Instalace agenta na Linuxu
Předpoklady
•Doporučujeme vždy používat nejnovější verzi OpenSSL 1.1.1. ESET Management Agent rovněž podporuje OpenSSL 3.x. Minimální podporována verze OpenSSL je openssl-1.0.1e-30. Nainstalováno můžete mít více verzí OpenSSL. Nicméně alespoň jedna z nich musí podporovaná.
oPříkazem openssl version si zobrazíte aktuálně používanou (výchozí) verzi.
oZobrazit si můžete seznam všech verzí OpenSSL ve vašem systému. Po použití příkazu sudo find / -iname *libcrypto.so* se podívejte na konce názvů souborů.
oKompatibilitu na linuxu ověříte následujícím příkazem: openssl s_client -connect google.com:443 -tls1_2
OpenSSL 3.x podpora •ESET Management Agenta podporuje OpenSSL 3.x. •ESET PROTECT Server nativně nepodporuje OpenSSL 3.x, můžete ale zapnout podporu OpenSSL 3.x pro ESET PROTECT On-Prem. |
•Aby ESET Management Agent dokázal korektně reportovat data o hardwaru z linuxových stanic/serverů, musí být na nich nainstalován nástroj lshw.
Linuxové distribuce |
Terminálový příkaz |
---|---|
Debian, Ubuntu |
sudo apt-get install -y lshw |
Red Hat |
sudo yum install -y lshw |
OpenSUSE |
sudo zypper install lshw |
• Na operačním systému CentOS doporučujeme dále nainstalovat balíček policycoreutils-devel. To provedete příkazem:
yum install policycoreutils-devel
•Přímá viditelnost na ESET PROTECT Server.
•Vytvořený a na lokálním počítači stažený certifikát agenta.
•Vytvořený a na lokálním počítači stažený veřejný klíč certifikační autority.
Instalace
Pro instalaci ESET Management Agenta na linuxu postupujte podle následujících kroků:
Ujistěte, že splňujete všechny výše uvedené požadavky pro instalaci. |
1.Stažený instalační skript agenta:
wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh |
2.Změnili jste práva skriptu a učinili jej spustitelným:
chmod +x agent-linux-x86_64.sh
3.Na základě výše uvedeného příkazu spusťte instalační skript (při kopírování celého příkazu do Terminálu použijte "\" pro přechod na nový řádek):
Pokročilé možnosti instalace naleznete v této kapitole v části Parametry. |
ESET Management Agent 12.0 a novější již nepodporují asistovanou instalaci. |
Offline instalace:
sudo ./agent-linux-x86_64.sh \ |
Z historie použitých příkazů doporučujeme smazat ty, které obsahují citlivé údaje (například zadávaná hesla): 1.Pro zobrazení historie provedených příkazů použijte příkaz history. 2.Spusťte příkaz history -d line_number (kde zadejte číslo požadovaného řádku, který chcete smazat). Alternativně příkazem history -c smažte celou historii. |
4.Po zobrazení výzvy přijměte stisknutím klávesy y certifikát. Případné chyby vrácené instalačním balíčkem související se SELinux můžete ignorovat.
5.Po dokončení instalace ověřte, zda služba ESET Management Agent běží pomocí příkazu:
sudo systemctl status eraagent
6.Nastavte službu tak eraagent, aby se automaticky spouštěla při startu operačního systému. To provedete příkazem: sudo systemctl enable eraagent
Instalační protokol Při řešení problémů s instalací se podívejte do protokolu. Jeho umístění naleznete v kapitole Protokoly. |
Parametry
Připojení k ESET PROTECT Serveru definujete v instalačním skriptu prostřednictvím parametru --hostname--hostname a --port--port (při použití SRV záznamu není nutné specifikovat port). Podporované formáty zápisu údajů pro připojení k serveru.
