简介

本文描述管理员可在基于RPM和基于Debian的系统上部署Cisco Secure Endpoint Linux连接器的步骤。

要求

有关操作系统兼容性，请参阅Cisco Secure Endpoint Linux Connector OS Compatibility文章。

有关建议的Linux系统要求，请参阅安全终端用户指南。

部署Linux连接器

下载Linux连接器包

1. 在安全终端控制台中，导航到下载连接器页面。
   
2. 使用“Linux发行版”下拉菜单选择相应的Linux连接器包，以选择发行版。
   
3. 单击Download按钮以开始下载选定的软件包。
   
4. 将下载的软件包传输至终端。

验证Linux连接器包

Linux连接器无需思科GPG公钥即可安装。但是，如果计划通过策略推送连接器更新，则需要在终端上安装公钥。对于基于RPM的分配，将密钥导入RPM数据库。对于基于Debian的分配，将密钥导入到删除密钥环中。

本节概述如何将Cisco GPG公钥导入到您的系统以及如何使用导入的密钥验证下载的连接器包。

检索Cisco GPG公钥

1. 在Secure Endpoint Console Download Connector页面中，从Linux部分选择Show GPG Public Key链接。
   
2. Cisco GPG公钥将显示在弹出窗口中。在此弹出菜单中选择Download以将密钥下载到您的系统。密钥将在Downloads文件夹中显示为cisco.gpg。
   
3. 将下载的密钥传输至终端。

基于RPM的

RPM包已签名，可以使用RPM包管理器进行验证。

1. 将Cisco GPG公钥导入RPM数据库。

   sudo rpm --import cisco.gpg
   

2. 验证是否安装了Cisco GPG公钥。

   rpm -q gpg-pubkey --qf ‘%{name}-%{version}-%{release} --> %{summary}\n’
   

   您应该看到下列公钥：

   gpg-pubkey-34532611-6477a906 --> Cisco, Inc. <support@cisco.com> public key
   

3. 使用RPM验证Linux连接器包。示例：

   rpm -K amp_Installation_Demo_rhel-centos-8-x86_64.rpm
   

   应该显示如下输出：

   amp_Installation_Demo_rhel-centos-8-x86_64.rpm: digests signatures OK
   

基于Debian

Debian软件包使用Debian软件包签名验证(debian package signature verification， debsig)工具进行签名，并且可以使用debsig-verify进行验证。

1. 安装debsig-verify工具。

   sudo apt-get install debsig-verify
   

2. 将Cisco GPG公钥导入到调试密钥环中。注意：自1.17.0版起，系统将自动创建debsig.gpg文件，以便跳过步骤2。

   sudo mkdir -p /usr/share/debsig/keyrings/914E5BE0F2FD178F
   sudo gpg --dearmor --output /usr/share/debsig/keyrings/914E5BE0F2FD178F/debsig.gpg cisco.gpg
   

3. 创建策略目录。

   sudo mkdir -p /etc/debsig/policies/914E5BE0F2FD178F
   

4. 将以下策略内容复制到新文件“/etc/debsig/policies/914E5BE0F2FD178F/ciscoampconnector.pol”中。

   <?xml version="1.0"?>
   <!DOCTYPE Policy SYSTEM "https://www.debian.org/debsig/1.0/policy.dtd">
   <Policy xmlns="https://www.debian.org/debsig/1.0/">
    <Origin Name="Debsig" id="914E5BE0F2FD178F" Description="Cisco AMP for Endpoints"/>
    <Selection>
        <Required Type="origin" File="debsig.gpg" id="914E5BE0F2FD178F"/>
    </Selection>
    <Verification MinOptional="0">
        <Required Type="origin" File="debsig.gpg" id="914E5BE0F2FD178F"/>
    </Verification>
   </Policy>
   

5. 使用debsig-verify验证签名。示例：

   debsig-verify ubuntu-20-04-amd64.deb
   

   应该显示如下输出：

   debsig: Verified package from 'Cisco AMP for Endpoints' (Debsig)
   

安装Linux连接器包

安装内核报头

大多数现代Linux发行版使用支持eBPF的内核版本，连接器使用该内核版本来监控系统。要确定终端的内核版本，请运行以下命令：

uname -r

如果分发版本与以下任何版本匹配，则连接器将使用eBPF进行系统监控：

• 内核版本为3.10.0-940或更高版本的基于RPM的分发（EL7/Enterprise Linux 7.9是此内核版本的最早的分发）。
• 内核版本为4.18或更高版本的基于Debian的分布。

