服务器代理安装 - Linux
先决条件
•我们建议您使用最新版本的 OpenSSL1.1.1。ESET Management 服务器代理还支持 OpenSSL 3.x。适用于 Linux 的 OpenSSL 的受支持最低版本为 openssl-1.0.1e-30。一个系统中可以同时安装有多个版本的 OpenSSL。您的系统中必须存在至少一个受支持的版本。
o使用命令 openssl version 来显示当前的默认版本。
o可以列出您系统上存在的所有版本的 OpenSSL。请查看使用命令 sudo find / -iname *libcrypto.so* 列出的文件名结尾
o您可以使用以下命令检查您的 Linux 客户端是否兼容:openssl s_client -connect google.com:443 -tls1_2
OpenSSL 3.x 支持 •ESET Management 服务器代理支持 OpenSSL 3.x。 •ESET PROTECT 服务器本身不支持 OpenSSL 3.x,但可以启用对 ESET PROTECT On-Prem 的 OpenSSL 3.x 支持。 |
•在客户端/服务器 Linux 计算机上安装 lshw 程序包,才能使 ESET Management 服务器代理能够正确报告硬件清单。
Linux 发行版 |
终端命令 |
---|---|
Debian, Ubuntu |
sudo apt-get install -y lshw |
Red Hat |
sudo yum install -y lshw |
OpenSUSE |
sudo zypper install lshw |
• 对于 Linux CentOS,建议您安装 policycoreutils-devel 程序包。运行命令以安装程序包:
yum install policycoreutils-devel
•服务器辅助服务器代理安装:
o服务器计算机必须可以通过网络进行访问,并且已安装 ESET PROTECT 服务器和 ESET PROTECT Web 控制台。
•脱机服务器代理安装:
o服务器计算机必须可以通过网络进行访问,并且已安装 ESET PROTECT 服务器。
o服务器代理的证书必须存在。
o服务器证书颁发机构公钥文件必须存在。
安装
按照下面的步骤使用终端命令在 Linux 上安装 ESET Management 服务器代理组件:
确保满足上面列出的所有安装先决条件。 |
1.下载服务器代理安装脚本:
wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh |
2.生成该文件的可执行文件:
chmod +x agent-linux-x86_64.sh
3.根据以下示例运行安装脚本(新行由“\”分隔,以便将整个命令复制到终端):
有关更多详细信息,请参阅下面的参数。 |
服务器辅助安装:
sudo ./agent-linux-x86_64.sh \ |
脱机安装:
sudo ./agent-linux-x86_64.sh \ |
建议您从命令行历史记录中删除包含敏感数据(例如,密码)的命令: 1.运行 history 以查看历史记录中所有命令的列表。 2.运行 history -d line_number(指定命令的行号)。或者,运行 history -c 以删除整个命令行历史记录。 |
4.出现提示时,按 y 以接受证书。可以忽略安装程序返回的任何有关 SELinux 的错误。
5.在安装后,请验证 ESET Management 服务器代理服务是否正在运行:
sudo systemctl status eraagent
6.将 eraagent 服务设置为系统启动时启动:sudo systemctl enable eraagent
安装程序日志 安装程序日志可能有助于故障排除。可以在日志文件中找到它。 |
参数
使用参数 --hostname 和 --port(在提供 SRV 记录时不使用端口)解析 ESET PROTECT 服务器连接。可能的连接格式.
