста проксі-сервера HTTP. Використовуйте цей параметр, щоб використовувати протокол HTTP (уже інстальований у вашій мережі) для реплікації між агентом ESET Management і сервером ESET PROTECT (а не для кешування оновлень).

Якщо використовується проксі-сервер

--proxy-port

Порт проксі-сервера HTTP для підключення до сервера.

Якщо використовується проксі-сервер

--enable-imp-program

Увімкнути програму удосконалення продуктів.

Ні

--disable-imp-program

Вимкнути програму удосконалення продуктів.

Ні

Підключення та сертифікати

Необхідно встановити з’єднання із сервером ESET PROTECT: --hostname, --port (за наявності запису служби вказувати порт не потрібно, порт за замовчуванням: 2222)

Для інсталяції з використанням сервера надайте наступні дані для підключення: --webconsole-port, --webconsole-user, --webconsole-password

Для інсталяції в автономному режимі надайте дані про сертифікат: --cert-path, --cert-password. Для використання параметрів інсталяції --cert-path і --cert-auth-path потрібні файли сертифікатів (.pfx та .der), які можна експортувати з веб-консолі ESET PROTECT. (Ознайомтеся з інструкціями щодо експорту файлів .pfx і .der.)***

Параметри типу пароля

Параметри типу пароля можна задати за допомогою змінних середовища чи файлів, зчитати stdin або надати у вигляді тексту. Перелік параметрів:

--password=env:SECRET_PASSWORD, де SECRET_PASSWORD — це змінна середовища з паролем

--password=file:/opt/secret, де перший рядок звичайного файлу /opt/secret містить ваш пароль;

--password=stdin вказує інсталятору зчитати пароль зі стандартного вводу;

--password="pass:PASSWORD" є аналогом --password="PASSWORD". Цей параметр необхідно використовувати, якщо для пароля використовується значення "stdin" (стандартне введення) або рядок, що починається з "env:" "file:" чи "pass:"

 


warning

Парольна фраза сертифіката не може містити такі символи: " \ Ці символи спричиняють критичну помилку під час ініціалізації агента.

Підключення до проксі-сервера HTTP

Якщо проксі-сервер HTTP використовується для реплікації між агентом ESET Management і сервером ESET PROTECT (а не для кешування оновлень), можна вказати параметри підключення --proxy-hostname і --proxy-port.

ПРИКЛАД – інсталяція агента в автономному режимі за допомогою проксі-сервера HTTP:

./agent-linux-x86_64.sh \

--skip-license \

--cert-path=/home/admin/Desktop/agent.pfx \

--cert-auth-path=/home/admin/Desktop/CA.der \

--cert-password=N3lluI4#2aCC \

--hostname=10.1.179.36 \

--port=2222 \

--proxy-hostname=10.1.180.3 \

--proxy-port=3333 \

 


important

Протокол обміну даними між агентом і сервером ESET PROTECT не підтримує автентифікацію. Проксі-сервер, який використовується для перенаправлення даних агента на сервер ESET PROTECT, для якого потрібна автентифікація, не працюватиме.

Якщо ви не виберете порт для веб-консолі або агента за замовчуванням, можливо, потрібно буде налаштувати брандмауер відповідним чином. В іншому разі інсталяція може закінчитися невдало.

Оновлення та виправлення агента в Linux

Якщо вручну запустити інсталяцію агента в системі, де вже встановлено агента, можливі такі сценарії:

Оновлення: запускається новіша версія інсталятора.

oІнсталяція з використанням сервера – програма оновлюється, але зберігає попередні сертифікати.

oІнсталяція в автономному режимі – програма оновлюється, після чого використовуються нові сертифікати.

Виправлення: запускається інсталятор тієї ж самої версії. Цей параметр можна використовувати для перенесення агента на інший сервер ESET PROTECT.

oІнсталяція з використанням сервера – програма інсталюється повторно й отримує поточні сертифікати із сервера ESET PROTECT (згідно з параметром hostname).

oІнсталяція в автономному режимі – програма інсталюється повторно, після чого використовуються нові сертифікати.

Якщо ви виконуєте міграцію агента на більшу нову версію сервера ESET PROTECT та використовуєте інсталяцію з використанням сервера, команду інсталяції необхідно запускати двічі. Перша команда оновить агент, а друга — отримає нові сертифікати, які дадуть змогу агенту підключитися до сервера ESET PROTECT.