Інсталяція агента – Linux
Попередні вимоги відсутні
•Рекомендуємо використовувати останню версію OpenSSL1.1.1. Агент ESET Management також підтримує OpenSSL 3.x. Мінімально підтримувана версія OpenSSL для Linux: openssl-1.0.1e-30. У системі одночасно може бути інстальовано більше версій OpenSSL. Принаймні одна з них має бути підтримуваною.
oВикористовуйте команду openssl version, щоб вивести поточну версію за замовчуванням.
oВи можете переглянути перелік усіх версій OpenSSL, інстальованих у системі. Щоб вивести список закінчень імен файлів, виконайте команду sudo find / -iname *libcrypto.so*
oЩоб перевірити, чи підтримує ваш клієнт Linux цю функцію, використайте таку команду: openssl s_client -connect google.com:443 -tls1_2
|
OpenSSL 3.x підтримки •Агент ESET Management підтримує OpenSSL 3.x. •Сервер ESET PROTECT не підтримує OpenSSL 3.x, проте можна ввімкнути підтримку OpenSSL 3.x для ESET PROTECT On-Prem. |
•Інсталюйте пакет lshw на сервер або клієнт комп’ютера з Linux, щоб агент ESET Management міг створювати правильні звіти про інвентаризацію обладнання.
Дистрибутив Linux |
Команда термінала |
|---|---|
Debian, Ubuntu |
sudo apt-get install -y lshw |
Red Hat |
sudo yum install -y lshw |
OpenSUSE |
sudo zypper install lshw |
• У Linux CentOS рекомендуємо інсталювати пакет policycoreutils-devel. Для цього виконайте таку команду:
yum install policycoreutils-devel
•Необхідно забезпечити можливість підключення до комп’ютера до сервера з мережі. Крім того, на ньому має бути інстальовано сервер ESET PROTECT.
•Також слід підготувати сертифікат агента.
•Крім того, потрібен файл відкритого ключа центру сертифікації сервера.
Інсталяція
Дотримуйтеся наведених нижче інструкцій, щоб інсталювати агент ESET Management у Linux за допомогою команди термінала:
|
Мають бути дотримані всі вказані вище попередні вимоги щодо інсталяції. |
1.Завантажте сценарій інсталяції агента:
wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh |
2.Зробіть файл виконуваним:
chmod +x agent-linux-x86_64.sh
3.Запустіть сценарій інсталяції на основі наведеного нижче прикладу (Нові рядки розділяються символом "\", що дає змогу скопіювати всю команду в Terminal):
|
Докладніше див. в розділі Параметри нижче. |
|
Агент ESET Management 12.0 і новішої версії більше не підтримують інсталяцію за допомогою сервера. |
Інсталяція в автономному режимі:
sudo ./agent-linux-x86_64.sh \ |
|
Рекомендуємо видалити з історії командного рядка команди, які містять конфіденційні дані (наприклад, пароль): 1.Запустіть history, щоб переглянути список усіх команд в історії. 2.Запустіть history -d line_number (укажіть номер рядка команди). Окрім того, можна запустити history -c, щоб видалити всю історію командного рядка. |
4.Коли з’явиться запит, натисніть y, щоб прийняти сертифікат. Можна ігнорувати будь-які помилки щодо SELinux, які повертає інсталятор.
5.Після інсталяції переконайтеся, що служба агента ESET Management працює:
sudo systemctl status eraagent
6.Налаштуйте службу eraagent для запуску під час завантаження: sudo systemctl enable eraagent
|
Журнал інсталятора Журнал інсталятора може стати в пригоді для виправлення неполадок. Він доступний у розділі Файли журналу. |
Параметри:
Підключення до сервера ESET PROTECT налаштовується за допомогою параметрів --hostname та --port (за наявності запису SRV порт не використовується). 
Можливі формати підключення.