有关分发与内核版本之间映射的详细信息，请参阅此处。

如果终端支持eBPF，则必须安装正确的内核报头，以便连接器监控系统。如果您的终端未安装正确的内核报头，则连接器将引发故障11（缺少系统依赖关系），并且它将在没有文件、进程或网络监控的情况下以降级状态运行。

有关如何安装正确的内核报头的指导，请参阅Linux内核级故障文章。

安装连接器

重要提示！如果您在环境中运行其他安全产品，则可能会检测到连接器安装程序存在威胁。要成功安装连接器，请将Cisco Secure添加到允许列表，或在其他安全产品中排除Cisco Secure，然后重试。

重要提示！在连接器安装过程中，会在系统上创建名为cisco-amp-scan-svc的用户和组。如果此用户或组已存在但配置不同，则安装程序将尝试删除，然后使用必要的配置重新创建它们。如果用户和组无法通过必要的配置创建，安装程序将失败。

基于RPM的

要安装连接器，请执行以下命令之一，其中[rpm package]为文件名，例如amp_Installation_Demo_rhel-centos-8-x86_64.rpm：

• 通过YUM：

  sudo yum localinstall -y [rpm package]
  

• 通过Zypper：

  sudo zypper install -y [rpm package]
  

基于Debian

要安装连接器，请执行以下命令，其中[deb package]是文件名，例如amp_Installation_Demo_ubuntu-20-04-amd64.deb：

sudo dpkg -i [deb package]

Linux连接器取决于基于Debian的系统基础安装中包含的系统软件包，但如果缺少依赖项，则会显示以下消息：

 ciscoampconnector depends on <package_name>; however:
  Package <package_name> is not installed.

其中，<package_name>是缺少的依赖关系的名称。使用以下命令安装Linux连接器所需的任何缺少的相关项：

sudo apt install <package_name>

安装完所有缺少的相关项后，可以重新尝试安装连接器。

比较Cisco GPG公钥

如果Linux连接器版本至少为1.17.0，则在连接器更新期间用于验证升级软件包的Cisco GPG公钥将自动安装到以下位置：

• 基于RPM：/opt/cisco/amp/etc/rpm-gpg/RPM-GPG-KEY-cisco-amp
• 基于Debian：/opt/cisco/amp/etc/dpkg-gpg/DPKG-GPG-KEY-cisco-amp

将连接器安装的密钥与从安全终端控制台检索的密钥进行比较。

验证安装

Linux连接器命令行界面可用于验证是否成功安装在Linux连接器上。运行/opt/cisco/amp/bin/ampcli status。如果连接器已成功安装，则您应该看到它处于已连接状态，并且在运行/opt/cisco/amp/bin/ampcli/ampcli status命令时没有列出任何故障：

$ /opt/cisco/amp/bin/ampcli status
Trying to connect...
Connected.
Status:                    Connected
Mode:                    Normal
Scan:                    Ready for scan
Last Scan:                2024-01-09 01:45:49 PM
Policy:                    Installation Demo Policy (#9606)
Command-line:           Enabled
Orbital:                Enabled (Running)
Behavioural Protection: Protect
Faults:                    None

要验证连接器是否已连接，您可以在安全终端控制台中确认存在安装事件：

1. 导航到事件页面。
   
2. 找到连接器的安装事件。它应归入“安装已启动”事件类型。
   
3. 如果在下载连接器时选中了Flash Scan on Install复选框，则还可以确认存在两个扫描事件。
   
4. 通过按扫描事件类型进行过滤来定位连接器的扫描事件。注意：您也可以通过添加组和连接器GUID的筛选器来缩小搜索范围。您应该看到与扫描开始和结束相对应的两个事件。
   

卸载Linux连接器

基于RPM的

1. 使用系统软件包管理器卸载Linux连接器。
   • 通过YUM：

     sudo yum remove ciscoampconnector -y
     

   • 通过Zypper：

     sudo zypper remove -y ciscoampconnector
     

2. 通过运行提供的清除脚本清除Linux连接器。

   /opt/cisco/amp/bin/purge_amp_local_data
   

基于Debian

1. 使用系统软件包管理器卸载Linux连接器。

   sudo dpkg --remove cisco-orbital ciscoampconnector
   

2. 通过运行提供的清除脚本清除Linux连接器。

   sudo dpkg --purge cisco-orbital ciscoampconnector
   

有关更详细的卸载说明，请参阅安全终端用户指南。

另请参阅

• 在RHEL视频上安装思科安全终端连接器
• Linux内核级故障
  • 解决Cisco Secure Endpoint Linux内核级故障视频
• 安全终端用户指南
• 技术支持和文档 - Cisco Systems
• 排除安全终端Linux故障
• 验证安全终端Linux连接器操作系统兼容性