Atribut |
Popis |
Vyžadováno |
---|---|---|
--hostname |
Údaje pro připojení k ESET PROTECT Serveru v jednom z podporovaných formátů. |
Ano |
--port |
Port, na kterém naslouchá ESET PROTECT Server (standardně 2222). |
Ano |
--cert-path |
Lokální cesta k exportovanému klientskému certifikátu. |
Ano |
--cert-auth-path |
Ano |
|
--cert-password |
Heslo k certifikátu agenta. |
Ano |
--cert-auth-password |
Heslo ke klientskému certifikátu. |
Ano (pokud je použito) |
--skip-license |
Instalátor přeskočí dotaz na odsouhlasení licenčního ujednání. |
Ne |
--cert-content |
Base64 kódovaný obsah PKCS12 kódovaného veřejného klíče certifikátu a privátního klíče používaných pro zabezpečení komunikace mezi Serverem a Agenty. Použijte jeden z následujících parametrů: --cert-path nebo --cert-content. |
Ne |
--cert-auth-content |
Base64 kódovaný obsah DER kódovaného privátního klíče certifikační autority používané pro ověřování komunikace vzdálených klientů (Proxy nebo Server). Použijte jeden z následujících parametrů: --cert-auth-path nebo --cert-auth-content. |
Ne |
--proxy-hostname |
Název nebo IP adresa serveru, na kterém běží HTTP Proxy. Tento parametr použijte pro definování HTTP Proxy (která již běží ve vaší síti) určenou pro směrování komunikace mezi ESET Management Agentem a ESET PROTECT Serverem (nikoli pro cachování aktualizací). |
Při použití proxy |
--proxy-port |
Port, na kterém naslouchá HTTP Proxy server. |
Při použití proxy |
--enable-imp-program |
Aktivuje zapojení do programu zlepšování produktu |
Ne |
--disable-imp-program |
Deaktivuje zapojení do programu zlepšování produktu. |
Ne |
Připojení a certifikáty
•Údaje pro připojení k ESET PROTECT Serveru zadejte prostřednictvím parametrů --hostname, --port (port není potřeba, pokud použijete servisní záznam; standardně 2222)
•Zadejte údaje o certifikátu pro offline instalaci: --cert-path, --cert-password. Při použití parametrů--cert-path a --cert-auth-path musíte mít z ESET PROTECT Web Console exportované certifikáty ve formátu .pfx a .der. (Informace o exportování .pfx a .der souborů naleznete v administrátorské části příručky.)
Parametry hesla
Parametry pro typ hesla můžete zadat jako proměnné prostředí, soubor, načíst je ze stdin, případně zadat jako prostý text. Například:
--password=env:SECRET_PASSWORD – kde SECRET_PASSWORD je proměnné prostředí, ve kterém je uloženo heslo
--password=file:/opt/secret – kde první řádek souboru /opt/secret obsahuje heslo
--password=stdin – instalátor si heslo přečte ze standardního vstupu
--password="pass:PASSWORD" je stejný jako --password="PASSWORD" a je povinný v případě, kdy aktuální heslo je "stdin" nebo začíná "env:", "file:" nebo "pass:"
•V hesle certifikátu není možné použít následující znaky: " \ Tyto znaky způsobují kritickou chybu během inicializace agenta. •Heslo musí mít nejméně 10 znaků ve třech z těchto kategorií: malá písmena, velká písmena, číslice nebo speciální znaky. Doporučujeme používat heslo s minimálně 12 znaky. |
Připojení k HTTP Proxy
Pokud využíváte HTTP Proxy pro směrování komunikace mezi ESET Management Agentem a ESET PROTECT Serverem (nikoli pro cachování aktualizací), prostřednictvím parametrů --proxy-hostname a --proxy-port definujte údaje pro připojení.
PŘÍKLAD – offline instalace agenta s připojením prostřednictvím HTTP Proxy:
./agent-linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 \ --proxy-hostname=10.1.180.3 \ --proxy-port=3333 \ |
Komunikační protokol používaný agentem pro spojení s ESET PROTECT Serverem nepodporuje autentifikaci. Pokud proxy řešení vyžaduje autentifikaci, komunikace mezi agenty a ESET PROTECT Serverem nebude funkční. Pokud používáte nestandardní port pro Web Console nebo Agenty, může tato změna v konfiguraci vyžadovat úpravy ve vašem firewallu. V opačném případě se nemusí instalace zdařit. |
Aktualizace nebo oprava agenta na linuxu
Při spuštění instalace agenta na systému, kde je již agent nainstalován, může dojít k následujících scénářům:
•Aktualizace – spustí se novější verze instalačního balíčku. Agent se aktualizuje a použijí se nové certifikáty.
•Oprava – spustí se stejná verze instalačního balíčku. Tuto možnost můžete použít k migraci agenta na jiný ESET PROTECT server. Agent se přeinstaluje a použijí se nové certifikáty.