Instalacja agenta — system Linux
Wymagania wstępne
•Zalecamy korzystanie z najnowszej wersji programu OpenSSL1.1.1. Agent ESET Management obsługuje OpenSSL 3.x. Najniższa obsługiwana wersja biblioteki OpenSSL w systemie Linux to openssl-1.0.1e-30. Jednocześnie w systemie może być zainstalowanych więcej wersjiOpenSSL. Co najmniej jedna obsługiwana wersja musi być zainstalowana w systemie.
oAby pokazać bieżącą wersję domyślną, możesz użyć polecenia openssl version.
oMożesz też wyświetlić wszystkie wersje biblioteki OpenSSL zainstalowane w systemie. W tym celu sprawdź końcówki nazw plików wyświetlonych przy użyciu polecenia sudo find / -iname *libcrypto.so*
oMożna sprawdzić zgodność klienta Linux przy pomocy następującego polecenia: openssl s_client -connect google.com:443 -tls1_2
OpenSSL 3.x obsługa •Agent ESET Management obsługuje OpenSSL 3.x. •Serwer/MDM ESET PROTECT nie obsługuje OpenSSL 3.x natywnie, ale można włączyć obsługę OpenSSL 3.x dla ESET PROTECT On-Prem. |
•Zainstaluj pakiet lshw na komputerze klient/serwer z systemem Linux, aby agent ESET Management poprawnie raportował spis sprzętu.
Dystrybucja Linuksa |
Polecenie terminala |
---|---|
Debian, Ubuntu |
sudo apt-get install -y lshw |
Red Hat, CentOS, RHEL |
sudo yum install -y lshw |
OpenSUSE |
sudo zypper install lshw |
• W przypadku systemu Linux CentOS zalecamy zainstalowanie pakietu policycoreutils-devel. Aby zainstalować pakiet, należy uruchomić polecenie:
yum install policycoreutils-devel
•Wspomagana instalacja serwerowa agenta:
oDostępny w sieci komputer pełniący rolę serwera, na którym zainstalowano serwer ESET PROTECT i konsolę internetową ESET PROTECT.
•Instalacja offline agenta:
oDostępny w sieci komputer pełniący rolę serwera, na którym zainstalowano serwer ESET PROTECT.
oMusi istnieć certyfikat dla agenta.
oMusi istnieć klucz publiczny urzędu certyfikacji.
Instalacja
Wykonaj poniższe czynności, aby zainstalować komponent agenta ESET Management w systemie Linux przy użyciu polecenia Terminal:
Upewnij się, że spełnione są wszystkie wymagania wstępne dotyczące instalacji wskazane powyżej. |
1.Pobierz skrypt instalacji agenta:
wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh |
2.Spraw, aby plik był wykonywalny:
chmod +x agent-linux-x86_64.sh
3.Uruchom skrypt instalacji w oparciu o poniższy przykład (nowe wiersze są oddzielone znakiem „\”, co umożliwia skopiowanie całego polecenia do terminala):
Aby uzyskać więcej informacji, zapoznaj się z parametrami poniżej. |
Wspomagana instalacja serwerowa:
sudo ./agent-linux-x86_64.sh \ |
Instalacja offline:
sudo ./agent-linux-x86_64.sh \ |
Zalecamy usunięcie poleceń zawierających poufne dane (na przykład hasło) z historii wiersza poleceń: 1.Uruchom polecenie history, aby wyświetlić listę wszystkich poleceń w historii. 2.Uruchom polecenie history -d line_number (określ numer wiersza, w którym występuje interesujące Cię polecenie). Możesz też wywołać polecenie history -c, aby usunąć całą historię wiersza poleceń. |
4.Po wyświetleniu monitu naciśnij y, aby zaakceptować certyfikat. Możesz zignorować wszelkie błędy dotyczące SELinux zgłoszone przez instalator.