Атрибут |
Опис |
Потрібно |
|---|---|---|
--hostname |
IP-адреса або ім’я хоста сервера ESET PROTECT для підключення. |
Так |
--port |
Порт сервера ESET PROTECT (за замовчуванням: 2222). |
Так |
--cert-path |
Локальний шлях до файлу сертифіката агента (див. докладніше про сертифікат). |
Так |
--cert-auth-path |
Шлях до файлу Центру сертифікації сервера (див. докладніше про центр). |
Так |
--cert-password |
Пароль сертифіката агента. |
Так |
--cert-auth-password |
Пароль Центру сертифікації. |
Да (якщо використовується) |
--skip-license |
Інсталятор не просить користувача підтвердити ліцензійну угоду. |
Ні |
--cert-content |
Для налаштування захищених каналів зв’язку із сервером і агентами використовується зашифрований вміст у форматі Base64 зашифрованого сертифіката відкритого ключа у форматі PKCS12 та приватний ключ. Використовуйте лише один із параметрів: --cert-path або --cert-content. |
Ні |
--cert-auth-content |
Для перевірки віддалених вузлів (проксі-сервера або звичайного сервера) використовується зашифрований вміст у форматі Base64 зашифрованого сертифіката приватного ключа у форматі DER. Використовуйте лише один із параметрів: --cert-auth-path або --cert-auth-content. |
Ні |
--proxy-hostname |
Ім’я хоста проксі-сервера HTTP. Використовуйте цей параметр, щоб використовувати протокол HTTP (уже інстальований у вашій мережі) для реплікації між агентом ESET Management і сервером ESET PROTECT (а не для кешування оновлень). |
Якщо використовується проксі-сервер |
--proxy-port |
Порт проксі-сервера HTTP для підключення до сервера. |
Якщо використовується проксі-сервер |
--enable-imp-program |
Увімкнути програму удосконалення продуктів. |
Ні |
--disable-imp-program |
Вимкнути програму удосконалення продуктів. |
Ні |
Підключення та сертифікати
•Необхідно встановити з’єднання із сервером ESET PROTECT: --hostname, --port (за наявності запису служби вказувати порт не потрібно, порт за замовчуванням: 2222)
•Для інсталяції в автономному режимі надайте дані про сертифікат: --cert-path, --cert-password. Для використання параметрів інсталяції --cert-path і --cert-auth-path потрібні файли сертифікатів (.pfx та .der), які можна експортувати з веб-консолі ESET PROTECT. (Ознайомтеся з інструкціями щодо експорту файлів .pfx і .der.)***
Параметри типу пароля
Параметри типу пароля можна задати за допомогою змінних середовища чи файлів, зчитати stdin або надати у вигляді тексту. Перелік параметрів:
--password=env:SECRET_PASSWORD, де SECRET_PASSWORD — це змінна середовища з паролем
--password=file:/opt/secret, де перший рядок звичайного файлу /opt/secret містить ваш пароль;
--password=stdin вказує інсталятору зчитати пароль зі стандартного вводу;
--password="pass:PASSWORD" є аналогом --password="PASSWORD". Цей параметр необхідно використовувати, якщо для пароля використовується значення "stdin" (стандартне введення) або рядок, що починається з "env:" "file:" чи "pass:"
|
•Парольна фраза сертифіката не може містити такі символи: " \ Ці символи спричиняють критичну помилку під час ініціалізації агента. •Пароль має містити не менше 10 символів із трьох категорій: малі літери, великі літери, цифри або спеціальні символи. Рекомендуємо використовувати пароль, що складається не менше ніж із 12 символів. |
Підключення до проксі-сервера HTTP
Якщо проксі-сервер HTTP використовується для реплікації між агентом ESET Management і сервером ESET PROTECT (а не для кешування оновлень), можна вказати параметри підключення --proxy-hostname і --proxy-port.
ПРИКЛАД – інсталяція агента в автономному режимі за допомогою проксі-сервера HTTP:
./agent-linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 \ --proxy-hostname=10.1.180.3 \ --proxy-port=3333 \ |
|
Протокол обміну даними між агентом і сервером ESET PROTECT не підтримує автентифікацію. Проксі-сервер, який використовується для перенаправлення даних агента на сервер ESET PROTECT, для якого потрібна автентифікація, не працюватиме. Якщо ви не виберете порт для веб-консолі або агента за замовчуванням, можливо, потрібно буде налаштувати брандмауер відповідним чином. В іншому разі інсталяція може закінчитися невдало. |
Оновлення та виправлення агента в Linux
Якщо вручну запустити інсталяцію агента в системі, де вже встановлено агента, можливі такі сценарії:
•Оновлення: запускається новіша версія інсталятора. Агент оновлено, і використовуються нові сертифікати.
•Виправлення: запускається інсталятор тієї ж самої версії. Цей параметр можна використовувати для перенесення агента на інший сервер ESET PROTECT. Агент інстальовано повторно, і використовуються нові сертифікати.