Inleiding

In dit artikel worden de stappen beschreven die beheerders kunnen nemen om de Cisco Secure Endpoint Linux-connector op RPM-gebaseerde en op Debian gebaseerde systemen te implementeren.

Vereisten

Raadpleeg het artikel over de compatibiliteit van Cisco Secure Endpoint Linux Connector voor OS-compatibiliteit.

Raadpleeg de Secure Endpoint Gebruikershandleiding voor de aanbevolen Linux-systeemvereisten.

De Linux-connector implementeren

Het Linux Connector-pakket downloaden

1. Ga in de Secure Endpoint Console naar de pagina Download Connector.
   
2. Selecteer het gewenste Linux-connectorpakket met behulp van de vervolgkeuzelijst "Linux Distribution" om een distributie te kiezen.
   
3. Klik op de knop Downloaden om te beginnen met het downloaden van het geselecteerde pakket.
   
4. Breng het gedownloade pakket naar het eindpunt over.

Controleer het Linux Connector-pakket

De Linux-connector kan worden geïnstalleerd zonder de openbare Cisco GPG-toets. Als u echter van plan bent om connector-updates via beleid te drukken, dan moet u de openbare sleutel op het eindpunt installeren. Voor op RPM gebaseerde distributies importeert u de sleutel in de RPM-database. Voor op Debian gebaseerde distributies importeert u de sleutel in de debsig-sleutelring.

In deze sectie wordt beschreven hoe de openbare Cisco GPG-toets op uw systeem moet worden geïmporteerd en hoe u het gedownloade aansluitpakket met de geïmporteerde sleutel moet verifiëren.

De openbare sleutel van Cisco GPG ophalen

1. Op de pagina Secure Endpoint Console Download Connector selecteert u de koppeling Openbare sleutel tonen in de Linux-sectie.
   
2. De openbare sleutel van Cisco GPG wordt weergegeven in een pop-upvenster. Selecteer Downloaden in deze pop-up om de sleutel naar uw systeem te downloaden. De toets wordt weergegeven als cisco.gpg in uw map Downloads.
   
3. Breng de gedownloade sleutel naar het eindpunt over.

op RPM gebaseerd

Het RPM-pakket is ondertekend en kan worden geverifieerd met de RPM-pakketbeheerder.

1. Importeer de openbare Cisco GPG-toets in de RPM-database.

   sudo rpm --import cisco.gpg
   

2. Controleer of de openbare Cisco GPG-toets is geïnstalleerd.

   rpm -q gpg-pubkey --qf ‘%{name}-%{version}-%{release} --> %{summary}\n’
   

   De volgende openbare sleutel moet worden weergegeven:

   gpg-pubkey-34532611-6477a906 --> Cisco, Inc. <support@cisco.com> public key
   

3. Controleer het Linux-connectorpakket met RPM. Voorbeeld:

   rpm -K amp_Installation_Demo_rhel-centos-8-x86_64.rpm
   

   De volgende uitvoer moet worden weergegeven:

   amp_Installation_Demo_rhel-centos-8-x86_64.rpm: digests signatures OK
   

Debian-gebaseerd

Het Debian-pakket is ondertekend met de Debian-tool voor handtekeningverificatie (debsig) en kan worden geverifieerd met behulp van debsig-verify.

1. Installeer de tool voor debiteren en verifiëren.

   sudo apt-get install debsig-verify
   

2. Importeer de openbare Cisco GPG-toets in de debiteringssleutelring. Opmerking: Vanaf versie 1.17.0 wordt het bestand debsig.gpg automatisch gemaakt, zodat stap 2 kan worden overgeslagen.

   sudo mkdir -p /usr/share/debsig/keyrings/914E5BE0F2FD178F
   sudo gpg --dearmor --output /usr/share/debsig/keyrings/914E5BE0F2FD178F/debsig.gpg cisco.gpg
   

3. Maak de beleidsmap aan.

   sudo mkdir -p /etc/debsig/policies/914E5BE0F2FD178F
   

4. Kopieer de beleidsinhoud hieronder naar een nieuw bestand "/etc/debsig/policies/914E5BE0F2FD178F/ciscoampconnector.pol".