5.Po zakończeniu instalacji sprawdź, czy usługa agenta ESET Management jest aktywna:
sudo systemctl status eraagent
6.Ustaw usługę eraagent tak, by uruchamiała się podczas rozruchu: sudo systemctl enable eraagent
Dziennik instalatora Dziennik instalatora może się przydać podczas rozwiązywania problemów. Można go znaleźć w plikach dziennika. |
Parametry
Połączenie z serwerem ESET PROTECT jest nawiązywane przy użyciu parametrów --hostname oraz --port (port nie jest używany, gdy dostępny jest rekord SRV). Możliwe formaty połączenia.
Atrybut |
Opis |
Wymagane |
|||
---|---|---|---|---|---|
--hostname |
Nazwa hosta lub adres IP serwera ESET PROTECT używana do nawiązania połączenia. |
Tak |
|||
--port |
Port serwera ESET PROTECT (wartość domyślna to 2222). |
Tak |
|||
--cert-path |
Ścieżka lokalna do pliku certyfikatu agenta (więcej informacji na temat certyfikatu). |
Tak (offline) |
|||
--cert-auth-path |
Ścieżka do pliku urzędu certyfikacji serwera (więcej informacji na temat urzędu). |
Tak (offline) |
|||
--cert-password |
Hasło certyfikatu agenta. |
Tak (offline) |
|||
--cert-auth-password |
Hasło do urzędu certyfikacji. |
Tak (jeśli jest używany) |
|||
--skip-license |
Podczas instalacji użytkownik nie będzie proszony o potwierdzenie umowy licencyjnej. |
Nie |
|||
--cert-content |
— zakodowana w formacie Base64 treść zakodowanego w formacie PKCS12 certyfikatu klucza publicznego oraz klucza prywatnego, służącego do zabezpieczania kanałów komunikacyjnych na serwerze i agentach. Należy używać wyłącznie opcji --cert-path lub --cert-content. |
Nie |
|||
--cert-auth-content |
Zakodowana w formacie Base64 treść certyfikatu kodowanego DER klucza prywatnego urzędu certyfikacji, używanego do weryfikacji zdalnych elementów równorzędnych (serwerów lub serwerów proxy). Należy używać wyłącznie opcji --cert-auth-path lub --cert-auth-content. |
Nie |
|||
--webconsole-hostname |
Nazwa hosta lub adres IP używane w konsoli internetowej do łączenia się z serwerem (jeśli wartość ta pozostanie pusta, instalator skopiuje ją z „hostname”). |
Nie |
|||
--webconsole-port |
Port używany przez konsolę internetową do nawiązywania połączenia z serwerem (wartość domyślna to 2223). |
Nie |
|||
--webconsole-user |
Nazwa użytkownika używana przez konsolę internetową do nawiązywania połączenia z serwerem (wartość domyślna to Administrator).
|
Nie |
|||
--webconsole-password |
Hasło używane przez konsolę internetową do łączenia się z serwerem. |
Tak (wspomagane przez serwer) |
|||
--proxy-hostname |
Nazwa hosta serwera proxy. Ten parametr powoduje włączenie korzystania z serwera proxy HTTP (który jest już zainstalowany w sieci) na potrzeby replikacji między agentem ESET Management a serwerem ESET PROTECT (nie dotyczy buforowania aktualizacji). |
Jeśli używany jest serwer proxy |
|||
--proxy-port |
Port serwera proxy HTTP służący do nawiązywania połączenia z serwerem. |
Jeśli używany jest serwer proxy |
|||
--enable-imp-program |
Włącza program ulepszania produktu. |
Nie |
|||
--disable-imp-program |
Wyłącza program ulepszania produktu. |
Nie |
Połączenie i certyfikaty
•Należy skonfigurować połączenie z serwerem ESET PROTECT: --hostname, --port (port nie jest potrzebny w przypadku podania rekordu usługi; wartość domyślna dla portu to 2222)
•W przypadku wspomaganej instalacji serwerowej należy podać następujące informacje: --webconsole-port, --webconsole-user, --webconsole-password
•W przypadku instalacji offline należy podać informacje dotyczące certyfikatu: --cert-path, --cert-password. Parametry instalacji --cert-path i --cert-auth-path wymagają plików certyfikatów (.pfx i .der), które można wyeksportować z konsoli internetowej ESET PROTECT. (Zapoznaj się z informacjami o eksportowaniu pliku .pfx i pliku .der).
