Instalace agenta na Linuxu

Předpoklady

•Doporučujeme vždy používat nejnovější verzi OpenSSL 1.1.1. ESET Management Agent rovněž podporuje OpenSSL 3.x. Minimální podporována verze OpenSSL je openssl-1.0.1e-30. Nainstalováno můžete mít více verzí OpenSSL. Nicméně alespoň jedna z nich musí podporovaná.

oPříkazem openssl version si zobrazíte aktuálně používanou (výchozí) verzi.

oZobrazit si můžete seznam všech verzí OpenSSL ve vašem systému. Po použití příkazu sudo find / -iname *libcrypto.so* se podívejte na konce názvů souborů.

oKompatibilitu na linuxu ověříte následujícím příkazem: openssl s_client -connect google.com:443 -tls1_2

OpenSSL 3.x podpora

•ESET Management Agenta podporuje OpenSSL 3.x.

•ESET PROTECT Server nativně nepodporuje OpenSSL 3.x, můžete ale zapnout podporu OpenSSL 3.x pro ESET PROTECT On-Prem.

•Aby ESET Management Agent dokázal korektně reportovat data o hardwaru z linuxových stanic/serverů, musí být na nich nainstalován nástroj lshw.

Linuxové distribuce	Terminálový příkaz
Debian, Ubuntu	sudo apt-get install -y lshw
Red Hat	sudo yum install -y lshw
OpenSUSE	sudo zypper install lshw

• Na operačním systému CentOS doporučujeme dále nainstalovat balíček policycoreutils-devel. To provedete příkazem:

yum install policycoreutils-devel

•Asistovaná instalace agenta:

oPřímá viditelnost na server kde běží ESET PROTECT Server a ESET PROTECT Web Console.

•Offline instalace agenta:

oPřímá viditelnost na ESET PROTECT Server.

oVytvořený a na lokálním počítači stažený certifikát agenta.

oVytvořený a na lokálním počítači stažený veřejný klíč certifikační autority.

Instalace

Pro instalaci ESET Management Agenta na linuxu postupujte podle následujících kroků:

Ujistěte, že splňujete všechny výše uvedené požadavky pro instalaci.

1.Stažený instalační skript agenta:

wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh

2.Změnili jste práva skriptu a učinili jej spustitelným:

chmod +x agent-linux-x86_64.sh

3.Na základě výše uvedeného příkazu spusťte instalační skript (při kopírování celého příkazu do Terminálu použijte "\" pro přechod na nový řádek):

Pokročilé možnosti instalace naleznete v této kapitole v části Parametry.

Asistovaná instalace:

sudo ./agent-linux-x86_64.sh \
--skip-license \
--hostname=10.1.0.1 \
--port=2222 \
--webconsole-user=Administrator \
--webconsole-password=aB45$45c \
--webconsole-port=2223

Offline instalace:

sudo ./agent-linux-x86_64.sh \
--skip-license \
--cert-path=/home/admin/Desktop/agent.pfx \
--cert-auth-path=/home/admin/Desktop/CA.der \
--cert-password=N3lluI4#2aCC \
--hostname=10.1.179.36 \
--port=2222

Z historie použitých příkazů doporučujeme smazat ty, které obsahují citlivé údaje (například zadávaná hesla):

1.Pro zobrazení historie provedených příkazů použijte příkaz history.

2.Spusťte příkaz history -d line_number (kde zadejte číslo požadovaného řádku, který chcete smazat). Alternativně příkazem history -c smažte celou historii.

4.Po zobrazení výzvy přijměte stisknutím klávesy y certifikát. Případné chyby vrácené instalačním balíčkem související se SELinux můžete ignorovat.

5.Po dokončení instalace ověřte, zda služba ESET Management Agent běží pomocí příkazu:

sudo systemctl status eraagent

6.Nastavte službu tak eraagent, aby se automaticky spouštěla při startu operačního systému. To provedete příkazem: sudo systemctl enable eraagent

Instalační protokol

Při řešení problémů s instalací se podívejte do protokolu. Jeho umístění naleznete v kapitole Protokoly.

Parametry

Připojení k ESET PROTECT Serveru definujete v instalačním skriptu prostřednictvím parametru --hostname--hostname a --port--port (při použití SRV záznamu není nutné specifikovat port). Podporované formáty zápisu údajů pro připojení k serveru.

Atribut

Popis

Vyžadováno

--hostname

Údaje pro připojení k ESET PROTECT Serveru v jednom z podporovaných formátů.

Ano

--port

Port, na kterém naslouchá ESET PROTECT Server (standardně 2222).

Ano

--cert-path

Lokální cesta k exportovanému klientskému certifikátu.

Ano (Offline)

--cert-auth-path

Cesta k veřejnému klíči certifikační autority.

Ano (Offline)

--cert-password

Heslo k certifikátu agenta.

Ano (Offline)

--cert-auth-password

Heslo ke klientskému certifikátu.

Ano (pokud je použito)

--skip-license

Instalátor přeskočí dotaz na odsouhlasení licenčního ujednání.

--cert-content

Base64 kódovaný obsah PKCS12 kódovaného veřejného klíče certifikátu a privátního klíče používaných pro zabezpečení komunikace mezi Serverem a Agenty. Použijte jeden z následujících parametrů: --cert-path nebo --cert-content.

