簡介

本文介紹管理員在基於RPM和基於Debian的系統上部署Cisco Secure Endpoint Linux聯結器的步驟。

需求

請參閱Cisco Secure Endpoint Linux Connector OS Compatibility（Cisco安全終端Linux聯結器作業系統相容性）文章，瞭解作業系統相容性。

有關建議的Linux系統要求，請參閱安全端點使用手冊。

部署Linux聯結器

下載Linux聯結器軟體包

1. 在安全終端控制檯中，導航到Download Connector頁面。
   
2. 使用「Linux發行版」下拉選單選擇適當的Linux聯結器包以選擇發行版。
   
3. 按一下Download按鈕開始下載選定的包。
   
4. 將下載的軟體包傳輸到終結點。

驗證Linux聯結器包

Linux聯結器可以不使用Cisco GPG公鑰進行安裝。但是，如果計畫通過策略推送聯結器更新，則需要在端點上安裝公鑰。對於基於RPM的分配，將金鑰匯入RPM資料庫。對於基於Debian的分配，將金鑰匯入到解除鍵環中。

本節概述如何將Cisco GPG公鑰匯入到您的系統以及如何使用匯入的金鑰驗證下載的聯結器包。

檢索Cisco GPG公鑰

1. 在「安全端點控制檯下載連線器」頁面上，從Linux部分選擇Show GPG Public Key(顯示GPG公鑰)連結。
   
2. Cisco GPG公鑰將顯示在彈出視窗中。在此彈出選單中選擇Download，將金鑰下載到您的系統。金鑰將在您的「下載」資料夾中顯示為cisco.gpg。
   
3. 將下載的金鑰傳輸到終結點。

基於RPM的

RPM軟體包已簽名，可以使用RPM軟體包管理器進行驗證。

1. 將Cisco GPG公鑰匯入RPM資料庫。

   sudo rpm --import cisco.gpg
   

2. 驗證是否已安裝Cisco GPG公鑰。

   rpm -q gpg-pubkey --qf ‘%{name}-%{version}-%{release} --> %{summary}\n’
   

   您應該看到列出了以下公鑰：

   gpg-pubkey-34532611-6477a906 --> Cisco, Inc. 
          
          
            public key 
          

3. 使用RPM驗證Linux聯結器包。範例：

   rpm -K amp_Installation_Demo_rhel-centos-8-x86_64.rpm
   

   應顯示以下輸出：

   amp_Installation_Demo_rhel-centos-8-x86_64.rpm: digests signatures OK
   

基於Debian

使用Debian包簽名驗證(debian package signature verification， debian)工具對Debian包進行簽名，並且可使用解除簽名驗證進行驗證。

1. 安裝debsig-verify工具。

   sudo apt-get install debsig-verify
   

2. 將Cisco GPG公鑰匯入到解除金鑰環中。附註：自1.17.0版起，將自動建立debsig.gpg檔案，因此可以跳過步驟2。

   sudo mkdir -p /usr/share/debsig/keyrings/914E5BE0F2FD178F
   sudo gpg --dearmor --output /usr/share/debsig/keyrings/914E5BE0F2FD178F/debsig.gpg cisco.gpg
   

3. 建立策略目錄。

   sudo mkdir -p /etc/debsig/policies/914E5BE0F2FD178F
   

4. 將以下策略內容複製到新檔案「/etc/debsig/policies/914E5BE0F2FD178F/ciscoampconnector.pol」中。

5. 使用debsig-verify驗證簽名。範例：

   debsig-verify ubuntu-20-04-amd64.deb
   

   應顯示以下輸出：

   debsig: Verified package from 'Cisco AMP for Endpoints' (Debsig)
   

