Інсталяція агента – Linux
Попередні вимоги відсутні
•Рекомендуємо використовувати найновішу версію OpenSSL 1.1.1. OpenSSL 3.x не підтримується. Мінімально підтримувана версія OpenSSL для Linux: openssl-1.0.1e-30. У системі одночасно може бути інстальовано більше версій OpenSSL. Принаймні одна з них має бути підтримуваною.
oВикористовуйте команду openssl version, щоб вивести поточну версію за замовчуванням.
oВи можете переглянути перелік усіх версій OpenSSL, інстальованих у системі. Щоб вивести список закінчень імен файлів, виконайте команду sudo find / -iname *libcrypto.so*
oЩоб перевірити, чи підтримує ваш клієнт Linux цю функцію, використайте таку команду: openssl s_client -connect google.com:443 -tls1_2
•: інсталюйте пакет lshw на комп’ютері клієнта/сервера з Linux, щоб агент ESET Management правильно надіслав повідомлення про інвентар обладнання.
Дистрибутив Linux |
Команда термінала |
---|---|
Debian, Ubuntu |
sudo apt-get install -y lshw |
Red Hat, CentOS, RHEL |
sudo yum install -y lshw |
OpenSUSE |
sudo zypper install lshw |
• У Linux CentOS рекомендуємо інсталювати пакет policycoreutils-devel. Для цього виконайте таку команду:
yum install policycoreutils-devel
•Інсталяція агента з використанням сервера:
oНеобхідно забезпечити можливість підключення до комп’ютера до сервера з мережі. Крім того, на ньому має бути інстальовано сервер ESET PROTECT і веб-консоль ESET PROTECT.
•Інсталяція агента в автономному режимі:
oНеобхідно забезпечити можливість підключення до комп’ютера до сервера з мережі. Крім того, на ньому має бути інстальовано сервер ESET PROTECT.
oТакож слід підготувати сертифікат агента.
oКрім того, потрібен файл відкритого ключа центру сертифікації сервера.
Інсталяція
Дотримуйтеся наведених нижче інструкцій, щоб інсталювати агент ESET Management у Linux за допомогою команди термінала:
Мають бути дотримані всі вказані вище попередні вимоги щодо інсталяції. |
1.Завантажте сценарій інсталяції агента:
wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh |
2.Зробіть файл виконуваним:
chmod +x agent-linux-x86_64.sh
3.Запустіть сценарій інсталяції на основі наведеного нижче прикладу (Нові рядки розділяються символом "\", що дає змогу скопіювати всю команду в Terminal):
Докладніше див. в розділі Параметри нижче. |
Інсталяція з використанням сервера sudo ./agent-linux-x86_64.sh \ |
Інсталяція в автономному режимі sudo ./agent-linux-x86_64.sh \ |
ESET рекомендує видалити з історії командного рядка команди, що містять важливі дані (наприклад, пароль): 1.Запустіть history, щоб переглянути список усіх команд в історії. 2.Запустіть history -d line_number (укажіть номер рядка команди). Окрім того, можна запустити history -c, щоб видалити всю історію командного рядка. |
4.Коли з’явиться запит, натисніть y, щоб прийняти сертифікат. Можна ігнорувати будь-які помилки щодо SELinux, які повертає інсталятор.
5.Після інсталяції переконайтеся, що служба агента ESET Management працює:
sudo systemctl status eraagent
6.Налаштуйте службу eraagent для запуску під час завантаження: sudo systemctl enable eraagent
Журнал інсталятора Журнал інсталятора може стати в пригоді для виправлення неполадок. Він доступний у розділі Файли журналу. |
Параметри:
Підключення до сервера ESET PROTECT налаштовується за допомогою параметрів --hostname та --port (за наявності запису SRV порт не використовується). Можливі формати підключення.
Атрибут |
Опис |
Потрібно |
|||
---|---|---|---|---|---|
--hostname |
IP-адреса або ім’я хоста сервера ESET PROTECT для підключення. |
Так |
|||
--port |
Порт сервера ESET PROTECT (за замовчуванням: 2222). |
Так |
|||
--cert-path |
Локальний шлях до файлу сертифіката агента (див. докладніше про сертифікат). |
Так (в автономному режимі) |
|||
--cert-auth-path |
Шлях до файлу Центру сертифікації сервера (див. докладніше про центр). |
Так (в автономному режимі) |
|||
--cert-password |
Пароль сертифіката агента. |
Так (в автономному режимі) |
|||
--cert-auth-password |
Пароль Центру сертифікації. |
Да (якщо використовується) |
|||
--skip-license |
Інсталятор не просить користувача підтвердити ліцензійну угоду. |
Ні |
|||
--cert-content |
Для налаштування захищених каналів зв’язку із сервером і агентами використовується зашифрований вміст у форматі Base64 зашифрованого сертифіката відкритого ключа у форматі PKCS12 та приватний ключ. Використовуйте лише один із параметрів: --cert-path або --cert-content. |
Ні |
|||
--cert-auth-content |
Для перевірки віддалених вузлів (проксі-сервера або звичайного сервера) використовується зашифрований вміст у форматі Base64 зашифрованого сертифіката приватного ключа у форматі DER. Використовуйте лише один із параметрів: --cert-auth-path або --cert-auth-content. |
Ні |
|||
--webconsole-hostname |
Ім’я хоста або IP-адреса, що використовуються у веб-консолі для підключення до сервера (якщо залишити це поле порожнім, його значення буде скопійовано з поля "hostname"). |
Ні |
|||
--webconsole-port |
Порт, який використовує веб-консоль для підключення до сервера (значення за замовчуванням – 2223). |
Ні |
|||
--webconsole-user |
Ім’я користувача, яке використовує веб-консоль для підключення до сервера (значення за замовчуванням – Administrator).
