Instalace agenta na Linuxu
Předpoklady
•Doporučujeme vždy používat nejnovější verzi OpenSSL 1.1.1. ESET Management Agent rovněž podporuje OpenSSL 3.x. Minimální podporována verze OpenSSL je openssl-1.0.1e-30. Nainstalováno můžete mít více verzí OpenSSL. Nicméně alespoň jedna z nich musí podporovaná.
oPříkazem openssl version si zobrazíte aktuálně používanou (výchozí) verzi.
oZobrazit si můžete seznam všech verzí OpenSSL ve vašem systému. Po použití příkazu sudo find / -iname *libcrypto.so* se podívejte na konce názvů souborů.
oKompatibilitu na linuxu ověříte následujícím příkazem: openssl s_client -connect google.com:443 -tls1_2
OpenSSL 3.x podpora •ESET Management Agenta podporuje OpenSSL 3.x. •ESET PROTECT Server nativně nepodporuje OpenSSL 3.x, můžete ale zapnout podporu OpenSSL 3.x pro ESET PROTECT On-Prem. |
•Aby ESET Management Agent dokázal korektně reportovat data o hardwaru z linuxových stanic/serverů, musí být na nich nainstalován nástroj lshw.
Linuxové distribuce |
Terminálový příkaz |
---|---|
Debian, Ubuntu |
sudo apt-get install -y lshw |
Red Hat |
sudo yum install -y lshw |
OpenSUSE |
sudo zypper install lshw |
• Na operačním systému CentOS doporučujeme dále nainstalovat balíček policycoreutils-devel. To provedete příkazem:
yum install policycoreutils-devel
•Asistovaná instalace agenta:
oPřímá viditelnost na server kde běží ESET PROTECT Server a ESET PROTECT Web Console.
•Offline instalace agenta:
oPřímá viditelnost na ESET PROTECT Server.
oVytvořený a na lokálním počítači stažený certifikát agenta.
oVytvořený a na lokálním počítači stažený veřejný klíč certifikační autority.
Instalace
Pro instalaci ESET Management Agenta na linuxu postupujte podle následujících kroků:
Ujistěte, že splňujete všechny výše uvedené požadavky pro instalaci. |
1.Stažený instalační skript agenta:
wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh |
2.Změnili jste práva skriptu a učinili jej spustitelným:
chmod +x agent-linux-x86_64.sh
3.Na základě výše uvedeného příkazu spusťte instalační skript (při kopírování celého příkazu do Terminálu použijte "\" pro přechod na nový řádek):
Pokročilé možnosti instalace naleznete v této kapitole v části Parametry. |
Asistovaná instalace:
sudo ./agent-linux-x86_64.sh \ |
Offline instalace:
sudo ./agent-linux-x86_64.sh \ |
Z historie použitých příkazů doporučujeme smazat ty, které obsahují citlivé údaje (například zadávaná hesla): 1.Pro zobrazení historie provedených příkazů použijte příkaz history. 2.Spusťte příkaz history -d line_number (kde zadejte číslo požadovaného řádku, který chcete smazat). Alternativně příkazem history -c smažte celou historii. |
4.Po zobrazení výzvy přijměte stisknutím klávesy y certifikát. Případné chyby vrácené instalačním balíčkem související se SELinux můžete ignorovat.
5.Po dokončení instalace ověřte, zda služba ESET Management Agent běží pomocí příkazu:
sudo systemctl status eraagent
6.Nastavte službu tak eraagent, aby se automaticky spouštěla při startu operačního systému. To provedete příkazem: sudo systemctl enable eraagent
Instalační protokol Při řešení problémů s instalací se podívejte do protokolu. Jeho umístění naleznete v kapitole Protokoly. |
Parametry
Připojení k ESET PROTECT Serveru definujete v instalačním skriptu prostřednictvím parametru --hostname--hostname a --port--port (při použití SRV záznamu není nutné specifikovat port). Podporované formáty zápisu údajů pro připojení k serveru.
Atribut |
Popis |
Vyžadováno |
|||
---|---|---|---|---|---|
--hostname |
Údaje pro připojení k ESET PROTECT Serveru v jednom z podporovaných formátů. |
Ano |
|||
--port |
Port, na kterém naslouchá ESET PROTECT Server (standardně 2222). |
Ano |
|||
--cert-path |
Lokální cesta k exportovanému klientskému certifikátu. |
Ano (Offline) |
|||
--cert-auth-path |
Ano (Offline) |
||||
--cert-password |
Heslo k certifikátu agenta. |
Ano (Offline) |
|||
--cert-auth-password |
Heslo ke klientskému certifikátu. |
Ano (pokud je použito) |
|||
--skip-license |
Instalátor přeskočí dotaz na odsouhlasení licenčního ujednání. |
Ne |
|||
--cert-content |
Base64 kódovaný obsah PKCS12 kódovaného veřejného klíče certifikátu a privátního klíče používaných pro zabezpečení komunikace mezi Serverem a Agenty. Použijte jeden z následujících parametrů: --cert-path nebo --cert-content. |
Ne |
|||
--cert-auth-content |
Base64 kódovaný obsah DER kódovaného privátního klíče certifikační autority používané pro ověřování komunikace vzdálených klientů (Proxy nebo Server). Použijte jeden z následujících parametrů: --cert-auth-path nebo --cert-auth-content. |
Ne |
|||
--webconsole-hostname |
Název nebo IP adresa serveru, na kterém běží serverová část, ke které se bude Web Console připojovat (pokud ponecháte prázdné, použije se hodnota zadaná parametrem 'hostname'). |
Ne |
|||
--webconsole-port |
Port, na kterém komunikuje Web Console se serverem (standardně 2223). |
Ne |
|||
--webconsole-user |
Uživatel, který má přístup do Web Console (standardně Administrator).
