Agenten-Installation – Linux
Voraussetzungen
•Verwenden Sie unbedingt die neueste Version von OpenSSL1.1.1. Der ESET Management Agent unterstützt auch OpenSSL 3.x. Die niedrigste unterstützte Version von OpenSSL für Linux ist openssl-1.0.1e-30. Sie können mehrere Versionen von OpenSSL parallel auf einem System installieren. Mindestens eine unterstützte Version muss auf Ihrem System vorhanden sein.
oMit dem Befehl openssl version können Sie die aktuelle Standardversion abrufen.
oSie können alle auf Ihrem System vorhandenen OpenSSL-Versionen auflisten. Sie können die Dateinamenendungen mit dem Befehl sudo find / -iname *libcrypto.so* anzeigen.
oMit dem folgenden Befehl können Sie überprüfen, ob Ihr Linux-Client kompatibel ist: openssl s_client -connect google.com:443 -tls1_2
OpenSSL 3.x support •Der ESET Management Agent unterstützt OpenSSL 3.x. •ESET PROTECT Server/MDM unterstützen OpenSSL 3.x nicht nativ, aber Sie können die OpenSSL 3.x-Unterstützung für ESET PROTECT On-Prem aktivieren. |
•Installieren Sie das lshw-Paket auf dem Linux-Client/-Server, damit der ESET Management Agent den Hardwarebestand korrekt melden kann.
Linux-Distribution |
Terminalbefehl |
---|---|
Debian, Ubuntu |
sudo apt-get install -y lshw |
Red Hat, CentOS, RHEL |
sudo yum install -y lshw |
OpenSUSE |
sudo zypper install lshw |
• Für Linux CentOS empfehlen wir, das Paket policycoreutils-devel zu installieren. Führen Sie den folgenden Befehl aus, um das Paket zu installieren:
yum install policycoreutils-devel
•Servergestützte Installation des Agenten:
oDer Server muss über das Netzwerk erreichbar sein, und die Komponenten ESET PROTECT Server und ESET PROTECT-Web-Konsole müssen installiert sein.
•Offline-Installation des Agenten:
oDer Server muss über das Netzwerk erreichbar sein, und die Komponente ESET PROTECT Server muss installiert sein.
oDer Agent benötigt ein Zertifikat.
oEin Datei mit dem öffentlichen Schlüssel der Zertifizierungsstelle des Servers muss vorhanden sein.
Installation
Führen Sie die folgenden Schritte aus, um den ESET Management Agenten unter Linux mit einem Terminalbefehl zu installieren:
Vergewissern Sie sich, dass alle oben genannten Installationsvoraussetzungen erfüllt sind. |
1.Laden Sie das Installationsskript für Agenten herunter:
wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh |
2.Legen Sie die Datei als ausführbar fest:
chmod +x agent-linux-x86_64.sh
3.Führen Sie das im folgenden Beispiel gezeigte Installationsskript aus (Neue Zeilen werden mit „\“ umgebrochen, um den gesamten Befehl ins Terminal zu kopieren):
Weitere Details finden Sie weiter unten im Abschnitt Parameter. |
Servergestützte Installation:
sudo ./agent-linux-x86_64.sh \ |
Offline-Installation:
sudo ./agent-linux-x86_64.sh \ |
Wir empfehlen, Befehle mit vertraulichen Daten (z. B. Passwörter) aus dem Verlauf der Befehlszeile zu löschen: 1.Führen Sie history aus, um die Liste aller Befehle im Verlauf anzuzeigen. 2.Führen Sie history -d line_number aus (geben Sie die Zeilennummer des Befehls an). Alternativ können Sie mit history -c den gesamten Verlauf der Befehlszeile löschen. |
4.Wenn Sie dazu aufgefordert werden, drücken Sie auf y, um das Zertifikat zu akzeptieren. Sie können alle vom Installationsprogramm zurückgegebenen SELinux-Fehler ignorieren.
