代理程式安裝 - Linux

先決條件

•我們建議您使用最新版的 OpenSSL1.1.1。ESET Management 代理程式也支援 OpenSSL 3.x。最低支援的 OpenSSL for Linux 版本為 openssl-1.0.1e-30。可以有多種版本的 OpenSSL 同時安裝在一個系統上。您的系統上必須至少有一個支援的版本。

o使用命令 openssl version 來顯示目前的預設版本。

o您可以列出存在於您系統上所有版本的 OpenSSL。請參閱使用命令 sudo find / -iname *libcrypto.so* 列出的檔案名稱結尾

o您可以使用下列命令來檢查 Linux 用戶端是否相容：openssl s_client -connect google.com:443 -tls1_2

ESET PROTECT 伺服器/行動裝置管理不支援 OpenSSL 3.x。ESET Management 代理程式支援 OpenSSL 3.x。

•在用戶端/伺服器 Linux 機器上安裝 lshw 套件，以便 ESET Management 代理程式正確報告硬體庫存。

Linux 發行版本	終端機命令
Debian, Ubuntu	sudo apt-get install -y lshw
Red Hat, CentOS, RHEL	sudo yum install -y lshw
OpenSUSE	sudo zypper install lshw

• 若為 Linux CentOS，我們建議安裝 policycoreutils-devel 套件。執行此命令來安裝套件：

yum install policycoreutils-devel

•伺服器協助式代理程式安裝:

o伺服器電腦必須可透過網路存取，且已安裝 ESET PROTECT 伺服器和 ESET PROTECT Web Console。

•離線代理程式安裝:

o伺服器電腦必須可透過網路存取，且已安裝 ESET PROTECT 伺服器。

o必須有代理程式的憑證。

o必須有伺服器憑證授權單位公用金鑰檔案。

安裝

遵循下列步驟使用終端命令在 Linux 上安裝 ESET Management 代理程式元件：

確保符合上面列出的所有安裝先決條件。

1.下載代理程式安裝指令碼：

wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh

2.將此檔案設定為可執行檔：

chmod +x agent-linux-x86_64.sh

3.依據以下範例執行安裝指令碼 (將完整命令複製至終端機時，請使用「\」分隔新行)：

如需更多詳細資料，請參閱下方參數。

伺服器協助式安裝:

sudo ./agent-linux-x86_64.sh \
--skip-license \
--hostname=10.1.0.1 \
--port=2222 \
--webconsole-user=Administrator \
--webconsole-password=aB45$45c \
--webconsole-port=2223

離線安裝：

sudo ./agent-linux-x86_64.sh \
--skip-license \
--cert-path=/home/admin/Desktop/agent.pfx \
--cert-auth-path=/home/admin/Desktop/CA.der \
--cert-password=N3lluI4#2aCC \
--hostname=10.1.179.36 \
--port=2222

我們建議您從命令列歷程中刪除包含敏感性資料的命令 (例如密碼)：

1.執行 history 以查看歷程中所有命令的清單。

2.執行 history -d line_number (指定命令的列號)。或者，執行 history -c 以刪除整個命令列歷程。

4.提示出現時，按下 y 以接受憑證。您可以忽略安裝程式返回的有關 SELinux 的任何錯誤。

5.安裝之後，請確認 ESET Management 代理程式服務是否正在執行中：

sudo systemctl status eraagent

6.將 eraagent 服務設定為在開機時啟動：sudo systemctl enable eraagent

安裝程式記錄

進行疑難排解時，安裝程式防護記錄可能會很有用。您可以在防護記錄檔案中找到。

參數

ESET PROTECT 伺服器的連線會使用參數 --hostname 和 --port (若有提供 SRV 記錄則不使用連接埠) 解決。可能的連線格式.

屬性

說明

需求

--hostname

要連線的 ESET PROTECT 伺服器的主機名稱或 IP 位址。

是

--port

ESET PROTECT 伺服器連接埠 (預設值為 2222)。

是

--cert-path

代理程式憑證檔案的本機路徑 (憑證的詳細資訊)。

是 (離線)

--cert-auth-path

伺服器憑證授權單位檔案的路徑 (授權單位***的詳細資訊)。

是 (離線)

--cert-password

代理程式憑證密碼。

是 (離線)

--cert-auth-password

憑證授權單位密碼。

是 (如果使用)

--skip-license

安裝將不會要求使用者進行授權合約確認。

否

--cert-content

PKCS12 加密公用金鑰憑證的 Base64 加密內容，加上用於設定與伺服器和代理程式之安全通訊管道的私密金鑰。僅使用 --cert-path 或 --cert-content 選項。

