エージェントインストール - Linux
前提条件
•最新バージョンのOpenSSL1.1.1を使用することをお勧めします。ESET ManagementエージェントはOpenSSL 3.xもサポートします。OpenSSL for Linuxのサポートされている最低バージョンは、openssl-1.0.1e-30です。1つのシステムに同時に複数のバージョンのOpenSSLをインストールすることができます。1つ以上のサポートされているバージョンがシステムに存在している必要があります。
oopenssl versionコマンドを使用して、現在の既定のバージョンを表示できます。
oシステムに存在するすべてのバージョンのOpenSSLを一覧表示できます。sudo find / -iname *libcrypto.so*コマンドを使用して、ファイル名の末尾の一覧を確認してください
o次のコマンドを使用して、Linuxクライアントが対応しているかどうかを確認できます。openssl s_client -connect google.com:443 -tls1_2
OpenSSL 3.xサポート •ESET ManagementエージェントはOpenSSL 3.xをサポートします。 •ESET PROTECTサーバー/MDMはOpenSSL 3.xをネイティブにサポートしていませんが、ESET PROTECT On-PremのOpenSSL 3.xサポートを有効にすることができます。 |
•ESET Managementエージェントがハードウェアインベントリを正しく報告できるように、クライアント/サーバーのLinuxコンピューターにlshwパッケージをインストールします。
Linuxディストリビューション |
ターミナルコマンド |
---|---|
Debian, Ubuntu |
sudo apt-get install -y lshw |
Red Hat, CentOS, RHEL |
sudo yum install -y lshw |
OpenSUSE |
sudo zypper install lshw |
• Linux CentOSの場合、policycoreutils-develパッケージをインストールすることをお勧めします。パッケージをインストールするコマンドを実行します。
yum install policycoreutils-devel
•サーバー支援エージェントインストール:
oサーバーコンピューターはネットワークから接続可能で、ESET PROTECTサーバーとESET PROTECT Webコンソールがインストールされている必要があります。
•オフラインエージェントインストール:
oサーバーコンピューターはネットワークから接続可能で、ESET PROTECTサーバーがインストールされている必要があります。
oエージェントの証明書が存在する必要があります。
oサーバー認証機関公開鍵が存在する必要があります。
インストール
ターミナルコマンドを使用して、LinuxにESET Managementエージェントコンポーネントをインストールするには、次の手順に従います。
上記のすべてのインストール前提条件を満たしていることを確認します。 |
1.エージェントインストールスクリプトをダウンロードします。
wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh |
2.ファイルを実行可能にします。
chmod +x agent-linux-x86_64.sh
3.次の例に従い、インストールスクリプトを実行します(コマンド全体を端末にコピーするために、「\」で区切って改行してあります)。
詳細については、次のパラメーターを参照してください。 |
サーバー支援インストール:
sudo ./agent-linux-x86_64.sh \ |
オフラインインストール:
sudo ./agent-linux-x86_64.sh \ |
ESETは、コマンドライン履歴から機密データ(パスワードなど)を含むコマンドを削除することをお勧めします。 1.historyを実行すると、履歴のすべてのコマンドの一覧を表示します。 2.history -d line_numberを実行(コマンドの行番号を指定)します。あるいは、history -cを実行し、コマンドライン履歴全体を削除します。 |
4.メッセージが表示されたら、yを押して、証明書を承諾します。インストーラーによって返されたSELinuxのエラーは無視できます。
5.インストール後、ESET Managementエージェントサービスが実行中であることを確認します。
sudo systemctl status eraagent
6.起動時に開始するeraagentサービスを設定します。sudo systemctl enable eraagent
インストーラのログ インストーラーのログファイルは、トラブルシューティングに役に立つ場合があります。インストーラーのログは、ログファイルにあります。 |
パラメータ
ESET PROTECTサーバーへの接続は、パラメータ--hostnameと--portを使用して解決されます(SRVレコードが指定されるときにはポートは使用されません)。使用可能な接続形式:.
