本文介绍管理员在Ubuntu上部署面向终端的AMP Linux连接器时可采取的更改和步骤。
最低操作系统要求
有关Ubuntu上的OS兼容性,请参阅面向终端的AMP的Linux连接器OS兼容性文章中的“Ubuntu LTS”表。
环境设置
Ubuntu上的面向终端的AMP Linux连接器使用eBPF进行文件和网络监控。计算机必须安装正确的linux-headers软件包,否则连接器将引发故障11(缺少系统依赖项),并在不进行文件和网络监控的情况下以降级状态运行。有关解决此故障的指导,请参阅《Linux内核级故障》一文的部分。
依赖项
面向终端的AMP Linux连接器取决于Ubuntu基本安装中包含的系统软件包。当系统上不存在这些包时,将显示以下错误消息:
ciscoampconnector depends on rsyslog; however:
Package rsyslog is not installed.
使用以下命令安装面向终端的AMP Linux连接器所需的依赖项:
sudo apt install rsyslog logrotate cron libpcre2-8-0
验证DEB包
面向终端的AMP Linux连接器Ubuntu DEB软件包包含用于验证下载的软件包是否属于思科的签名。
下载DEB包
访问面向终端的AMP控制台。
下载Ubuntu的DEB包。
将DEB包传输到Ubuntu计算机。例如:amp_ciscoampconnector.deb
检索GPG公钥
单击“显示GPG公钥”按钮,如下图所示。
下载并传输公钥,或将公钥复制到Ubuntu计算机。例如:cisco.gpg
验证DEB包
DEB软件包使用调试工具签名,可以使用调试验证进行验证。
安装拆卸验证工具。 sudo apt-get install debsig-verify
将Cisco GPG公钥导入调试密钥环。 sudo mkdir -p /usr/share/debsig/keyrings/914E5BE0F2FD178F
sudo gpg --dearmor --output /usr/share/debsig/keyrings/914E5BE0F2FD178F/debsig.gpg cisco.gpg
创建策略目录。 sudo mkdir -p /etc/debsig/policies/914E5BE0F2FD178F
将以下策略内容复制到新文件“/etc/debsig/policies/914E5BE0F2FD178F/ciscoampconnector.pol”中。
使用debsig-verify验证DEB签名。 debsig-verify amp_ciscoampconnector.deb
输出应如下所示: debsig: Verified package from 'Cisco AMP for Endpoints' (Debsig)
注意:对于从面向终端的AMP控制台下载的任何Ubuntu软件包,可以重复第5步。
安装
要安装连接器,请执行以下命令,其中[deb package]是文件的名称,例如amp_test.deb:
sudo dpkg -i [deb package]
重要!如果您在环境中运行其他安全产品,他们可能会将面向终端的AMP连接器安装程序检测为威胁。要成功安装连接器,请将AMP添加到允许的列表或排除其他安全产品中的AMP,然后重试。
重要!在连接器安装期间,系统上会创建名为cisco-amp-scan-svc的用户和组。如果此用户或组已存在,但配置方式不同,则安装程序将尝试删除这些用户或组,然后使用必要的配置重新创建它们。如果无法使用必要的配置创建用户和组,安装程序将失败。
卸载
要卸载面向终端的AMP的Linux连接器,请执行以下命令:
sudo dpkg --remove ciscoampconnector
注意:这将保留本地数据,包括历史记录、隔离的文件以及cisco-amp-scan-svc用户和组。如果您不打算重新安装连接器并想删除其余文件,请运行以下命令:
sudo dpkg --purge ciscoampconnector
注意:使用Ubuntu软件中心卸载适用于终端Linux连接器的AMP也会保留本地数据。
修订历史纪录
2020年12月10日
初始版本
1524
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
