Inštalácia agenta – Linux
Požiadavky
•Odporúčame používať najnovšiu verziu programu OpenSSL 1.1.1. ESET PROTECT Server/MDM nepodporuje OpenSSL 3.x. ESET Management Agent podporuje OpenSSL 3.x. Musíte mať nainštalované OpenSSL pre Linux minimálne vo verzii openssl-1.0.1e-30. Súčasne môže byť na jednom systéme nainštalovaných viacero verzií OpenSSL. Na vašom systéme musí byť nainštalovaná aspoň jedna podporovaná verzia.
oNa zobrazenie aktuálnej predvolenej verzie použite príkaz openssl version.
oMôžete zobraziť zoznam všetkých verzií OpenSSL nainštalovaných na vašom systéme. Na zobrazenie koncoviek názvov súborov môžete použiť príkaz sudo find / -iname *libcrypto.so*
oKompatibilitu svojho klientskeho zariadenia so systémom Linux môžete skontrolovať pomocou nasledujúceho príkazu: openssl s_client -connect google.com:443 -tls1_2
•Nainštalujte balík lshw na klientsky počítač/server so systémom Linux, aby ESET Management Agent správne reportoval informácie súvisiace s inventárom hardvéru.
Distribúcia systému Linux |
Terminálový príkaz |
---|---|
Debian, Ubuntu |
sudo apt-get install -y lshw |
Red Hat, CentOS, RHEL |
sudo yum install -y lshw |
OpenSUSE |
sudo zypper install lshw |
• Pre Linux CentOS odporúčame inštaláciu balíka policycoreutils-devel. Pre inštaláciu balíka spustite nasledujúci príkaz:
yum install policycoreutils-devel
•Serverom asistovaná inštalácia agenta:
oServerový počítač musí byť dostupný zo siete a musia byť na ňom nainštalované ESET PROTECT Server a ESET PROTECT Web Console.
•Offline inštalácia agenta:
oServerový počítač musí byť dostupný zo siete a musí byť na ňom nainštalovaný ESET PROTECT Server.
oMusí byť vytvorený certifikát agenta.
oMusí byť vytvorený verejný kľúč Certifikačnej autority servera.
Inštalácia
Pre inštaláciu súčasti ESET Management Agenta na operačnom systéme Linux prostredníctvom terminálového príkazu postupujte podľa nasledujúcich krokov:
Uistite sa, že sú splnené všetky vyššie uvedené požiadavky na inštaláciu. |
1.Stiahnite si skript na inštaláciu agenta:
wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh |
2.Vytvorte z neho spustiteľný súbor:
chmod +x agent-linux-x86_64.sh
3.Spustite inštalačný skript podľa príkladu nižšie (nové riadky musia byť oddelené pomocou "\", aby bolo možné skopírovať celý skript do terminálu):
Viac informácií nájdete v časti Parametre uvedenej nižšie. |
Serverom asistovaná inštalácia:
sudo ./agent-linux-x86_64.sh \ |
Offline inštalácia:
sudo ./agent-linux-x86_64.sh \ |
Z histórie príkazového riadka odporúčame odstrániť príkazy obsahujúce citlivé údaje (ako napríklad heslo): 1.Spustením príkazu history si zobrazte históriu všetkých použitých príkazov. 2.Spustite príkaz history -d line_number (zadajte číslo riadka príkazu, ktorý chcete odstrániť). Ak chcete odstrániť celú históriu príkazového riadka, spustite príkaz history -c. |
4.Po vyzvaní na potvrdenie certifikátu stlačte kláves y. Všetky chyby týkajúce sa SELinux vrátené inštalátorom môžete ignorovať.
5.Po inštalácii skontrolujte, či je služba ESET Management Agent spustená:
sudo systemctl status eraagent
6.Nastavte spustenie služby eraagent pri štarte: sudo systemctl enable eraagent
Protokol inštalácie Protokol inštalácie je užitočný pri riešení problémov. Nachádza sa v súboroch protokolu. |
Parametre
Pripojenie na ESET PROTECT Server je umožnené parametrami --hostname a --port (port sa nepoužíva, ak je k dispozícii SRV záznam). Možné formáty pripojenia.
Atribút |
Popis |
Vyžaduje sa |
|||
---|---|---|---|---|---|
--hostname |
Názov hostiteľa alebo IP adresa ESET PROTECT Servera pre pripojenie. |
Áno |
|||
--port |
Port ESET PROTECT Servera (predvolene je to 2222). |
Áno |
|||
--cert-path |
Cesta k súboru certifikátu agenta (viac informácií o certifikátoch nájdete tu). |
Áno (offline) |
|||
--cert-auth-path |
Cesta k súboru Certifikačnej autority servera (viac o certifikačných autoritách nájdete tu). |
Áno (offline) |
|||
--cert-password |
Heslo agentského certifikátu. |
Áno (offline) |
|||
--cert-auth-password |
Heslo certifikačnej autority. |
Áno (ak sa používa) |
|||
--skip-license |
Používateľovi sa počas inštalácie nezobrazí výzva na potvrdenie súhlasu s licenčnou dohodou. |
Nie |
|||
--cert-content |
Base64 kódovaný obsah PKCS12 kódovaného verejného kľúča certifikátu a súkromného kľúča používaných na nastavenie zabezpečenej komunikácie medzi serverom a agentmi. Použite len jednu z nasledujúcich možností: --cert-path alebo --cert-content. |
Nie |
|||
--cert-auth-content |
Base64 kódovaný obsah DER kódovaného súkromného kľúča certifikačnej autority použitého na overovanie komunikácie vzdialených klientov (Proxy alebo Server). Použite len jednu z nasledujúcich možností: --cert-auth-path alebo --cert-auth-content. |
Nie |
|||
--webconsole-hostname |
Názov hostiteľa alebo IP adresa, ktorú bude Web Console používať na pripojenie na server (ponechaním prázdneho poľa inštalátor použije hodnotu zadanú parametrom „hostname“). |
Nie |
|||
--webconsole-port |
Port používaný nástrojom Web Console na pripojenie na server (prednastavená hodnota je 2223). |
Nie |
|||
--webconsole-user |
Používateľské meno, ktoré bude Web Console používať na pripojenie na server (predvolená hodnota je Administrator).