属性 |
説明 |
必要 |
|||
---|---|---|---|---|---|
--hostname |
接続するESET PROTECTサーバーのホスト名またはIPアドレス |
はい |
|||
--port |
ESET PROTECT ()サーバーポート(既定値は2222)。 |
はい |
|||
--cert-path |
エージェント証明書ファイルへのローカルパス(証明書) |
はい(オフライン) |
|||
--cert-auth-path |
サーバーの認証機関ファイルへのパス(認証) |
はい(オフライン) |
|||
--cert-password |
エージェント証明書パスワード。 |
はい(オフライン) |
|||
--cert-auth-password |
認証機関のパスワード。 |
はい(使用されている場合) |
|||
--skip-license |
インストールでは、ライセンス契約の確認をユーザーに要求しません |
いいえ |
|||
--cert-content |
サーバーとエージェントとの安全な通信チャネルを設定するために使用されるPKCS12暗号化公開鍵証明書と秘密鍵のBase64暗号化内容。--cert-path または--cert-contentオプションのいずれかだけを使用します。 |
いいえ |
|||
--cert-auth-content |
リモートピア(プロキシまたはサーバー)を検証するために使用されるDER暗号化認証機関秘密鍵のBase64暗号化内容。--cert-auth-path または--cert-auth-contentオプションのいずれかだけを使用します。 |
いいえ |
|||
--webconsole-hostname |
サーバーに接続するためにWebコンソールによって使用されるホスト名またはIPアドレス(空の場合は、値が「hostname」からコピーされます) |
いいえ |
|||
--webconsole-port |
サーバーに接続するWebコンソールが使用するポート(既定値は2223) |
いいえ |
|||
--webconsole-user |
サーバーに接続するWebコンソールが使用するユーザー名(既定値はAdministrator)
|
いいえ |
|||
--webconsole-password |
サーバーに接続するためにWebコンソールによって使用されるパスワード |
はい(サーバー支援) |
|||
--proxy-hostname |
HTTPプロキシホスト名。このパラメーターを使用して、ESET ManagementエージェントとESET PROTECTサーバー(アップデートのキャッシュ用ではない)の間のレプリケーションのために、既にネットワークにインストールされているHTTPプロキシの使用を有効にします。 |
プロキシが使用される場合 |
|||
--proxy-port |
サーバーに接続するためのHTTPプロキシポート。 |
プロキシが使用される場合 |
|||
--enable-imp-program |
製品改善プログラムをオンにします。 |
いいえ |
|||
--disable-imp-program |
製品改善プログラムをオフにします。 |
いいえ |
接続と証明書
•ESET PROTECTサーバーへの接続を指定する必要があります。--hostname, --port (サーバーレコードが提供される場合は、ポートは不要です。既定のポート値は2222)
•サーバー支援インストールのために次の接続情報を提供します。 --webconsole-port, --webconsole-user, --webconsole-password
•オフラインインストールのための証明書情報を指定します。 --cert-path, --cert-passwordインストールパラメーター--cert-pathおよび --cert-auth-pathには、ESET PROTECT Webコンソールからエクスポートできる証明書ファイル(.pfxおよび.der)が必要です。(.pfxファイルと.derファイルをエクスポートする方法をお読みください)
パスワードタイプパラメータ
パスワードタイプパラメータはstdinから読み取られる環境変数のファイルとして指定できます。あるいは、プレーンテキストとして指定できます。つまり次のとおりです。
--password=env:SECRET_PASSWORD。SECRET_PASSWORDはパスワードの環境変数です。
--password=file:/opt/secret 標準ファイル/opt/secretの最初の行にパスワードが含まれます。
--password=stdin 標準入力からパスワードを読み取るようにインストーラに指示します。
--password="pass:PASSWORD" は--password="PASSWORD"と同じです。実際のパスワードが"stdin" (標準入力)または"env:"、"file:"、"pass:"で始まる文字列の場合に必須です。
証明書パスフレーズには、次の文字を含めることはできません:" \ これらの文字は、エージェントの初期化中に重大なエラーが発生する原因となります。 |
HTTPプロキシ構成
(アップデートのキャッシュではなく)ESET ManagementエージェントとESET PROTECTサーバーとの間のレプリケーションでHTTPプロキシを使用する場合は、--proxy-hostnameと--proxy-portで接続パラメーターを指定できます。
例 - HTTPプロキシ接続があるオフラインエージェントインストール
./agent-linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 \ --proxy-hostname=10.1.180.3 \ --proxy-port=3333 \ |
エージェントとESET PROTECTサーバー間の通信プロトコルは、認証をサポートしません。ESET PROTECTサーバーへのエージェント通信の転送で使用されるプロキシソリューションと必要な認証は動作しません。 Webコンソールまたはエージェントで既定以外のポートを使用する場合は、ファイアウォールの調整が必要になることがあります。そうでない場合、インストールが失敗する可能性があります。 |
Linuxでのエージェントのインストールのアップグレードと修復
エージェントが既にインストールされているシステムで手動でエージェントインストールを実行する場合は、次のシナリオが発生する可能性があります。
•アップグレード - 新しいバージョンのインストーラーを実行します。
oサーバー支援インストール - アプリケーションはアップグレードされますが、前の証明書を使用し続けます。
oオフラインインストール - アプリケーションはアップグレードされますが、新しい証明書が使用されます。
•修復 - 同じバージョンのインストーラーを実行します。このオプションを使用して、エージェントを別のESET PROTECTサーバーに移行できます。
oサーバー支援インストール - アプリケーションが再インストールされ、ESET PROTECTサーバーから現在の証明書を取得します(hostname パラメーターで定義)。
oオフラインインストール - アプリケーションが再インストールされ、新しい証明書が使用されます。
古いサーバーから別の新しいESET PROTECTサーバーに手動でエージェントを移行し、サーバー支援インストールを使用している場合は、インストールコマンドを2回実行します。最初にエージェントがアップグレードされ、2回目に新しい証明書が取得されるため、エージェントはESET PROTECTサーバーに接続できます。