Installation de l'Agent - Linux
Conditions préalables requises :
•Il est recommandé d'utiliser la dernière version de OpenSSL 1.1.1. OpenSSL 3.x n'est pas pris en charge. La version minimale d'OpenSSL prise en charge pour Linux est openssl-1.0.1e-30. D'autres versions d'OpenSSL peuvent être installées simultanément sur un même système. Au moins une version prise en charge doit être présente sur votre système.
oUtilisez la commande openssl version pour afficher la version par défaut actuelle.
oVous pouvez répertorier toutes les versions d'OpenSSL présentes sur votre système. Affichez les fins des noms de fichier à l'aide de la commande sudo find / -iname *libcrypto.so*
oVous pouvez vérifier si le client Linux est compatible à l'aide de la commande suivante : openssl s_client -connect google.com:443 -tls1_2
•Installez le package lshw sur l’ordinateur client/serveur Linux pour qu'ESET Management Agent puisse correctement indiquer l'inventaire matériel.
Distribution Linux |
Commande Terminal |
---|---|
Debian, Ubuntu |
sudo apt-get install -y lshw |
Red Hat, CentOS, RHEL |
sudo yum install -y lshw |
OpenSUSE |
sudo zypper install lshw |
• Pour Linux CentOS, il est recommandé d’installer le package policycoreutils-devel. Pour installer le package, exécutez la commande suivante :
yum install policycoreutils-devel
•Installation d'agent assistée du serveur:
oL'ordinateur serveur doit être accessible depuis le réseau, et ESET PROTECT Server et ESET PROTECT Web Console doivent être installés.
•Installation d'agent hors connexion:
oL'ordinateur serveur doit être accessible depuis le réseau, et ESET PROTECT Server doit être installé.
oUn certificat pour l’Agent doit exister.
oUn fichier de clé publique de l’autorité de certification du serveur doit exister.
Installation
Pour installer le composant ESET Management Agent sous Linux à l'aide d'une commande de terminal, procédez comme suit :
Veillez à remplir toutes les conditions préalables requises pour l’installation répertoriées ci-dessus. |
1.Téléchargez le script d’installation de l’agent :
wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh |
2.Rendez le fichier exécutable :
chmod +x agent-linux-x86_64.sh
3.Exécutez le script d'installation en vous basant sur l'exemple suivant (les nouvelles lignes sont séparées par une barre « \ » pour copier la commande intégrale dans le terminal) :
Pour plus d'informations, voir la section Paramètres ci-dessous. |
Installation assistée du serveur sudo ./agent-linux-x86_64.sh \ |
Installation hors connexion sudo ./agent-linux-x86_64.sh \ |
ESET recommande de supprimer les commandes contenant des données sensibles (un mot de passe, par exemple) de l’historique de la ligne de commande : 1.Exécutez history pour afficher la liste de toutes les commandes de l’historique. 2.Exécutez history -d line_number (spécifiez le numéro de ligne de la commande). Vous pouvez également exécuter history -c pour supprimer l’historique complet de la ligne de commande. |
4.Lorsque vous y êtes invité, appuyez sur y pour accepter le certificat. Vous pouvez ignorer les erreurs SELinux renvoyées par le programme d’installation.
5.Après l’installation, vérifiez que le service ESET Management Agent est en cours d’exécution :
sudo systemctl status eraagent
6.Définissez le service eraagent pour qu'il soit lancé au démarrage : sudo systemctl enable eraagent
Journal du programme d'installation Le journal du programme d’installation peut s’avérer utile pour résoudre des problèmes. Il se trouve dans Fichiers journaux. |
Paramètres
La connexion à ESET PROTECT Server est résolue à l'aide des paramètres --hostname et --port (le port n'est pas utilisé lorsqu'un enregistrement SRV est fourni). Formats de connexion possibles.
Attribut |
Description |
Requis |
|||
---|---|---|---|---|---|
--hostname |
Nom d'hôte ou adresse IP d'ESET PROTECT Server auquel se connecter. |
Oui |
|||
--port |
Port de ESET PROTECT Server (2222 par défaut) |
Oui |
|||
--cert-path |
Chemin d'accès local au fichier de certificat de l'Agent (plus d'informations sur le certificat). |
Oui (hors ligne) |
|||
--cert-auth-path |
Chemin d'accès au fichier d'autorité de certification du serveur (plus d'informations sur l'autorité). |
Oui (hors ligne) |
|||
--cert-password |
Mot de passe du certificat de l'Agent. |
Oui (hors ligne) |
|||
--cert-auth-password |
Mot de passe de l'autorité de certification. |
Oui (si utilisé) |
|||
--skip-license |
L'installation ne demande pas à l'utilisateur de confirmer le contrat de licence. |
Non |
|||
--cert-content |
Contenu codé en Base64 du certificat de clé publique codée PKCS12 et clé privée utilisée pour configurer des canaux de communication sécurisés entre le serveur et les Agents. Utilisez uniquement l'une des options --cert-path ou --cert-content. |
Non |
|||
--cert-auth-content |
Contenu codé en Base64 du certificat de clé privé de l'autorité de certification codée DER utilisé pour vérifier les homologues distants (proxy ou serveur). Utilisez uniquement l'une des options --cert-auth-path ou --cert-auth-content. |
Non |
|||
--webconsole-hostname |
Nom d'hôte ou adresse IP utilisés par la console Web pour se connecter au serveur (si cet attribut n'est pas défini, le programme d'installation copie la valeur depuis 'hostname'). |
Non |
|||
--webconsole-port |
Port utilisé par la console Web pour se connecter au serveur (2223, par défaut). |
Non |
|||
--webconsole-user |
Nom d'utilisateur utilisé par la console Web pour se connecter au serveur (Administrator, par défaut).