|
Ні |
|||
--webconsole-password |
Пароль, який використовує веб-консоль для підключення до сервера. |
Так (із використанням сервера) |
|||
--proxy-hostname |
Ім’я хоста проксі-сервера HTTP. Використовуйте цей параметр, щоб використовувати протокол HTTP (уже інстальований у вашій мережі) для реплікації між агентом ESET Management і сервером ESET PROTECT (а не для кешування оновлень). |
Якщо використовується проксі-сервер |
|||
--proxy-port |
Порт проксі-сервера HTTP для підключення до сервера. |
Якщо використовується проксі-сервер |
|||
--enable-imp-program |
Увімкнути програму удосконалення продуктів. |
Ні |
|||
--disable-imp-program |
Вимкнути програму удосконалення продуктів. |
Ні |
Підключення та сертифікати
•Необхідно встановити з’єднання із сервером ESET PROTECT: --hostname, --port (за наявності запису служби вказувати порт не потрібно, порт за замовчуванням: 2222)
•Для інсталяції з використанням сервера надайте наступні дані для підключення: --webconsole-port, --webconsole-user, --webconsole-password
•Для інсталяції в автономному режимі надайте дані про сертифікат: --cert-path, --cert-password. Для використання параметрів інсталяції --cert-path і --cert-auth-path потрібні файли сертифікатів (.pfx та .der), які можна експортувати з веб-консолі ESET PROTECT. (Ознайомтеся з інструкціями щодо експорту файлів .pfx і .der.)***
Параметри типу пароля
Параметри типу пароля можна задати за допомогою змінних середовища чи файлів, зчитати stdin або надати у вигляді тексту. Перелік параметрів:
--password=env:SECRET_PASSWORD, де SECRET_PASSWORD — це змінна середовища з паролем
--password=file:/opt/secret, де перший рядок звичайного файлу /opt/secret містить ваш пароль;
--password=stdin вказує інсталятору зчитати пароль зі стандартного вводу;
--password="pass:PASSWORD" є аналогом --password="PASSWORD". Цей параметр необхідно використовувати, якщо для пароля використовується значення "stdin" (стандартне введення) або рядок, що починається з "env:" "file:" чи "pass:"
Парольна фраза сертифіката не може містити такі символи: " \ Ці символи спричиняють критичну помилку під час ініціалізації агента. |
Підключення до проксі-сервера HTTP
Якщо проксі-сервер HTTP використовується для реплікації між агентом ESET Management і сервером ESET PROTECT (а не для кешування оновлень), можна вказати параметри підключення --proxy-hostname і --proxy-port.
ПРИКЛАД – інсталяція агента в автономному режимі за допомогою проксі-сервера HTTP ./agent-linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 \ --proxy-hostname=10.1.180.3 \ --proxy-port=3333 \ |
Протокол обміну даними між агентом і сервером ESET PROTECT не підтримує автентифікацію. Проксі-сервер, який використовується для перенаправлення даних агента на сервер ESET PROTECT, для якого потрібна автентифікація, не працюватиме. Якщо ви не виберете порт для веб-консолі або агента за замовчуванням, можливо, потрібно буде налаштувати брандмауер відповідним чином. В іншому разі інсталяція може закінчитися невдало. |
Оновлення та виправлення агента в Linux
Якщо вручну запустити інсталяцію агента в системі, де вже встановлено агента, можливі такі сценарії:
•Оновлення: запускається новіша версія інсталятора.
oІнсталяція з використанням сервера – програма оновлюється, але зберігає попередні сертифікати.
oІнсталяція в автономному режимі – програма оновлюється, після чого використовуються нові сертифікати.
•Виправлення: запускається інсталятор тієї ж самої версії. Цей параметр можна використовувати для перенесення агента на інший сервер ESET PROTECT.
oІнсталяція з використанням сервера – програма інсталюється повторно й отримує поточні сертифікати із сервера ESET PROTECT (згідно з параметром hostname).
oІнсталяція в автономному режимі – програма інсталюється повторно, після чого використовуються нові сертифікати.
Якщо ви виконуєте міграцію агента на більшу нову версію сервера ESET PROTECT та використовуєте інсталяцію з використанням сервера, команду інсталяції необхідно запускати двічі. Перша команда оновить агент, а друга — отримає нові сертифікати, які дадуть змогу агенту підключитися до сервера ESET PROTECT.