5.Überprüfen Sie nach der Installation, ob der ESET Management Agenten-Dienst ausgeführt wird:
sudo systemctl status eraagent
6.Legen Sie fest, dass der eraagent Dienst beim Systemstart gestartet werden soll: sudo systemctl enable eraagent
Installationsprogramm-Log Das Log des Installationsprogramms ist hilfreich für die Fehlerbehebung. Sie finden diese Datei in den Log-Dateien. |
Parameter
Für die Verbindung zum ESET PROTECT Server werden die Parameter --hostname und --port verwendet („port“ wird nur verwendet, wenn kein SRV-Eintrag angegeben wird). Mögliche Verbindungsformate.
Attribut |
Beschreibung |
Erforderlich |
|||
---|---|---|---|---|---|
--hostname |
Hostname oder IP-Adresse des ESET PROTECT Servers für die Verbindung. |
Ja |
|||
--port |
Port des ESET PROTECT Servers (Standardwert: 2222). |
Ja |
|||
--cert-path |
Lokaler Pfad zur Agenten-Zertifikatsdatei (weitere Infos zu Zertifikaten). |
Ja (Offline) |
|||
--cert-auth-path |
Pfad zur Zertifizierungsstellendatei des Servers (weitere Infos zu Zertifizierungsstellen). |
Ja (Offline) |
|||
--cert-password |
Passwort für das Agentenzertifikat. |
Ja (Offline) |
|||
--cert-auth-password |
Passwort der Zertifizierungsstelle. |
Ja (falls verwendet) |
|||
--skip-license |
Der Benutzer wird während der Installation nicht zur Bestätigung der Lizenzvereinbarung aufgefordert. |
Nein |
|||
--cert-content |
Base64-codierter Inhalt des PKCS12-codierten Zertifikats für den öffentlichen Schlüssel plus der private Schlüssel, der für die Einrichtung sicherer Kommunikationskanäle mit Servern und Agenten verwendet wird. Verwenden Sie nur eine der Optionen --cert-path oder --cert-content. |
Nein |
|||
--cert-auth-content |
Base64-codierter Inhalt des DER-codierten privaten Zertifikats der Zertifizierungsstelle zur Verifizierung von Remote-Rechnern (Proxy oder Server). Verwenden Sie nur eine der Optionen --cert-auth-path oder --cert-auth-content. |
Nein |
|||
--webconsole-hostname |
Hostname oder IP-Adresse für die Verbindung von der Web-Konsole zum Server (Das Installationsprogramm kopiert den Wert aus „hostname“, falls er leer ist). |
Nein |
|||
--webconsole-port |
Port für die Verbindung von der Web-Konsole zum Server (Standardwert: 2223). |
Nein |
|||
--webconsole-user |
Benutzername für die Verbindung von der Web-Konsole zum Server (Standardwert: Administrator).
