Installazione agente - Linux
Prerequisiti
•Si consiglia di utilizzare la versione più recente di OpenSSL1.1.1. ESET Management Agent supporta anche OpenSSL 3.x. La versione minima supportata di OpenSSL per Linux è openssl-1.0.1e-30. È possibile che su un sistema sia installata contemporaneamente più di una versione di OpenSSL. È necessario che sul sistema sia installata almeno una versione supportata.
oPer visualizzare la versione predefinita corrente, utilizzare il comando openssl version.
oÈ possibile visualizzare un elenco di tutte le versioni di OpenSSL presenti nel sistema in uso. Visualizzare la fine dei nomi dei file elencati utilizzando il comando sudo find / -iname *libcrypto.so*
oPer controllare la compatibilità del cliente Linux, eseguire il seguente comando: openssl s_client -connect google.com:443 -tls1_2
OpenSSL 3.x supporto •ESET Management Agent supporta OpenSSL 3.x. •ESET PROTECT Server non supporta OpenSSL 3.x in modo nativo, ma è possibile abilitare il supporto OpenSSL 3.x per ESET PROTECT On-Prem. |
•Installare il pacchetto lshw sulla macchina Linux client/server affinché ESET Management Agent possa segnalare correttamente l’inventario dell’hardware.
Distribuzione Linux |
Comandi terminale |
---|---|
Debian, Ubuntu |
sudo apt-get install -y lshw |
Red Hat |
sudo yum install -y lshw |
OpenSUSE |
sudo zypper install lshw |
• Per Linux CentOS, si consiglia di installare il pacchetto policycoreutils-devel. Per installare il pacchetto, eseguire il comando:
yum install policycoreutils-devel
•Installazione dell’agente assistita dal server:
oSul computer server, che deve essere raggiungibile dalla rete, devono essere installati il server ESET PROTECT ed ESET PROTECT Web Console.
•Installazione off-line dell’agente:
oSul computer server, che deve essere raggiungibile dalla rete, deve essere installato il server ESET PROTECT.
oÈ necessario che sia presente un certificato dell’agente
oÈ necessario che sia presente un file della chiave pubblica dell’autorità di certificazione del server.
Installazione
Seguire i passaggi sottostanti per installare il componente ESET Management Agent su Linux utilizzando un comando Terminale:
Assicurarsi che vengano soddisfatti tutti i prerequisiti di installazione indicati in precedenza. |
1.Scaricare lo script di installazione dell'agente:
wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh |
2.Rendere eseguibile il file:
chmod +x agent-linux-x86_64.sh
3.Eseguire lo script di installazione in base all’esempio fornito di seguito (le nuove righe vengono separate da "\" per la copia dell'intero comando sul terminale):
Per ulteriori informazioni, consultare Parametri sotto. |
Installazione assistita dal server:
sudo ./agent-linux-x86_64.sh \ |
Installazione off-line:
sudo ./agent-linux-x86_64.sh \ |
Si consiglia di rimuovere i comandi contenenti dati sensibili (per esempio, una password) dalla cronologia della riga di comando: 1.Eseguire history per visualizzare l’elenco di tutti i comandi nella cronologia. 2.Eseguire history -d line_number (specificare il numero della riga del comando). In alternativa, eseguire history -c per rimuovere l’intera cronologia della riga di comando. |
4.Quando richiesto, premere y per accettare il certificato. È possibile ignorare gli errori su SELinux restituiti dal programma di installazione.
5.In seguito all’installazione, verificare che il servizio ESET Management Agent sia in esecuzione:
sudo systemctl status eraagent
6.Impostare il servizio eraagent per l’avvio all’avvio del computer: sudo systemctl enable eraagent
Rapporto programma di installazione Il rapporto del programma di installazione potrebbe essere utile per la procedura di individuazione e risoluzione dei problemi. È possibile trovarlo nei File di rapporto. |
Parametri
La connessione al server ESET PROTECT viene risolta utilizzando i parametri --hostname e --port (la porta non viene utilizzata quando viene fornito un record SRV). Possibili formati di connessione.
Attributo |
Descrizione |
Necessario |
|||
---|---|---|---|---|---|
--hostname |
Nome host o indirizzo IP del server ESET PROTECT al quale effettuare la connessione. |
Sì |
|||
--port |
Porta del server ESET PROTECT (impostazione predefinita: 2222). |
Sì |
|||
--cert-path |
Percorso locale al file del certificato dell'agente (maggiori informazioni sul certificato). |
Sì (off-line) |
|||
--cert-auth-path |
Percorso al file dell'autorità di certificazione del server (maggiori informazioni sull’autorità). |
Sì (off-line) |
|||
--cert-password |
Password del certificato dell’agente. |
Sì (off-line) |
|||
--cert-auth-password |
Password dell'autorità di certificazione. |
Sì (in caso di utilizzo) |
|||
--skip-license |
L'installazione non chiederà all'utente la conferma dell'accordo di licenza. |
No |
|||
--cert-content |
Contenuto codificato in Base64 del certificato della chiave pubblica codificata PKCS12 più chiave privata utilizzata per la configurazione di canali di comunicazione protetti con il server e gli agenti. Utilizzare solo una tra le opzioni --cert-path e --cert-content. |
No |
|||
--cert-auth-content |
Contenuto codificato in Base64 del certificato della chiave privata dell'autorità di certificazione codificata in DER utilizzato per la verifica dei peer remoti (proxy o server). Utilizzare solo una tra le opzioni --cert-auth-path e --cert-auth-content. |
No |
|||
--webconsole-hostname |
Nome host o indirizzo IP utilizzato dalla Console Web per effettuare la connessione al server (se il campo viene lasciato vuoto, il programma di installazione copierà il valore dal campo “nome host”). |
No |
|||
--webconsole-port |
Porta utilizzata dalla console Web per effettuare la connessione al server (impostazione predefinita: 2223). |
No |
|||
--webconsole-user |
Nome utente utilizzato dalla console Web per effettuare la connessione al server (impostazione predefinita: Administrator).
