installation de l'agent - Linux
Configuration requise
•Nous vous recommandons d'utiliser la dernière version de OpenSSL1.1.1. L’agent ESET Management prend également en charge OpenSSL 3.x. La version minimale prise en charge d'OpenSSL pour Linux est openssl-1.0.1e-30. Plusieurs versions de OpenSSL peuvent être installées sur un système simultanément. Au moins une version prise en charge doit être installée sur votre système.
oUtilisez la commande openssl version pour afficher la version actuelle par défaut.
oVous pouvez lister toutes les versions de OpenSSL installées sur votre système. Voir la liste des fins de nom de fichier à l’aide de la commande sudo find / -iname *libcrypto.so*
oVous pouvez vérifier si votre client Linux est compatible avec la commande suivante : openssl s_client -connect google.com:443 -tls1_2
|
OpenSSL 3.x assistance •L’agent ESET Management prend en charge OpenSSL 3.x. •Le serveur ESET PROTECT ne prend pas en charge OpenSSL 3.x nativement, mais vous pouvez activer la prise en charge d’OpenSSL 3.x pour ESET PROTECT On-Prem. |
•Installez le paquet lshw sur l’ordinateur Linux client/serveur pour que l’agent ESET Management signale correctement l’inventaire matériel.
Distribution Linux |
Commande du terminal |
|---|---|
Debian, Ubuntu |
sudo apt-get install -y lshw |
Red Hat |
sudo yum install -y lshw |
OpenSUSE |
sudo zypper install lshw |
• Pour Linux CentOS, nous vous recommandons d’installer le progiciel policycoreutils-devel. Exécutez la commande pour installer le paquet :
yum install policycoreutils-devel
•L'ordinateur serveur doit être accessible à partir du réseau et le serveur ESET PROTECT doit y être installés.
•Un certificat pour l'agent doit être présent.
•Un fichier de clé publique d'autorité de certification de serveur doit être présent.
Installation
Suivez les étapes ci-dessous pour installer le composant ESET Management Agent sous Linux à l’aide d’une commande de terminal :
|
Assurez-vous de répondre à toutes les conditions préalables d’installation répertoriées ci-dessus. |
1.Téléchargez le script d'installation de l'agent :
wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh |
2.Rendez le fichier exécutable :
chmod +x agent-linux-x86_64.sh
3.Exécutez le script d'installation en vous basant sur l'exemple ci-dessous (Les nouvelles lignes sont divisées à l'aide du caractère « \ » pour la copie de toute la commande sur le terminal) :
|
Pour plus de détails, consultez les paramètres ci-dessous. |
|
L’agent ESET Management 12.0 et les versions ultérieures ne prend plus en charge l’installation assistée par serveur. |
Installation hors connexion :
sudo ./agent-linux-x86_64.sh \ |
|
Nous recommandons de supprimer les commandes contenant des données sensibles (par exemple, un mot de passe) de l’historique des lignes de commande : 1.Exécutez la commande history pour voir la liste de toutes les commandes de l’historique. 2.Exécutez la commande history -d line_number (spécifiez le numéro de ligne de commande). Vous pouvez aussi exécuter la commande history -c pour supprimer la ligne de commande en entier. |
4.Lorsque vous y êtes invité, appuyez sur y pour accepter le certificat. Vous pouvez ignorer les erreurs sur SELinux renvoyées par le programme d’installation.
5.Après l’installation, vérifiez que le service ESET Management Agent est en cours d’exécution :
sudo systemctl status eraagent
6.Configurez le service eraagent pour qu'il soit lancé au démarrage : sudo systemctl enable eraagent
|
Journal du programme d'installation Le journal du programme d’installation peut être utile pour le dépannage. Il se trouve dans Fichiers journaux. |
Paramètres
La connexion au serveur ESET PROTECT est résolue en utilisant les paramètres --hostname et --port (le port n'est pas utilisé lorsqu'un enregistrement SRV est fourni). 
Formats de connexion possibles.