--cert-auth-content

Base64 kódovaný obsah DER kódovaného privátního klíče certifikační autority používané pro ověřování komunikace vzdálených klientů (Proxy nebo Server). Použijte jeden z následujících parametrů: --cert-auth-path nebo --cert-auth-content.

--webconsole-hostname

Název nebo IP adresa serveru, na kterém běží serverová část, ke které se bude Web Console připojovat (pokud ponecháte prázdné, použije se hodnota zadaná parametrem 'hostname').

--webconsole-port

Port, na kterém komunikuje Web Console se serverem (standardně 2223).

--webconsole-user

Uživatel, který má přístup do Web Console (standardně Administrator).

V případě asistované instalace není možné použít uživatelský účet s aktivní dvoufaktorovou autentifikací.

--webconsole-password

Heslo k uživatelskému účtu, který má přístup do Web Console.

Ano (asistovaná instalace)

--proxy-hostname

Název nebo IP adresa serveru, na kterém běží HTTP Proxy. Tento parametr použijte pro definování HTTP Proxy (která již běží ve vaší síti) určenou pro směrování komunikace mezi ESET Management Agentem a ESET PROTECT Serverem (nikoli pro cachování aktualizací).

Při použití proxy

--proxy-port

Port, na kterém naslouchá HTTP Proxy server.

Při použití proxy

--enable-imp-program

Aktivuje zapojení do programu zlepšování produktu

--disable-imp-program

Deaktivuje zapojení do programu zlepšování produktu.

Připojení a certifikáty

•Údaje pro připojení k ESET PROTECT Serveru zadejte prostřednictvím parametrů --hostname, --port (port není potřeba, pokud použijete servisní záznam; standardně 2222)

•Při asistované instalaci zadejte údaje pro připojení k Web Console prostřednictvím parametrů: --webconsole-port, --webconsole-user, --webconsole-password

•Při offline instalaci vložíte certifikáty a heslo (volitelně) prostřednictvím parametrů: --cert-path Při použití parametrů--cert-path a --cert-auth-path musíte mít z ESET PROTECT Web Console exportované certifikáty ve formátu .pfx a .der. (Informace o exportování .pfx a .der souborů naleznete v administrátorské části příručky.)

Parametry hesla

Parametry pro typ hesla můžete zadat jako proměnné prostředí, soubor, načíst je ze stdin, případně zadat jako prostý text. Například:

--password=env:SECRET_PASSWORD – kde SECRET_PASSWORD je proměnné prostředí, ve kterém je uloženo heslo

--password=file:/opt/secret – kde první řádek souboru /opt/secret obsahuje heslo

--password=stdin – instalátor si heslo přečte ze standardního vstupu

--password="pass:PASSWORD" je stejný jako --password="PASSWORD" a je povinný v případě, kdy aktuální heslo je "stdin" nebo začíná "env:", "file:" nebo "pass:"

V hesle certifikátu není možné použít následující znaky: " \ Tyto znaky mohou způsobit chybu při inicializaci agenta.

Připojení k HTTP Proxy

Pokud využíváte HTTP Proxy pro směrování komunikace mezi ESET Management Agentem a ESET PROTECT Serverem (nikoli pro cachování aktualizací), prostřednictvím parametrů --proxy-hostname a --proxy-port definujte údaje pro připojení.

PŘÍKLAD – offline instalace agenta s připojením prostřednictvím HTTP Proxy:

./agent-linux-x86_64.sh \

--skip-license \

--cert-path=/home/admin/Desktop/agent.pfx \

--cert-auth-path=/home/admin/Desktop/CA.der \

--cert-password=N3lluI4#2aCC \

--hostname=10.1.179.36 \

--port=2222 \

--proxy-hostname=10.1.180.3 \

--proxy-port=3333 \

Komunikační protokol používaný agentem pro spojení s ESET PROTECT Serverem nepodporuje autentifikaci. Pokud proxy řešení vyžaduje autentifikaci, komunikace mezi agenty a ESET PROTECT Serverem nebude funkční.

Pokud používáte nestandardní port pro Web Console nebo Agenty, může tato změna v konfiguraci vyžadovat úpravy ve vašem firewallu. V opačném případě se nemusí instalace zdařit.

Aktualizace nebo oprava agenta na linuxu

Při spuštění instalace agenta na systému, kde je již agent nainstalován, může dojít k následujících scénářům:

•Aktualizace – spustí se novější verze instalačního balíčku.

oAsistovaná instalace – agent se aktualizuje a ponechají se stávající certifikáty.

oOffline instalace – agent se aktualizuje a použijí se nové, vámi definované certifikáty.

•Oprava – spustí se stejná verze instalačního balíčku. Tuto možnost můžete použít k migraci agenta na jiný ESET PROTECT server.

oAsistovaná instalace – aplikace se přeinstaluje a použijí se nové servery (z ESET PROTECT Serveru definovaného parametrem hostname ).

oOffline instalace – aplikace se přeinstaluje, použijí se nové, vámi definované certifikáty.

Při ruční migraci agenta ze starého ESET PROTECT serveru na nový spusťte instalační balíček dvakrát. Nejprve aktualizujete agenta na novější verzi, v druhém kroku přepojíte agenta na nový ESET PROTECT server.

˄˅