否

--cert-auth-content

用於驗證遠端對等 (Proxy 或伺服器) 的 DER 加密憑證授權單位私密金鑰其 Base64 加密內容。僅使用 --cert-auth-path 或 --cert-auth-content 選項。

否

--webconsole-hostname

Web 主控台用來連線至伺服器的主機名稱或 IP 位址 (若保持空白，安裝程式將從「主機名稱」複製值)。

否

--webconsole-port

Web Console 用來連線至伺服器的連接埠 (預設值為 2223)。

否

--webconsole-user

Web Console 用來連線至伺服器的使用者名稱 (預設值為 Administrator)。

您不能使用具有雙因素驗證的使用者進行伺服器協助式安裝。

否

--webconsole-password

Web Console 用來連線至伺服器的密碼。

是 (伺服器協助式)

--proxy-hostname

HTTP Proxy 主機名稱。使用此參數可啟用將 HTTP Proxy (已安裝在您的網路中) 用於 ESET Management 代理程式與 ESET PROTECT 伺服器之間的複製 (不用於快取更新)。

如果使用 Proxy

--proxy-port

用於連線至伺服器的 HTTP Proxy 連接埠。

如果使用 Proxy

--enable-imp-program

開啟產品改進計畫。

否

--disable-imp-program

關閉產品改進計畫。

否

連線和憑證

•必須提供 ESET PROTECT 伺服器的連線：--hostname, --port (若有提供服務記錄，則不需要連接埠，預設的連接埠值為 2222)

•針對伺服器協助式安裝提供此連線資訊： --webconsole-port, --webconsole-user, --webconsole-password

•針對離線安裝提供憑證資訊： --cert-path, --cert-password。安裝參數 --cert-path 與 --cert-auth-path 需要憑證檔案 (.pfx 和 .der)，這些檔案可從 ESET PROTECT Web Console 匯出。(閱讀如何匯出 .pfx 檔和 .der 檔。)

密碼類型參數

密碼類型參數可做為環境變數、檔案、從 stdin 讀取或純文字提供。那是：

--password=env:SECRET_PASSWORD 其中 SECRET_PASSWORD 為包含密碼的環境變數

--password=file:/opt/secret 其中一般檔案的第一行 /opt/secret 包含您的密碼

--password=stdin 指示安裝程式從標準輸入讀取密碼

--password="pass:PASSWORD" 等於 --password="PASSWORD"，如果實際密碼為 "stdin" (標準輸入) 或是開頭為 "env:" 的字串、"file:" 或 "pass:"，則為必要

憑證密碼不得包含下列字元：" \ 這些字元會在初始化代理程式期間造成嚴重錯誤。

HTTP Proxy 連線

如果要將 HTTP Proxy 使用於 ESET Management 代理程式與 ESET PROTECT 伺服器之間的複寫 (而非用於快取更新)，您可以在 --proxy-hostname 和 --proxy-port 指定連線參數。

範例 - 利用 HTTP Proxy 連線進行離線代理程式安裝

./agent-linux-x86_64.sh \

--skip-license \

--cert-path=/home/admin/Desktop/agent.pfx \

--cert-auth-path=/home/admin/Desktop/CA.der \

--cert-password=N3lluI4#2aCC \

--hostname=10.1.179.36 \

--port=2222 \

--proxy-hostname=10.1.180.3 \

--proxy-port=3333 \

代理程式和 ESET PROTECT 伺服器之間的通訊協定不支援驗證。任何用於轉送代理程式通訊至需要驗證之 ESET PROTECT 伺服器的 Proxy 解決方案將無法運作。

如果您為 Web Console 或代理程式選擇使用非預設的連接埠，則可能需要調整防火牆。否則，安裝會失敗。

在 Linux 上升級和修復代理程式的安裝

如果您在已安裝代理程式的系統上手動執行代理程式安裝，可能發生下列情況：

•升級 - 執行更新版本的安裝程式。

o伺服器協助式安裝 - 升級應用程式，但會持續使用先前的憑證。

o離線安裝 - 升級應用程式，使用新憑證。

•修復 - 執行相同版本的安裝程式。可以使用此選項來將伺服器代理程式遷移到不同的 ESET PROTECT 伺服器。

o伺服器協助式安裝 - 重新安裝應用程式，並且從 ESET PROTECT 伺服器 (由 hostname 參數定義) 取得目前的憑證。

o離線安裝 - 重新安裝應用程式，使用新憑證。

如果是手動從較舊伺服器將代理程式遷移至不同的較新 ESET PROTECT 伺服器，並且您使用伺服器協助式安裝，請執行安裝命令兩次。第一個將升級代理程式，而第二個將取得新憑證，讓代理程式可以連線到 ESET PROTECT 伺服器。

˄˅