   <?xml version="1.0"?>
   <!DOCTYPE Policy SYSTEM "https://www.debian.org/debsig/1.0/policy.dtd">
   <Policy xmlns="https://www.debian.org/debsig/1.0/">
    <Origin Name="Debsig" id="914E5BE0F2FD178F" Description="Cisco AMP for Endpoints"/>
    <Selection>
        <Required Type="origin" File="debsig.gpg" id="914E5BE0F2FD178F"/>
    </Selection>
    <Verification MinOptional="0">
        <Required Type="origin" File="debsig.gpg" id="914E5BE0F2FD178F"/>
    </Verification>
   </Policy>
   

5. Controleer de handtekening met debishing-verify. Voorbeeld:

   debsig-verify ubuntu-20-04-amd64.deb
   

   De volgende uitvoer moet worden weergegeven:

   debsig: Verified package from 'Cisco AMP for Endpoints' (Debsig)
   

Installeer het Linux Connector-pakket

Installeer de kernelkoppen

De meeste moderne Linux-distributies maken gebruik van kernel-versies die eBPF ondersteunen, die de connector gebruikt om het systeem te controleren. Om de kernel versie van uw eindpunt te bepalen, voer de volgende opdracht uit:

uname -r

Als uw distributieversie overeenkomt met een van de volgende opties, zal de connector eBPF gebruiken voor systeembewaking:

• RPM-gebaseerde distributies met een kernel-versie van 3.10.0-940 of hoger (EL7 / Enterprise Linux 7.9 is de vroegste distributie met deze kernel-versie).
• Debian-gebaseerde distributies met een kernel versie van 4.18 of hoger.

Meer details over het in kaart brengen van de distributie en de kernel versie vindt u hier.

Als eBPF op uw eindpunt wordt ondersteund, moeten de juiste kernel headers worden geïnstalleerd om de connector in staat te stellen het systeem te monitoren. Als uw eindpunt niet de juiste kernelkoppen heeft geïnstalleerd, zal de connector fout 11 (Missing System Dependence) opheffen en zal deze in een gedegenereerde staat draaien zonder bestands-, proces- of netwerkbewaking.

Raadpleeg het artikel Linux Kernel-Devel Fault voor richtlijnen over hoe de juiste kernel headers te installeren.

Installeer de connector

BELANGRIJK! Als u andere beveiligingsproducten in uw omgeving draait, is er een mogelijkheid dat ze de connector-installateur als een bedreiging zullen detecteren. Voeg Cisco Secure toe aan een toegestane lijst om de connector met succes te installeren of sluit Cisco Secure uit in de andere beveiligingsproducten en probeer het opnieuw.

BELANGRIJK! Tijdens verbindingsinstallatie worden een gebruiker en groep met de naam cisco-amp-scan-svc op het systeem gemaakt. Als deze gebruiker of groep al bestaat maar op een andere manier is geconfigureerd, zal de installateur proberen deze te verwijderen en vervolgens opnieuw te maken met de benodigde configuratie. Het installatieprogramma mislukt als de gebruiker en de groep niet met de benodigde configuratie kunnen worden gemaakt.

op RPM gebaseerd

Voer een van de volgende opdrachten uit als [rpm-pakket] de naam van het bestand is, bijvoorbeeld amp_Installatie_Demo_rhel-centos-8-x86_64.rpm:

• Via YUM:

  sudo yum localinstall -y [rpm package]
  

• Via Zypper:

  sudo zypper install -y [rpm package]
  

Debian-gebaseerd

Voer de volgende opdracht uit om de connector te installeren, waarbij [deb-pakket] de naam van het bestand is, bijvoorbeeld amp_Installatie_Demo_ubuntu-20-04-amd64.deb:

sudo dpkg -i [deb package]

De Linux-connector is afhankelijk van systeempakketten die zijn opgenomen in de basisinstallatie van op Debian gebaseerde systemen, maar als een afhankelijkheid ontbreekt, verschijnt het volgende bericht:

 ciscoampconnector depends on <package_name>; however:
  Package <package_name> is not installed.