|
Nie |
|||
--webconsole-password |
Heslo používané nástrojom Web Console na pripojenie na server. |
Áno (serverom asistovaná inštalácia) |
|||
--proxy-hostname |
Názov hostiteľa HTTP Proxy. Tento parameter použite na povolenie používania HTTP Proxy (ktoré je už nainštalované vo vašej sieti) na replikáciu medzi ESET Management Agentom a ESET PROTECT Serverom (nie na ukladanie aktualizácií do vyrovnávacej pamäte). |
Pri použití proxy |
|||
--proxy-port |
Port HTTP Proxy pre pripojenie na server. |
Pri použití proxy |
|||
--enable-imp-program |
Aktivácia programu zlepšovania produktov. |
Nie |
|||
--disable-imp-program |
Deaktivácia programu zlepšovania produktov. |
Nie |
Pripojenie a certifikáty
•Údaje pre Pripojenie na ESET PROTECT Server zadajte prostredníctvom parametrov: --hostname, --port (port nie je potrebný, použijete servisný záznam; predvolené číslo portu je 2222)
•Pri Serverom asistovanej inštalácii zadajte údaje pre pripojenie prostredníctvom parametrov: --webconsole-port, --webconsole-user, --webconsole-password
•Pri Offline inštalácii zadajte údaje o certifikátoch prostredníctvom parametrov: --cert-path, --cert-password. Pri použití parametrov inštalácie --cert-path a --cert-auth-path budete potrebovať certifikačné súbory (.pfx a .der), ktoré je možné exportovať z ESET PROTECT Web Console. (Pre viac informácií si prečítajte o exportovaní .pfx súboru a .der súboru.)
Parametre typu hesla
Parametre pre typ hesla môžete zadať ako premenné prostredia, súbor, načítať ich zo stdin, prípadne zadať ako obyčajný text. Napríklad:
--password=env:SECRET_PASSWORD, kde SECRET_PASSWORD je premenná prostredia s heslom
--password=file:/opt/secret, kde prvý riadok textového súboru /opt/secret obsahuje vaše heslo
--password=stdin – inštalátor si prečíta heslo zo štandardného vstupu
--password="pass:PASSWORD" je rovnaký ako --password="PASSWORD" a je povinný v prípade, keď aktuálne heslo je "stdin" (štandardný vstup) alebo reťazec začínajúci s "env:", "file:", prípadne "pass:"
Prístupová fráza certifikátu nesmie obsahovať nasledujúce znaky: " \ Tieto znaky spôsobujú kritickú chybu počas inicializácie agenta. |
HTTP Proxy pripojenie
Ak používate HTTP Proxy na replikáciu medzi ESET Management Agentom a ESET PROTECT Serverom (nie na ukladanie aktualizácií do vyrovnávacej pamäte), môžete pomocou parametrov --proxy-hostname a --proxy-port špecifikovať údaje pre pripojenie.
Príklad – offline inštalácia agenta s pripojením HTTP Proxy:
./agent-linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 \ --proxy-hostname=10.1.180.3 \ --proxy-port=3333 \ |
Komunikačný protokol medzi Agentom a ESET PROTECT Serverom nepodporuje autentifikáciu. Žiadne proxy riešenie sprostredkujúce komunikáciu medzi Agentom a ESET PROTECT Serverom, ktoré si vyžaduje autentifikáciu, nebude funkčné. Ak sa rozhodnete pre Web Console alebo Agenta použiť nepredvolený port, môže to vyžadovať úpravu nastavení firewallu. V opačnom prípade môže inštalácia zlyhať. |
Aktualizácia a opravná inštalácia agenta na systéme Linux
Ak spúšťate inštaláciu agenta manuálne na systéme, kde je už agent nainštalovaný, môžu nastať nasledujúce scenáre:
•Aktualizácia – spustenie novšej verzie inštalátora.
oServerom asistovaná inštalácia – aplikácia bude aktualizovaná a budú ponechané predošlé certifikáty.
oOffline inštalácia – aplikácia bude aktualizovaná a budú použité nové certifikáty.
•Oprava – spustenie rovnakej verzie inštalátora. Túto možnosť môžete použiť na migráciu agenta na iný ESET PROTECT Server.
oServerom asistovaná inštalácia – aplikácia bude preinštalovaná a budú pre ňu použité súčasné certifikáty z ESET PROTECT Servera (definované parametrom hostname).
oOffline inštalácia – aplikácia bude preinštalovaná a budú použité nové certifikáty.
Ak migrujete agenta zo staršieho servera na iný, novší ESET PROTECT Server manuálne a zároveň používate serverom asistovanú inštaláciu, spustite inštalačný príkaz dvakrát. Najprv prebehne aktualizácia agenta a v druhom kroku budú získané nové certifikáty, aby sa agent mohol pripojiť na ESET PROTECT Server.