代理程式安裝 - Linux
先決條件
•我們建議您使用最新版的 OpenSSL1.1.1。ESET Management 代理程式也支援 OpenSSL 3.x。最低支援的 OpenSSL for Linux 版本為 openssl-1.0.1e-30。可以有多種版本的 OpenSSL 同時安裝在一個系統上。您的系統上必須至少有一個支援的版本。
o使用命令 openssl version 來顯示目前的預設版本。
o您可以列出存在於您系統上所有版本的 OpenSSL。請參閱使用命令 sudo find / -iname *libcrypto.so* 列出的檔案名稱結尾
o您可以使用下列命令來檢查 Linux 用戶端是否相容:openssl s_client -connect google.com:443 -tls1_2
OpenSSL 3.x 支援 •ESET Management 代理程式支援 OpenSSL 3.x。 •ESET PROTECT 伺服器/行動裝置管理原生不支援 OpenSSL 3.x,但您可以啟用支援 ESET PROTECT On-Prem 的 OpenSSL 3.x。 |
•在用戶端/伺服器 Linux 機器上安裝 lshw 套件,以便 ESET Management 代理程式正確報告硬體庫存。
Linux 發行版本 |
終端機命令 |
---|---|
Debian, Ubuntu |
sudo apt-get install -y lshw |
Red Hat, CentOS, RHEL |
sudo yum install -y lshw |
OpenSUSE |
sudo zypper install lshw |
• 若為 Linux CentOS,我們建議安裝 policycoreutils-devel 套件。執行此命令來安裝套件:
yum install policycoreutils-devel
•伺服器協助式代理程式安裝:
o伺服器電腦必須可透過網路存取,且已安裝 ESET PROTECT 伺服器和 ESET PROTECT Web Console。
•離線代理程式安裝:
o伺服器電腦必須可透過網路存取,且已安裝 ESET PROTECT 伺服器。
o必須有代理程式的憑證。
o必須有伺服器憑證授權單位公用金鑰檔案。
安裝
遵循下列步驟使用終端命令在 Linux 上安裝 ESET Management 代理程式元件:
確保符合上面列出的所有安裝先決條件。 |
1.下載代理程式安裝指令碼:
wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh |
2.將此檔案設定為可執行檔:
chmod +x agent-linux-x86_64.sh
3.依據以下範例執行安裝指令碼 (將完整命令複製至終端機時,請使用「\」分隔新行):
如需更多詳細資料,請參閱下方參數。 |
伺服器協助式安裝:
sudo ./agent-linux-x86_64.sh \ |
離線安裝:
sudo ./agent-linux-x86_64.sh \ |
我們建議您從命令列歷程中刪除包含敏感性資料的命令 (例如密碼): 1.執行 history 以查看歷程中所有命令的清單。 2.執行 history -d line_number (指定命令的列號)。或者,執行 history -c 以刪除整個命令列歷程。 |
4.提示出現時,按下 y 以接受憑證。您可以忽略安裝程式返回的有關 SELinux 的任何錯誤。
5.安裝之後,請確認 ESET Management 代理程式服務是否正在執行中:
sudo systemctl status eraagent
6.將 eraagent 服務設定為在開機時啟動:sudo systemctl enable eraagent
安裝程式記錄 進行疑難排解時,安裝程式防護記錄可能會很有用。您可以在防護記錄檔案中找到。 |
參數
ESET PROTECT 伺服器的連線會使用參數 --hostname 和 --port (若有提供 SRV 記錄則不使用連接埠) 解決。可能的連線格式.