Waar <package_name> de naam is van het ontbrekende gebiedsdeel. Gebruik de volgende opdracht om eventuele ontbrekende afhankelijkheden te installeren die vereist zijn door de Linux-connector:

sudo apt install <package_name>

U kunt opnieuw proberen de connector te installeren nadat alle ontbrekende afhankelijkheden zijn geïnstalleerd.

Cisco GPG openbare sleutel vergelijken

Als de versie van de Linux-connector ten minste 1.17.0 is, wordt de openbare Cisco GPG-toets die wordt gebruikt om te verifiëren of er upgradepakketten zijn geüpload tijdens de connector-updates automatisch geïnstalleerd op de volgende locaties:

• Op RPM gebaseerd: /opt/cisco/amp/etc/rpm-gpg/RPM-GPG-KEY-cisco-amp
• Debian-gebaseerd: /opt/cisco/amp/etc/dpkg-gpg/DPKG-GPG-KEY-cisco-amp

Vergelijk de sleutel die door de connector is geïnstalleerd met de sleutel die uit de Secure Endpoint Console is gehaald.

Controleer de installatie

De interface van de de bevellijn van de Linux-connector kan worden gebruikt om de succesvolle installatie op de Linux-connector te verifiëren. Start/opt/cisco/amp/bin/amplis status. Als uw connector succesvol is geïnstalleerd, dient u te zien dat deze is verbonden en geen vermelde fouten bevat bij het uitvoeren van de opdracht /opt/cisco/amp/bin/ampcli/ampcli-status:

$ /opt/cisco/amp/bin/ampcli status
Trying to connect...
Connected.
Status:                    Connected
Mode:                    Normal
Scan:                    Ready for scan
Last Scan:                2024-01-09 01:45:49 PM
Policy:                    Installation Demo Policy (#9606)
Command-line:           Enabled
Orbital:                Enabled (Running)
Behavioural Protection: Protect
Faults:                    None

Om te verifiëren dat de connector is aangesloten, kunt u het bestaan van de installatie-gebeurtenis bevestigen in de Secure Endpoint Console:

1. Ga naar de pagina Evenementen.
   
2. Bepaal de plaats van de installatiegebeurtenis voor uw connector. Het apparaat moet worden gecategoriseerd onder het type gebeurtenis "Installeren gestart".
   
3. Als u het selectievakje voor Flash Scan op Install hebt geselecteerd bij het downloaden van de connector, kunt u ook bevestigen dat er twee scangebeurtenissen bestaan.
   
4. Zoek de scangebeurtenissen voor uw connector door te filteren op de soorten scangebeurtenissen. Opmerking: u kunt uw zoekopdracht ook verfijnen door filters toe te voegen voor Groep en Connector GUID. U dient twee gebeurtenissen te zien die corresponderen met het begin en het einde van de scan.
   

De Linux Connector verwijderen

op RPM gebaseerd

1. Verwijder de Linux-connector met behulp van de Systems Package Manager.
   • Via YUM:

     sudo yum remove ciscoampconnector -y
     

   • Via Zypper:

     sudo zypper remove -y ciscoampconnector
     

2. Schoon de Linux-connector op door het meegeleverde opschoningsscript uit te voeren.

   /opt/cisco/amp/bin/purge_amp_local_data
   

Debian-gebaseerd

1. Verwijder de Linux-connector met behulp van de Systems Package Manager.

   sudo dpkg --remove cisco-orbital ciscoampconnector
   

2. Schoon de Linux-connector op door het meegeleverde opschoningsscript uit te voeren.

   sudo dpkg --purge cisco-orbital ciscoampconnector
   

Raadpleeg de Secure Endpoint User Guide (Gebruikershandleiding voor beveiligde endpoints) voor meer gedetailleerde instructies voor het verwijderen van de installatie.

Zie ook

• Installeer Cisco Secure Endpoint Connector op RHEL-video
• Linux Kernel-Devel-fout
  • Oplossen van Cisco Secure Endpoint Linux Kernel-Devel foutvideo
• Gebruikershandleiding Secure Endpoint
• Technische ondersteuning en documentatie – Cisco Systems
• Probleemoplossing voor Secure Endpoint Linux-fouten
• Controleer de compatibiliteit van Secure Endpoint Linux Connector