簡介

本文描述管理員可在基於RPM和基於Debian的系統上部署Cisco Secure Endpoint Linux聯結器的步驟。

需求

有關作業系統相容性，請參閱Cisco Secure Endpoint Linux Connector OS Compatibility article。

有關建議的Linux系統要求，請參閱安全終端使用手冊。

部署Linux聯結器

下載Linux聯結器套件

1. 在Secure Endpoint Console中，導航到Download Connector頁。
   
2. 使用「Linux發行版」下拉式清單來選擇發行版，以選取適當的Linux聯結器套件。
   
3. 按一下Download按鈕以開始下載所選包。
   
4. 將下載的軟體套件傳輸至終端。

驗證Linux聯結器包

Linux聯結器可以不使用Cisco GPG公鑰進行安裝。但是，如果計畫透過策略推送聯結器更新，則需要在終端上安裝公鑰。對於基於RPM的分配，將金鑰導入到RPM資料庫中。對於基於Debian的分配，將金鑰導入到刪除金鑰環中。

本節概述如何將Cisco GPG公鑰導入到您的系統，以及如何使用導入的金鑰驗證下載的聯結器包。

檢索Cisco GPG公鑰

1. 在「Secure Endpoint Console下載聯結器」頁上，從「Linux」部分選擇顯示GPG公鑰連結。
   
2. Cisco GPG公鑰將顯示在彈出窗口中。在此彈出選單中選擇Download以將金鑰下載到您的系統。金鑰在Downloads資料夾中顯示為cisco.gpg。
   
3. 將下載的金鑰傳輸到終端。

以RPM為基礎

RPM封裝已簽署，可以使用RPM封裝管理員進行驗證。

1. 將Cisco GPG公鑰導入RPM資料庫。

   sudo rpm --import cisco.gpg
   

2. 驗證是否安裝了Cisco GPG公鑰。

   rpm -q gpg-pubkey --qf ‘%{name}-%{version}-%{release} --> %{summary}\n’
   

   您應該會看到下列的公開金鑰：

   gpg-pubkey-34532611-6477a906 --> Cisco, Inc. <support@cisco.com> public key
   

3. 使用RPM驗證Linux聯結器套件。範例：

   rpm -K amp_Installation_Demo_rhel-centos-8-x86_64.rpm
   

   應顯示以下輸出：

   amp_Installation_Demo_rhel-centos-8-x86_64.rpm: digests signatures OK
   

基於Debian

Debian軟體套件使用Debian軟體套件簽名驗證(debian package signature verification， debian package debsig)工具進行簽名，並且可以使用debian軟體套件簽名驗證進行驗證。

1. 安裝debsig-verify工具。

   sudo apt-get install debsig-verify
   

2. 將Cisco GPG公鑰導入到轉儲金鑰環。附註：自1.17.0版起，系統將自動建立debsig.gpg檔案，因此可以略過步驟2。

   sudo mkdir -p /usr/share/debsig/keyrings/914E5BE0F2FD178F
   sudo gpg --dearmor --output /usr/share/debsig/keyrings/914E5BE0F2FD178F/debsig.gpg cisco.gpg
   

3. 建立原則目錄。

   sudo mkdir -p /etc/debsig/policies/914E5BE0F2FD178F
   

4. 將下面的策略內容複製到新檔案「/etc/debsig/policies/914E5BE0F2FD178F/ciscoampconnector.pol」中。

   <?xml version="1.0"?>
   <!DOCTYPE Policy SYSTEM "https://www.debian.org/debsig/1.0/policy.dtd">
   <Policy xmlns="https://www.debian.org/debsig/1.0/">
    <Origin Name="Debsig" id="914E5BE0F2FD178F" Description="Cisco AMP for Endpoints"/>
    <Selection>
        <Required Type="origin" File="debsig.gpg" id="914E5BE0F2FD178F"/>
    </Selection>
    <Verification MinOptional="0">
        <Required Type="origin" File="debsig.gpg" id="914E5BE0F2FD178F"/>
    </Verification>
   </Policy>
   

5. 使用debsig-verify驗證簽名。範例：

   debsig-verify ubuntu-20-04-amd64.deb
   

   應顯示以下輸出：

   debsig: Verified package from 'Cisco AMP for Endpoints' (Debsig)
   

安裝Linux聯結器套件

安裝核心標頭

大多數現代Linux發行版本都使用支援eBPF的核心版本，聯結器用它來監視系統。要確定端點的核心版本，請運行以下命令：

uname -r

如果您的發行版本符合下列任何一項，則聯結器將使用eBPF進行系統監控：

• 核心版本為3.10.0-940或更新版本的RPM型發行套件（EL7/Enterprise Linux 7.9是此核心版本的最早發行套件）。
• 核心版本為4.18或更新版本的Debian型發佈。