Attribut |
Description |
Requis |
|---|---|---|
--hostname |
Le nom d'hôte ou l'adresse IP utilisé par le serveur ESET PROTECT pour se connecter |
Oui |
--port |
Port du serveur ESET PROTECT (la valeur par défaut est 2222). |
Oui |
--cert-path |
Chemin local vers le fichier du certificat de l'agent (pour en savoir davantage sur le certificat). |
Oui |
--cert-auth-path |
Chemin vers le fichier de l'autorité de certification du serveur (pour en savoir davantage surl'autorité). |
Oui |
--cert-password |
Mot de passe du certificat d'agent. |
Oui |
--cert-auth-password |
Mot de passe de l'autorité de certification. |
Oui (si utilisé) |
--skip-license |
En cours de l'installation, aucune confirmation de de la licence d'utilisation du logiciel ne sera demandée à l'utilisateur. |
Non |
--cert-content |
Le contenu encodé Base64 du certificat encodé de la clé publique PKCS12, en plus de la clé privée utilisée pour configurer des canaux de communication sécuritaires avec le serveur et les Agents. Utilisez seulement l'une des options --cert-path ou --cert-content. |
Non |
--cert-auth-content |
Contenu encodé Base64 du certificat de la clé privée du certificat d'autorité encodé DER utilisé pour vérifier les homologues à distance (mandataire ou serveur). Utilisez seulement l'une des options --cert-auth-path ou --cert-auth-content. |
Non |
--proxy-hostname |
Nom d'hôte du mandataire. Utilisez ce paramètre pour activer l'utilisation du mandataire HTTP (déjà installé sur votre réseau) pour la réplication entre l'agent ESET Management et le serveur ESET PROTECT (pas pour la mise en cache des mises à jour). |
Si le mandataire est utilisé |
--proxy-port |
Port du mandataire HTTP pour la connexion au serveur. |
Si le mandataire est utilisé |
--enable-imp-program |
Activez le programme d'amélioration de produit. |
Non |
--disable-imp-program |
Désactivez le programme d'amélioration de produit. |
Non |
Connexion et certificats
•Une connexion au serveur ESET PROTECT doit être fournie : --hostname, --port (le port n'est pas nécessaire si l'enregistrement du service est fourni, la valeur par défaut du port est 2222)
•Fournir les renseignements de certificat pour une Installation hors ligne : --cert-path, --cert-password. Les paramètres d'installation --cert-path et --cert-auth-path requièrent les fichiers de certification (.pfx et .der) qui peuvent être exportés de la console Web ESET PROTECT. (Découvrez comment exporter le fichier .pfx et le fichier .der).)
Paramètres de type mot de passe
Les paramètres de type mot de passe peuvent être fournis en tant que variables de l'environnement ou en tant que fichiers et peuvent être lus à partir de stdin ou fournis sous forme de texte brut. C'est à dire :
--password=env:SECRET_PASSWORD où SECRET_PASSWORD est une variable de l'environnement avec un mot de passe
--password=file:/opt/secret où la première ligne du fichier /opt/secret contient votre mot de passe
--password=stdindonne l'instruction au programme d'installation de lire le mot de passe à partir d'une entrée standard
--password="pass:PASSWORD" est égal à --password="PASSWORD" et est obligatoire si le mot de passe actuel est "stdin" (entrée standard) ou une chaîne qui commence par "env:", "file:" ou "pass:"
|
•La phrase secrète du certificat ne doit pas contenir les caractères suivants : " \ Ces caractères provoquent une erreur critique lors de l’initialisation de l’agent. •Le mot de passe doit contenir au moins 10 caractères appartenant à au moins trois des catégories suivantes : lettres minuscules, lettres majuscules, chiffres ou caractères spéciaux. Nous recommandons d’utiliser un mot de passe comportant au moins 12 caractères. |
Connexion mandataire HTTP
Si vous utilisez le proxy HTTP pour la reproduction entre l’agent ESET Management et le serveur ESET PROTECT (pas pour la mise en cache des mises à jour), vous pouvez spécifier les paramètres de connexion dans --proxy-hostname et --proxy-port.
EXEMPLE : Installation de l'agent hors connexion avec une connexion mandataire HTTP
./agent-linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 \ --proxy-hostname=10.1.180.3 \ --proxy-port=3333 \ |
|
Le protocole de communication entre l'agent et ESET PROTECT le serveur ne prend pas en charge l'authentification. Toute solution mandataire servant à transmettre les communications de l'agent au serveur ESET PROTECT et nécessitant une authentification ne fonctionnera pas. Si vous choisissez d'utiliser un autre port que celui par défaut pour la console Web ou l'agent, vous devrez peut être modifier le pare-feu. Sinon, l'installation peut échouer. |
Mettre à niveau et réparer l'installation de l'agent sous Linux
Si vous exécutez l'installation de l'agent manuellement sur un système sur lequel l'agent est déjà installé, les scénarios suivants peuvent se produire :
•Mettre à niveau - permet d'exécuter une version plus récente du programme d’installation. L’agent est mis à niveau, et de nouveaux certificats sont utilisés.
•Réparer - permet d'exécuter la même version du programme d’installation. Vous pouvez utiliser cette option pour migrer l’agent vers un autre serveur ESET PROTECT. L’agent est réinstallé, et de nouveaux certificats sont utilisés.