属性 |
说明 |
必需 |
|||
---|---|---|---|---|---|
--hostname |
要连接的 ESET PROTECT 服务器的主机名或 IP 地址。 |
是 |
|||
--port |
ESET PROTECT () 服务器端口(默认值为 2222)。 |
是 |
|||
--cert-path |
服务器代理证书文件的本地路径(有关证书的详细信息)。 |
是(脱机) |
|||
--cert-auth-path |
服务器证书颁发机构文件的路径(有关颁发机构的详细信息)。 |
是(脱机) |
|||
--cert-password |
服务器代理证书密码。 |
是(脱机) |
|||
--cert-auth-password |
证书颁发机构密码。 |
是(如果已使用) |
|||
--skip-license |
安装不会要求用户进行许可协议确认。 |
否 |
|||
--cert-content |
PKCS12 编码的公钥证书以及私钥的 Base64 编码的内容,用于在服务器和服务器代理之间设置安全通信通道。仅使用 --cert-path 或 --cert-content 选项之一。 |
否 |
|||
--cert-auth-content |
DER 编码的证书颁发机构私钥证书的 Base64 编码的内容,用于验证远程对等(代理或服务器)。仅使用 --cert-auth-path 或 --cert-auth-content 选项之一。 |
否 |
|||
--webconsole-hostname |
Web 控制台用于连接到服务器的主机名或 IP 地址(如果保留为空,则安装程序会复制“hostname”中的值)。 |
否 |
|||
--webconsole-port |
可供 Web 控制台用于连接到服务器的端口(默认值为 2223)。 |
否 |
|||
--webconsole-user |
可供 Web 控制台用于连接到服务器的用户名(默认值为 Administrator)。
|
否 |
|||
--webconsole-password |
可供 Web 控制台用于连接到服务器的密码。 |
是(服务器辅助) |
|||
--proxy-hostname |
HTTP 代理主机名。使用此参数以支持将 HTTP 代理(已安装在网络中)用于 ESET Management 服务器代理和 ESET PROTECT 服务器之间的复制(而非用于缓存更新)。 |
如果使用代理 |
|||
--proxy-port |
用于连接到服务器的 HTTP 代理端口。 |
如果使用代理 |
|||
--enable-imp-program |
打开产品改进计划。 |
否 |
|||
--disable-imp-program |
关闭产品改进计划。 |
否 |
连接和证书
•必须提供到 ESET PROTECT 服务器的连接:--hostname, --port(如果提供服务记录,则不需要端口,默认端口值为 2222)
•为服务器辅助安装提供以下连接信息: --webconsole-port, --webconsole-user, --webconsole-password
•为脱机安装提供证书信息:--cert-path, --cert-password。安装参数 --cert-path 和 --cert-auth-path 需要证书文件(.pfx 和 .der),这些证书文件可以从 ESET PROTECT Web 控制台导出。(参阅如何导出 .pfx 文件和 .der 文件)
密码类型参数
密码类型参数可作为环境变量、文件提供,可从 stdin 读取或作为纯文本提供。即:
--password=env:SECRET_PASSWORD,其中 SECRET_PASSWORD 是带有密码的环境变量
--password=file:/opt/secret,其中常规文件 /opt/secret 的第一行包含密码
--password=stdin,指示安装程序从标准输入读取密码
--password="pass:PASSWORD" 等同于 --password="PASSWORD",并且前者在实际密码是 "stdin"(标准输入) 或者是以 "env:"、"file:" 或 "pass:" 开头的字符串时为必填项
证书密码中不得包含以下字符:" \ 这些字符在初始化服务器代理期间会导致严重错误。 |
HTTP 代理连接
如果要将 HTTP 代理用于 ESET Management 服务器代理和 ESET PROTECT 服务器之间的复制(而不是用于缓存更新),可以在 --proxy-hostname 和 --proxy-port 中指定连接参数。
示例 - 使用 HTTP 代理连接的脱机服务器代理安装
./agent-linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 \ --proxy-hostname=10.1.180.3 \ --proxy-port=3333 \ |
服务器代理和 ESET PROTECT 服务器之间的通信协议不支持身份验证。任何用于将服务器代理通信转发到需要身份验证的 ESET PROTECT 服务器的代理解决方案将不工作。 如果针对 Web 控制台或服务器代理选择使用非默认端口,可能需要调整防火墙。否则,安装可能会失败。 |
Linux 上服务器代理的升级和修复安装
如果在已安装服务器代理的系统上手动运行服务器代理安装,则可能出现以下情况:
•升级 - 运行更高版本的安装程序。
o服务器辅助安装 - 应用程序已升级,但它将继续使用以前的证书。
o脱机安装 - 应用程序已升级,使用新的证书。
•修复 - 运行相同版本的安装程序。可以使用此选项将服务器代理迁移到其他 ESET PROTECT 服务器。
o服务器辅助安装 - 应用程序已重新安装,并且它将从 ESET PROTECT 服务器获取当前证书(由 hostname 参数定义)。
o脱机安装 - 应用程序已重新安装,使用新的证书。
如果您手动将服务器代理迁移到其他较新的 ESET PROTECT 服务器,并且您使用服务器辅助安装,则运行安装命令两次。第一次将升级服务器代理,第二次将获取新证书,以便服务器代理可以连接到 ESET PROTECT 服务器。