|
No |
|||
--webconsole-password |
Password utilizzata dalla console Web per effettuare la connessione al server. |
Sì (assistita dal server) |
|||
--proxy-hostname |
Nome host del proxy HTTP. Utilizzare questo parametro per abilitare l’uso del proxy HTTP (che è già installato nella rete) per la replica tra ESET Management Agent e ESET PROTECT Server (non per la memorizzazione nella cache degli aggiornamenti). |
Se viene utilizzato il proxy |
|||
--proxy-port |
Porta del proxy HTTP per effettuare la connessione al server. |
Se viene utilizzato il proxy |
|||
--enable-imp-program |
Attiva il programma di miglioramento del prodotto. |
No |
|||
--disable-imp-program |
Disattiva il programma di miglioramento del prodotto. |
No |
Connessione e certificati
•È necessario fornire la connessione al server ESET PROTECT: --hostname, --port (la porta non è necessaria se è stato fornito il record di servizio, impostazione predefinita: 2222)
•Fornire queste informazioni di connessione per l'Installazione assistita dal server: --webconsole-port, --webconsole-user, --webconsole-password
•Fornire le informazioni del certificato per l'Installazione off-line: --cert-path, --cert-password I parametri di installazione --cert-path e --cert-auth-path richiedono i file di certificazione (.pfx e .der) che possono essere esportati da ESET PROTECT Web Console. (Consultare Come esportare il file .pfx e il file .der.)
Parametri relativi al tipo di password
I parametri di tipo password possono essere forniti come variabili di ambiente o file e letti da stdin o forniti come testo normale. Ciò significa che:
--password=env:SECRET_PASSWORD dove SECRET_PASSWORD è una variabile di ambiente con password
--password=file:/opt/secret dove la prima riga del file regolare /opt/secret contiene la password dell'utente
--password=stdin comunica al programma di installazione di leggere la password dall'input standard
--password="pass:PASSWORD" equivale a --password="PASSWORD" ed è obbligatorio se la password effettiva è "stdin" (inserimento standard) o una stringa che inizia con "env:", "file:" o "pass:"
Il passphrase del certificato non deve contenere i seguenti caratteri: " \ Questi caratteri causano un errore critico durante l’inizializzazione dell’agente. |
Connessione proxy HTTPS
In caso di utilizzo del proxy HTTP per la replica tra ESET Management Agent e ESET PROTECT Server (non per la memorizzazione degli aggiornamenti nella cache), è possibile specificare i parametri di connessione in --proxy-hostname e --proxy-port.
ESEMPIO: installazione dell’agente non in linea con la connessione proxy HTTP
./agent-linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 \ --proxy-hostname=10.1.180.3 \ --proxy-port=3333 \ |
Il protocollo di comunicazione tra l’agente e ESET PROTECT Server non supporta l’autenticazione. Le soluzioni proxy utilizzate per l’inoltro della comunicazione dell’agente a ESET PROTECT Server che richiedono l’autenticazione non funzioneranno. Se si sceglie di utilizzare una porta non predefinita per Web Console o l’agente, tale condizione potrebbe richiedere una modifica del firewall. In caso contrario, l’installazione potrebbe non riuscire. |
Aggiornamento e installazione di ripristino dell’agente su Linux
Se si esegue manualmente l'installazione dell'agente su un sistema sul quale è già installato, possono verificarsi i seguenti scenari:
•Aggiornamento: consente di eseguire una versione successiva del programma di installazione.
oInstallazione assistita dal server: l'applicazione viene aggiornata ma continuerà a utilizzare i certificati precedenti.
oInstallazione off-line: l'applicazione viene aggiornata e verranno utilizzati i nuovi certificati.
•Ripara: consente di eseguire la stessa versione del programma di installazione. È possibile utilizzare questa opzione per eseguire la migrazione dell’agente su una diversa istanza di ESET PROTECT Server.
oInstallazione assistita dal server: l'applicazione viene reinstallata e riceverà i certificati correnti dal server ESET PROTECT (tramite la definizione del parametro hostname).
oInstallazione offline: l’applicazione viene reinstallata e vengono utilizzati nuovi certificati.
Se si sta eseguendo la migrazione manuale dell'agente da una versione precedente del server su un server ESET PROTECT differente e più recente e si utilizza l'installazione assistita dal server, eseguire due volte il comando di installazione. Il primo aggiorna l’agente, mentre il secondo consente di scaricare i nuovi certificati in modo che l’agente possa connettersi a ESET PROTECT Server.