屬性 |
說明 |
需求 |
|||
---|---|---|---|---|---|
--hostname |
要連線的 ESET PROTECT 伺服器的主機名稱或 IP 位址。 |
是 |
|||
--port |
ESET PROTECT 伺服器連接埠 (預設值為 2222)。 |
是 |
|||
--cert-path |
代理程式憑證檔案的本機路徑 (憑證的詳細資訊)。 |
是 (離線) |
|||
--cert-auth-path |
伺服器憑證授權單位檔案的路徑 (授權單位***的詳細資訊)。 |
是 (離線) |
|||
--cert-password |
代理程式憑證密碼。 |
是 (離線) |
|||
--cert-auth-password |
憑證授權單位密碼。 |
是 (如果使用) |
|||
--skip-license |
安裝將不會要求使用者進行授權合約確認。 |
否 |
|||
--cert-content |
PKCS12 加密公用金鑰憑證的 Base64 加密內容,加上用於設定與伺服器和代理程式之安全通訊管道的私密金鑰。僅使用 --cert-path 或 --cert-content 選項。 |
否 |
|||
--cert-auth-content |
用於驗證遠端對等 (Proxy 或伺服器) 的 DER 加密憑證授權單位私密金鑰其 Base64 加密內容。僅使用 --cert-auth-path 或 --cert-auth-content 選項。 |
否 |
|||
--webconsole-hostname |
Web 主控台用來連線至伺服器的主機名稱或 IP 位址 (若保持空白,安裝程式將從「主機名稱」複製值)。 |
否 |
|||
--webconsole-port |
Web Console 用來連線至伺服器的連接埠 (預設值為 2223)。 |
否 |
|||
--webconsole-user |
Web Console 用來連線至伺服器的使用者名稱 (預設值為 Administrator)。
|
否 |
|||
--webconsole-password |
Web Console 用來連線至伺服器的密碼。 |
是 (伺服器協助式) |
|||
--proxy-hostname |
HTTP Proxy 主機名稱。使用此參數可啟用將 HTTP Proxy (已安裝在您的網路中) 用於 ESET Management 代理程式與 ESET PROTECT 伺服器之間的複製 (不用於快取更新)。 |
如果使用 Proxy |
|||
--proxy-port |
用於連線至伺服器的 HTTP Proxy 連接埠。 |
如果使用 Proxy |
|||
--enable-imp-program |
開啟產品改進計畫。 |
否 |
|||
--disable-imp-program |
關閉產品改進計畫。 |
否 |
連線和憑證
•必須提供 ESET PROTECT 伺服器的連線:--hostname, --port (若有提供服務記錄,則不需要連接埠,預設的連接埠值為 2222)
•針對伺服器協助式安裝提供此連線資訊: --webconsole-port, --webconsole-user, --webconsole-password
•針對離線安裝提供憑證資訊: --cert-path, --cert-password。安裝參數 --cert-path 與 --cert-auth-path 需要憑證檔案 (.pfx 和 .der),這些檔案可從 ESET PROTECT Web Console 匯出。(閱讀如何匯出 .pfx 檔和 .der 檔。)
密碼類型參數
密碼類型參數可做為環境變數、檔案、從 stdin 讀取或純文字提供。那是:
--password=env:SECRET_PASSWORD 其中 SECRET_PASSWORD 為包含密碼的環境變數
--password=file:/opt/secret 其中一般檔案的第一行 /opt/secret 包含您的密碼
--password=stdin 指示安裝程式從標準輸入讀取密碼
--password="pass:PASSWORD" 等於 --password="PASSWORD",如果實際密碼為 "stdin" (標準輸入) 或是開頭為 "env:" 的字串、"file:" 或 "pass:",則為必要
憑證密碼不得包含下列字元:" \ 這些字元會在初始化代理程式期間造成嚴重錯誤。 |
HTTP Proxy 連線
如果要將 HTTP Proxy 使用於 ESET Management 代理程式與 ESET PROTECT 伺服器之間的複寫 (而非用於快取更新),您可以在 --proxy-hostname 和 --proxy-port 指定連線參數。
範例 - 利用 HTTP Proxy 連線進行離線代理程式安裝
./agent-linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 \ --proxy-hostname=10.1.180.3 \ --proxy-port=3333 \ |
代理程式和 ESET PROTECT 伺服器之間的通訊協定不支援驗證。任何用於轉送代理程式通訊至需要驗證之 ESET PROTECT 伺服器的 Proxy 解決方案將無法運作。 如果您為 Web Console 或代理程式選擇使用非預設的連接埠,則可能需要調整防火牆。否則,安裝會失敗。 |
在 Linux 上升級和修復代理程式的安裝
如果您在已安裝代理程式的系統上手動執行代理程式安裝,可能發生下列情況:
•升級 - 執行更新版本的安裝程式。
o伺服器協助式安裝 - 升級應用程式,但會持續使用先前的憑證。
o離線安裝 - 升級應用程式,使用新憑證。
•修復 - 執行相同版本的安裝程式。可以使用此選項來將伺服器代理程式遷移到不同的 ESET PROTECT 伺服器。
o伺服器協助式安裝 - 重新安裝應用程式,並且從 ESET PROTECT 伺服器 (由 hostname 參數定義) 取得目前的憑證。
o離線安裝 - 重新安裝應用程式,使用新憑證。
如果是手動從較舊伺服器將代理程式遷移至不同的較新 ESET PROTECT 伺服器,並且您使用伺服器協助式安裝,請執行安裝命令兩次。第一個將升級代理程式,而第二個將取得新憑證,讓代理程式可以連線到 ESET PROTECT 伺服器。