Parametry typu hasła
Parametry typu hasła można podać w postaci zmiennych środowiskowych, pliku, wartości odczytywanej ze strumienia stdin lub podawanej w formie zwykłego tekstu. czyli:
--password=env:SECRET_PASSWORD, gdzieSECRET_PASSWORD to zmienna środowiskowa zawierająca hasło
--password=file:/opt/secret, gdzie hasło zawiera pierwszy wiersz zwykłego pliku /opt/secret
--password=stdin to instrukcja umożliwiająca instalatorowi odczytanie hasła ze standardowego strumienia wejścia
Zapis --password="pass:PASSWORD" jest odpowiednikiem --password="PASSWORD" i jest obowiązkowy, jeśli hasło to faktycznie "stdin" (wejście standardowe) lub ciąg znaków zaczynający się od "env:", "file:" lub "pass:"
Hasło do certyfikatu nie może zawierać następujących znaków: " \ Znaki te powodują błąd krytyczny podczas inicjowania agenta. |
Połączenie z serwerem proxy HTTP
Jeśli używasz serwera proxy HTTP do replikacji między agentem ESET Management a serwerem ESET PROTECT (nie do buforowania aktualizacji), możesz określić parametry połączenia w --proxy-hostname i --proxy-port.
PRZYKŁAD — instalacja offline agenta z połączeniem z serwerem proxy HTTP:
./agent-linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 \ --proxy-hostname=10.1.180.3 \ --proxy-port=3333 \ |
Protokół komunikacji między agentem a serwerem ESET PROTECT nie obsługuje uwierzytelniania. Żadne rozwiązanie proxy używane do przekazywania komunikacji agenta na serwer ESET PROTECT i wymagające uwierzytelniania nie będzie działać. Jeśli port domyślny używany dla konsoli internetowej lub agenta zostanie zmieniony, może być konieczna korekta ustawień zapory. W przeciwnym razie instalacja może się nie powieść. |
Uaktualnianie i naprawianie instalacji agenta w systemie Linux
W przypadku ręcznej instalacji agenta w systemie, w którym agent jest już zainstalowany, mogą wystąpić poniższe sytuacje:
•Zaktualizuj — uruchom nowszą wersję instalatora.
oWspomagana instalacja serwerowa — aplikacja zostaje uaktualniona, ale nadal używa wcześniejszych certyfikatów.
oInstalacja offline — aplikacja zostaje uaktualniona i używane są nowe certyfikaty.
•Napraw — uruchom tę samą wersję instalatora. Za pomocą tej opcji można przeprowadzić migrację agenta na inny serwer ESET PROTECT.
oWspomagana instalacja serwerowa — aplikacja zostaje ponownie zainstalowana, a następnie otrzymuje bieżące certyfikaty z serwera ESET PROTECT (zdefiniowanego przy użyciu parametru hostname).
oInstalacja offline — aplikacja zostaje zainstalowana ponownie i używane są nowe certyfikaty.
Jeśli podczas ręcznego migrowania agenta ze starszego serwera na inny nowszy serwer ESET PROTECT używana jest wspomagana instalacja serwerowa, polecenie instalacji należy uruchomić dwukrotnie. Pierwsze uruchomienie spowoduje uaktualnienie agenta, a drugie uzyskanie nowych certyfikatów, aby agent mógł połączyć się ze serwerem ESET PROTECT.