有關分發與核心版本之間對映的更多詳細資訊，請參閱此處。

如果您的終端支援eBPF，則必須安裝正確的核心標頭，聯結器才能監視系統。如果您的端點未安裝正確的核心標頭，則聯結器將引發故障11 （缺少系統相依性），並且它將在沒有檔案、程式或網路監視的降級狀態下執行。

有關如何安裝正確核心報頭的指導，請參閱Linux核心級故障文章。

安裝聯結器

重要！如果您正在環境中執行其他安全性產品，則可能會偵測到聯結器安裝程式是威脅。要成功安裝聯結器，請將Cisco Secure增加到允許清單中，或排除其他安全產品中的Cisco Secure，然後重試。

重要！在聯結器安裝期間，將在系統上建立名為cisco-amp-scan-svc的使用者和組。如果此使用者或組已存在，但配置不同，則安裝程式將嘗試將其刪除，然後使用所需的配置重新建立它們。如果無法以必要的組態建立使用者與群組，安裝程式將會失敗。

以RPM為基礎

要安裝聯結器，請執行以下命令之一，其中[rpm package]是檔案的名稱，例如amp_Installation_Demo_rhel-centos-8-x86_64.rpm：

• 經雲：

  sudo yum localinstall -y [rpm package]
  

• 透過Zypper：

  sudo zypper install -y [rpm package]
  

基於Debian

要安裝聯結器，請執行以下命令，其中[deb package]是檔案的名稱，例如amp_Installation_Demo_ubuntu-20-04-amd64.deb：

sudo dpkg -i [deb package]

Linux聯結器依賴於基於Debian的系統基礎安裝中包含的系統軟體套件，但是如果缺少依賴項，則會顯示以下消息：

 ciscoampconnector depends on <package_name>; however:
  Package <package_name> is not installed.

其中，<package_name>是缺少的依賴關係的名稱。使用以下命令安裝Linux聯結器所需的任何缺少的依賴項：

sudo apt install <package_name>

安裝完所有缺少的依賴項後，可以重新嘗試安裝聯結器。

比較Cisco GPG公鑰

如果Linux聯結器版本至少為1.17.0，則用於在聯結器更新期間驗證升級軟體套件的Cisco GPG公鑰將自動安裝到以下位置：

• 基於RPM：/opt/cisco/amp/etc/rpm-gpg/RPM-GPG-KEY-cisco-amp
• 基於Debian：/opt/cisco/amp/etc/dpkg-gpg/DPKG-GPG-KEY-cisco-amp

將聯結器安裝的金鑰與從Secure Endpoint Console檢索到的金鑰進行比較。

驗證安裝

Linux聯結器命令列介面可用於驗證在Linux聯結器上的安裝是否成功。運行/opt/cisco/amp/bin/ampcli status。如果聯結器安裝成功，您應該看到它是已連線，而且在運行/opt/cisco/amp/bin/ampcli/ampcli status命令時沒有列出任何故障：

$ /opt/cisco/amp/bin/ampcli status
Trying to connect...
Connected.
Status:                    Connected
Mode:                    Normal
Scan:                    Ready for scan
Last Scan:                2024-01-09 01:45:49 PM
Policy:                    Installation Demo Policy (#9606)
Command-line:           Enabled
Orbital:                Enabled (Running)
Behavioural Protection: Protect
Faults:                    None

要驗證聯結器是否已連線，可以在安全終端控制檯中確認安裝事件的存在：

1. 導航到事件頁面。
   
2. 找到聯結器的安裝事件。它應歸類於Install Started事件型別下。
   
3. 如果在下載聯結器時選中了Flash Scan on Install覈取方塊，則還可以確認存在兩個掃描事件。
   
4. 透過按掃描事件型別進行過濾來定位聯結器的掃描事件。注意：您也可以新增群組和聯結器GUID的篩選條件，縮小搜尋範圍。您應該會看到與掃描開始和結束相對應的兩個事件。
   

解除安裝Linux聯結器

以RPM為基礎

1. 使用系統軟體套件管理器解除安裝Linux聯結器。
   • 經雲：

     sudo yum remove ciscoampconnector -y
     

   • 透過Zypper：

     sudo zypper remove -y ciscoampconnector
     

2. 透過運行提供的清除指令碼清除Linux聯結器。

   /opt/cisco/amp/bin/purge_amp_local_data
   

基於Debian

1. 使用系統軟體套件管理器解除安裝Linux聯結器。

   sudo dpkg --remove cisco-orbital ciscoampconnector
   

2. 透過運行提供的清除指令碼清除Linux聯結器。

   sudo dpkg --purge cisco-orbital ciscoampconnector
   

有關更詳細的解除安裝說明，請參閱安全終端使用手冊。

另請參閱

• 在RHEL影片上安裝Cisco Secure Endpoint Connector
• Linux核心級故障
  • 解決Cisco Secure Endpoint Linux核心級故障影片
• 安全終端使用手冊
• 技術支援與文件 - Cisco Systems
• 排查安全終端Linux故障
• 驗證安全終端Linux聯結器作業系統相容性