|
Ne |
|||
--webconsole-password |
Heslo k uživatelskému účtu, který má přístup do Web Console. |
Ano (asistovaná instalace) |
|||
--proxy-hostname |
Název nebo IP adresa serveru, na kterém běží HTTP Proxy. Tento parametr použijte pro definování HTTP Proxy (která již běží ve vaší síti) určenou pro směrování komunikace mezi ESET Management Agentem a ESET PROTECT Serverem (nikoli pro cachování aktualizací). |
Při použití proxy |
|||
--proxy-port |
Port, na kterém naslouchá HTTP Proxy server. |
Při použití proxy |
|||
--enable-imp-program |
Aktivuje zapojení do programu zlepšování produktu |
Ne |
|||
--disable-imp-program |
Deaktivuje zapojení do programu zlepšování produktu. |
Ne |
Připojení a certifikáty
•Údaje pro připojení k ESET PROTECT Serveru zadejte prostřednictvím parametrů --hostname, --port (port není potřeba, pokud použijete servisní záznam; standardně 2222)
•Při asistované instalaci zadejte údaje pro připojení k Web Console prostřednictvím parametrů: --webconsole-port, --webconsole-user, --webconsole-password
•Při offline instalaci vložíte certifikáty a heslo (volitelně) prostřednictvím parametrů: --cert-path Při použití parametrů--cert-path a --cert-auth-path musíte mít z ESET PROTECT Web Console exportované certifikáty ve formátu .pfx a .der. (Informace o exportování .pfx a .der souborů naleznete v administrátorské části příručky.)
Parametry hesla
Parametry pro typ hesla můžete zadat jako proměnné prostředí, soubor, načíst je ze stdin, případně zadat jako prostý text. Například:
--password=env:SECRET_PASSWORD – kde SECRET_PASSWORD je proměnné prostředí, ve kterém je uloženo heslo
--password=file:/opt/secret – kde první řádek souboru /opt/secret obsahuje heslo
--password=stdin – instalátor si heslo přečte ze standardního vstupu
--password="pass:PASSWORD" je stejný jako --password="PASSWORD" a je povinný v případě, kdy aktuální heslo je "stdin" nebo začíná "env:", "file:" nebo "pass:"
V hesle certifikátu není možné použít následující znaky: " \ Tyto znaky mohou způsobit chybu při inicializaci agenta. |
Připojení k HTTP Proxy
Pokud využíváte HTTP Proxy pro směrování komunikace mezi ESET Management Agentem a ESET PROTECT Serverem (nikoli pro cachování aktualizací), prostřednictvím parametrů --proxy-hostname a --proxy-port definujte údaje pro připojení.
PŘÍKLAD – offline instalace agenta s připojením prostřednictvím HTTP Proxy:
./agent-linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 \ --proxy-hostname=10.1.180.3 \ --proxy-port=3333 \ |
Komunikační protokol používaný agentem pro spojení s ESET PROTECT Serverem nepodporuje autentifikaci. Pokud proxy řešení vyžaduje autentifikaci, komunikace mezi agenty a ESET PROTECT Serverem nebude funkční. Pokud používáte nestandardní port pro Web Console nebo Agenty, může tato změna v konfiguraci vyžadovat úpravy ve vašem firewallu. V opačném případě se nemusí instalace zdařit. |
Aktualizace nebo oprava agenta na linuxu
Při spuštění instalace agenta na systému, kde je již agent nainstalován, může dojít k následujících scénářům:
•Aktualizace – spustí se novější verze instalačního balíčku.
oAsistovaná instalace – agent se aktualizuje a ponechají se stávající certifikáty.
oOffline instalace – agent se aktualizuje a použijí se nové, vámi definované certifikáty.
•Oprava – spustí se stejná verze instalačního balíčku. Tuto možnost můžete použít k migraci agenta na jiný ESET PROTECT server.
oAsistovaná instalace – aplikace se přeinstaluje a použijí se nové servery (z ESET PROTECT Serveru definovaného parametrem hostname ).
oOffline instalace – aplikace se přeinstaluje, použijí se nové, vámi definované certifikáty.
Při ruční migraci agenta ze starého ESET PROTECT serveru na nový spusťte instalační balíček dvakrát. Nejprve aktualizujete agenta na novější verzi, v druhém kroku přepojíte agenta na nový ESET PROTECT server.