服务器代理安装 - Linux
先决条件
•我们建议您使用最新版本的 OpenSSL1.1.1。ESET Management 服务器代理还支持 OpenSSL 3.x。适用于 Linux 的 OpenSSL 的受支持最低版本为 openssl-1.0.1e-30。一个系统中可以同时安装有多个版本的 OpenSSL。您的系统中必须存在至少一个受支持的版本。
o使用命令 openssl version 来显示当前的默认版本。
o可以列出您系统上存在的所有版本的 OpenSSL。请查看使用命令 sudo find / -iname *libcrypto.so* 列出的文件名结尾
o您可以使用以下命令检查您的 Linux 客户端是否兼容:openssl s_client -connect google.com:443 -tls1_2
|
OpenSSL 3.x 支持 •ESET Management 服务器代理支持 OpenSSL 3.x。 •ESET PROTECT 服务器本身不支持 OpenSSL 3.x,但可以启用对 ESET PROTECT On-Prem 的 OpenSSL 3.x 支持。 |
•在客户端/服务器 Linux 计算机上安装 lshw 程序包,才能使 ESET Management 服务器代理能够正确报告硬件清单。
Linux 发行版 |
终端命令 |
|---|---|
Debian, Ubuntu |
sudo apt-get install -y lshw |
Red Hat |
sudo yum install -y lshw |
OpenSUSE |
sudo zypper install lshw |
• 对于 Linux CentOS,建议您安装 policycoreutils-devel 程序包。运行命令以安装程序包:
yum install policycoreutils-devel
•服务器计算机必须可以通过网络进行访问,并且已安装 ESET PROTECT 服务器。
•服务器代理的证书必须存在。
•服务器证书颁发机构公钥文件必须存在。
安装
按照下面的步骤使用终端命令在 Linux 上安装 ESET Management 服务器代理组件:
|
确保满足上面列出的所有安装先决条件。 |
1.下载服务器代理安装脚本:
wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent_linux_x86_64.sh |
2.生成该文件的可执行文件:
chmod +x agent_linux_x86_64.sh
3.根据以下示例运行安装脚本(新行由“\”分隔,以便将整个命令复制到终端):
|
有关更多详细信息,请参阅下面的参数。 |
|
ESET Management 服务器代理 12.0 及更高版本不再支持服务器辅助安装。 |
脱机安装:
sudo ./agent_linux_x86_64.sh \ |
|
建议您从命令行历史记录中删除包含敏感数据(例如,密码)的命令: 1.运行 history 以查看历史记录中所有命令的列表。 2.运行 history -d line_number(指定命令的行号)。或者,运行 history -c 以删除整个命令行历史记录。 |
4.出现提示时,按 y 以接受证书。可以忽略安装程序返回的任何有关 SELinux 的错误。
5.在安装后,请验证 ESET Management 服务器代理服务是否正在运行:
sudo systemctl status eraagent
6.将 eraagent 服务设置为系统启动时启动:sudo systemctl enable eraagent
|
安装程序日志 安装程序日志可能有助于故障排除。可以在日志文件中找到它。 |
参数
使用参数 --hostname 和 --port(在提供 SRV 记录时不使用端口)解析 ESET PROTECT 服务器连接。
可能的连接格式.
属性 |
说明 |
必需 |
|---|---|---|
--hostname |
要连接的 ESET PROTECT 服务器的主机名或 IP 地址。 |
是 |
--port |
ESET PROTECT () 服务器端口(默认值为 2222)。 |
是 |
--cert-path |
服务器代理证书文件的本地路径(有关证书的详细信息)。 |
是 |
--cert-auth-path |
服务器证书颁发机构文件的路径(有关颁发机构的详细信息)。 |
是 |
--cert-password |
服务器代理证书密码。 |
是 |
--cert-auth-password |
证书颁发机构密码。 |
是(如果已使用) |
--skip-license |
安装不会要求用户进行许可协议确认。 |
否 |
--cert-content |
PKCS12 编码的公钥证书以及私钥的 Base64 编码的内容,用于在服务器和服务器代理之间设置安全通信通道。仅使用 --cert-path 或 --cert-content 选项之一。 |
否 |
--cert-auth-content |
DER 编码的证书颁发机构私钥证书的 Base64 编码的内容,用于验证远程对等(代理或服务器)。仅使用 --cert-auth-path 或 --cert-auth-content 选项之一。 |
否 |
--proxy-hostname |
HTTP 代理主机名。使用此参数以支持将 HTTP 代理(已安装在网络中)用于 ESET Management 服务器代理和 ESET PROTECT 服务器之间的复制(而非用于缓存更新)。 |
如果使用代理 |
--proxy-port |
用于连接到服务器的 HTTP 代理端口。 |
如果使用代理 |
--enable-imp-program |
打开产品改进计划。 |
否 |
--disable-imp-program |
关闭产品改进计划。 |
否 |
连接和证书
•必须提供到 ESET PROTECT 服务器的连接:--hostname, --port(如果提供服务记录,则不需要端口,默认端口值为 2222)
•为脱机安装提供证书信息:--cert-path, --cert-password。安装参数 --cert-path 和 --cert-auth-path 需要证书文件(.pfx 和 .der),这些证书文件可以从 ESET PROTECT Web 控制台导出。(参阅如何导出 .pfx 文件和 .der 文件)
密码类型参数
密码类型参数可作为环境变量、文件提供,可从 stdin 读取或作为纯文本提供。即:
--password=env:SECRET_PASSWORD,其中 SECRET_PASSWORD 是带有密码的环境变量
--password=file:/opt/secret,其中常规文件 /opt/secret 的第一行包含密码
--password=stdin,指示安装程序从标准输入读取密码
--password="pass:PASSWORD" 等同于 --password="PASSWORD",并且前者在实际密码是 "stdin"(标准输入) 或者是以 "env:"、"file:" 或 "pass:" 开头的字符串时为必填项
|
•证书密码中不得包含以下字符:" \ 这些字符在服务器代理初始化期间会导致严重错误。 •密码必须至少包含 10 个字符,并包含三个类别:小写字母、大写字母、数字或特殊字符。建议使用不少于 12 个字符的密码。 |
HTTP 代理连接
如果要将 HTTP 代理用于 ESET Management 服务器代理和 ESET PROTECT 服务器之间的复制(而不是用于缓存更新),可以在 --proxy-hostname 和 --proxy-port 中指定连接参数。
示例 - 使用 HTTP 代理连接的脱机服务器代理安装
./agent_linux_x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 \ --proxy-hostname=10.1.180.3 \ --proxy-port=3333 \ |
|
服务器代理和 ESET PROTECT 服务器之间的通信协议不支持身份验证。任何用于将服务器代理通信转发到需要身份验证的 ESET PROTECT 服务器的代理解决方案将不工作。 如果针对 Web 控制台或服务器代理选择使用非默认端口,可能需要调整防火墙。否则,安装可能会失败。 |
Linux 上服务器代理的升级和修复安装
如果在已安装服务器代理的系统上手动运行服务器代理安装,则可能出现以下情况:
•升级 - 运行更高版本的安装程序。已升级服务器代理并且使用新证书。
•修复 - 运行相同版本的安装程序。可以使用此选项将服务器代理迁移到其他 ESET PROTECT 服务器。已重新安装服务器代理并且使用新证书。