|
Nein |
|||
--webconsole-password |
Benutzername für die Verbindung von der Web-Konsole zum Server. |
Ja (servergestützt) |
|||
--proxy-hostname |
HTTP-Proxy-Hostname. Verwenden Sie diesen Parameter, um den (bereits in Ihrem Netzwerk installierten) HTTP-Proxy für die Replikation zwischen ESET Management Agent und ESET PROTECT Server zu verwenden (nicht für die Zwischenspeicherung von Updates). |
Falls ein Proxy verwendet wird |
|||
--proxy-port |
Port des HTTP-Proxy für die Verbindung zum Datenbankserver. |
Falls ein Proxy verwendet wird |
|||
--enable-imp-program |
Aktivieren Sie das Produktverbesserungsprogramm. |
Nein |
|||
--disable-imp-program |
Deaktivieren Sie das Produktverbesserungsprogramm. |
Nein |
Verbindung und Zertifikate
•Die Verbindung zum ESET PROTECT Server muss angegeben werden: --hostname, --port (Port ist nicht erforderlich, wenn ein Servicedatensatz angegeben wird; der Standardwert für den Port ist 2222)
•Geben Sie diese Verbindungsdaten für die servergestützte Installation an: --webconsole-port, --webconsole-user, --webconsole-password
•Geben Sie Zertifikatsinformationen für die Offline-Installation an: --cert-path, --cert-password Für die Installationsparameter --cert-path und --cert-auth-path sind Zertifikatdateien erforderlich (.pfx und .der), die Sie aus der ESET PROTECT-Web-Konsole exportieren können. (Lesen Sie nach, wie Sie die .pfx-Datei und die .der-Datei exportieren können)
Passwort-Typ-Parameter
Passwort-Typ-Parameter können als Umgebungsvariablen oder in einer Datei angegeben, aus stdin gelesen oder als Nur-Text angegeben werden. Folgende Parameter sind möglich:
--password=env:SECRET_PASSWORD, wobei SECRET_PASSWORD eine Umgebungsvariable mit einem Passwort ist
--password=file:/opt/secret, wobei die erste Zeile der regulären Datei /opt/secret das Passwort enthält
--password=stdin weist das Installationsprogramm an, das Passwort aus der Standardeingabe zu lesen
--password="pass:PASSWORD" entspricht --password="PASSWORD" und muss angegeben werden, falls das Passwort gleich "stdin" (Standardeingabe) ist oder mit "env:", "file:" oder "pass:" beginnt.
Die Zertifikat-Passphrase darf die folgenden Zeichen nicht enthalten: " \ Diese Zeichen verursachen kritische Fehler bei der Initialisierung des Agenten. |
HTTP-Proxy-Verbindung
Falls Sie einen HTTP-Proxy für die Replikation zwischen ESET Management Agent und ESET PROTECT Server verwenden (nicht zum Zwischenspeichern von Updates), können Sie die Verbindungsparameter in --proxy-hostname und --proxy-port angeben.
BEISPIEL – Offline-Installation des Agenten mit HTTP-Proxy-Verbindung
./agent-linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 \ --proxy-hostname=10.1.180.3 \ --proxy-port=3333 \ |
Das Kommunikationsprotokoll zwischen Agent und ESET PROTECT Server unterstützt keine Authentifizierung. Daher können für die Weiterleitung der Agenten-Kommunikation zum ESET PROTECT Server keine Proxylösungen mit Authentifizierung verwendet werden. Wenn Sie einen vom Standard abweichenden Port für Web-Konsole oder Agent verwenden, müssen Sie möglicherweise die Firewall anpassen. Andernfalls können bei der Installation Fehler auftreten. |
Upgrade und Reparatur der Agenten-Installation unter Linux
Falls Sie den Agenten auf einem System mit bereits installiertem Agenten manuell installieren, tritt eines der folgenden Szenarien auf:
•Upgrade – Eine neuere Version des Installationsprogramms wird ausgeführt.
oServergestützte Installation – Die Anwendung wird aktualisiert, verwendet jedoch weiterhin die bisherigen Zertifikate.
oOffline-Installation – Die Anwendung wird aktualisiert und neue Zertifikate werden verwendet.
•Reparieren – Dieselbe Version des Installationsprogramms wird ausgeführt. Mit dieser Option können Sie den Agenten auf einen anderen ESET PROTECT Server migrieren.
oServergestützte Installation – Die Anwendung wird neu installiert und erhält aktuelle Zertifikate vom ESET PROTECT Server (definiert im Parameter hostname).
oOffline-Installation – Die Anwendung wird neu installiert und neue Zertifikate werden verwendet.
Falls Sie eine manuelle Migration von einem älteren Server auf einen anderen neuen ESET PROTECT durchführen und die servergestützte Installation verwenden, müssen Sie den Installationsbefehl zwei Mal ausführen. Bei der ersten Ausführung wird der Agent aktualisiert, und beim zweiten Mal werden die neuen Zertifikate für die Verbindung vom Agenten zum ESET PROTECT Server abgerufen.