|
Non |
|||
--webconsole-password |
Mot de passe utilisé par la console Web pour se connecter au serveur. |
Oui (assisté pour le serveur) |
|||
--proxy-hostname |
Nom de l'hôte du proxy HTTP. Utilisez ce paramètre pour activer l'utilisation du proxy HTTP (déjà installé sur votre réseau) pour la réplication entre ESET Management Agent et ESET PROTECT Server (et non pour la mise en cache des mises à jour). |
Si le proxy est utilisé |
|||
--proxy-port |
Port du proxy HTTP pour se connecter au serveur. |
Si le proxy est utilisé |
|||
--enable-imp-program |
Activer le programme d'amélioration du produit. |
Non |
|||
--disable-imp-program |
Désactiver le programme d'amélioration du produit. |
Non |
Connexion et certificats
•Les informations de connexion à ESET PROTECT Server doivent être fournies : --hostname, --port (le port n'est pas nécessaire si l'enregistrement de service a été fourni ; la valeur par défaut est 2222)
•Fournissez ces informations de connexion pour l'installation assistée du serveur : --webconsole-port, --webconsole-user, --webconsole-password
•Fournissez les informations de certificat pour l'installation hors connexion : --cert-path, --cert-password Les paramètres d'installation --cert-path et --cert-auth-path nécessitent des fichiers de certification (.pfx et .der) qui peuvent être exportés depuis la console Web ESET PROTECT Web Console. (Consultez les informations sur l'exportation du fichier .pfx et le fichier .der.)
Paramètres de type de mot de passe
Les paramètres de type de mot de passe peuvent être fournis en tant que variables d'environnement, fichiers, lecture à partir de stdin ou texte brut.
--password=env:SECRET_PASSWORD, où SECRET_PASSWORD correspond à une variable d'environnement avec un mot de passe
--password=file:/opt/secret, où la première ligne de fichier régulier /opt/secret contient le mot de passe
--password=stdin donne l'instruction au programme d'installation de lire le mot de passe à partir de l'entrée standard
--password="pass:PASSWORD" équivaut à --password="PASSWORD" et est obligatoire si le mot de passe est "stdin" (entrée standard) ou une chaîne commençant par "env:", "file:" ou "pass:"
La phrase secrète du certificat ne doit pas contenir les caractères suivants : " \ Ces caractères peuvent entraîner une erreur critique lors de l'initialisation de l'Agent. |
Connexion au proxy HTTP
Si vous utilisez le proxy HTTP pour la réplication entre ESET Management Agent et ESET PROTECT Server (et non pour la mise en cache des mises à jour), vous pouvez spécifier les paramètres de connexion dans --proxy-hostname et --proxy-port.
Exemple - installation de l'Agent hors ligne avec une connexion au proxy HTTP ./agent-linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 \ --proxy-hostname=10.1.180.3 \ --proxy-port=3333 \ |
Le protocole de communication entre l'Agent et ESET PROTECT Server ne prend pas en charge l'authentification. Toute solution de proxy utilisée pour transférer les communications de l'Agent à ESET PROTECT Server qui demande une authentification ne fonctionnera pas. Si vous choisissez d'utiliser un port autre que celui par défaut pour la console Web ou l'Agent, un ajustement du pare-feu peut être nécessaire. Sinon, l'installation peut ne pas réussir. |
Mise à niveau et réparation de l'Agent sur Linux
Si vous effectuez manuellement l'installation de l'Agent sur un système sur lequel il est déjà installé, les situations suivantes peuvent avoir lieu :
•Mise à niveau : permet d'exécuter une version ultérieure du programme d’installation.
oInstallation assistée du serveur : l'application est mise à niveau, mais elle conserve les certificats précédents.
oInstallation hors connexion : l'application est mise à niveau et de nouveaux certificats sont utilisés.
•Réparation : permet d'exécuter la même version du programme d’installation. Vous pouvez utiliser cette option pour migrer l’Agent vers un autre serveur ESET PROTECT Server.
oInstallation assistée du serveur : l'application est réinstallée et elle obtiendra des certificats actuels d'ESET PROTECT Server (défini par le paramètre hostname).
oInstallation hors connexion : l'application est réinstallée et de nouveaux certificats sont utilisés.
Si vous effectuez manuellement la migration de l'Agent d'un ancien serveur vers un autre nouvel ESET PROTECT Server et que vous utilisez l'option d'installation assistée du serveur, exécutez deux fois la commande d'installation. Le première commande met à niveau l'Agent et la seconde permet d'obtenir les nouveaux certificats de sorte que l'Agent puisse se connecter à ESET PROTECT Server.