安裝Linux聯結器包

安裝核心標頭

大多數現代Linux發行版使用支援eBPF的核心版本，聯結器用它來監視系統。要確定終端的核心版本，請運行以下命令：

uname -r

如果您的分發版本與以下任何一項相匹配，則聯結器將使用eBPF進行系統監視：

• 基於RPM的分發版本，核心版本為3.10.0-940或更高版本（EL7/Enterprise Linux 7.9是此核心版本的最早的分發版本）。
• 核心版本為4.18或更高版本的基於Debian的分發。

有關分發與核心版本之間的對映的更多詳細資訊，請參閱此處。

如果您的端點支援eBPF，則必須安裝正確的核心標頭，以便聯結器監視系統。如果端點未安裝正確的核心標頭，則聯結器將引發故障11（缺少系統依賴關係），並且它將在無檔案、進程或網路監控的情況下以降級狀態運行。

請參閱Linux核心級故障文章，獲取有關如何安裝正確核心標頭的指導。

安裝聯結器

重要！如果您在環境中運行其他安全產品，則可能會檢測到聯結器安裝程式是一種威脅。若要成功安裝聯結器，請將Cisco Secure新增到允許清單中，或排除其他安全產品中的Cisco Secure，然後重試。

重要！在聯結器安裝過程中，會在系統上建立名為cisco-amp-scan-svc的使用者和組。如果此使用者或組已經存在，但配置方式不同，則安裝程式將嘗試刪除，然後使用必要的配置重新建立它們。如果不能使用必要的配置建立使用者和組，安裝程式將失敗。

基於RPM的

要安裝聯結器，請執行以下命令之一，其中[rpm package]是檔案的名稱，例如amp_Installation_Demo_rhel-centos-8-x86_64.rpm:

• 百勝餐飲公司：

  sudo yum localinstall -y [rpm package]
  

• 通過Zypper:

  sudo zypper install -y [rpm package]
  

基於Debian

要安裝聯結器，請執行以下命令，其中[deb package]是檔案的名稱，例如amp_Installation_Demo_ubuntu-20-04-amd64.deb:

sudo dpkg -i [deb package]

Linux聯結器取決於基於Debian的系統基礎安裝中包含的系統軟體包，但是如果缺少依賴項，則會顯示以下消息：

 ciscoampconnector depends on 
     
     
       ; however: Package 
      
        is not installed. 
       
     

其中<package_name>是缺少依賴關係的名稱。使用以下命令安裝Linux聯結器所需的任何缺少的依賴項：

sudo apt install 
     
      
     

安裝完所有缺少的依賴項後，您可以重新嘗試安裝聯結器。

比較Cisco GPG公鑰

如果Linux聯結器版本至少為1.17.0，則在聯結器更新期間用於驗證升級軟體包的Cisco GPG公鑰將自動安裝到以下位置：

• 基於RPM的：/opt/cisco/amp/etc/rpm-gpg/RPM-GPG-KEY-cisco-amp
• 基於Debian:/opt/cisco/amp/etc/dpkg-gpg/DPKG-GPG-KEY-cisco-amp

將聯結器安裝的金鑰與從安全終端控制檯檢索的金鑰進行比較。

驗證安裝

Linux聯結器命令列介面可用於驗證Linux聯結器上的安裝是否成功。運行/opt/cisco/amp/bin/ampcli狀態。如果聯結器已成功安裝，您應該會看到它是Connected，而且在運行/opt/cisco/amp/bin/ampcli/ampcli status命令時沒有列出任何故障：

$ /opt/cisco/amp/bin/ampcli status
Trying to connect...
Connected.
Status:                    Connected
Mode:                    Normal
Scan:                    Ready for scan
Last Scan:                2024-01-09 01:45:49 PM
Policy:                    Installation Demo Policy (#9606)
Command-line:           Enabled
Orbital:                Enabled (Running)
Behavioural Protection: Protect
Faults:                    None

要驗證聯結器是否已連線，可以在安全終端控制檯中確認安裝事件的存在：

1. 導航到事件頁面。
   
2. 找到聯結器的安裝事件。它應歸入「Install Started」事件型別下。
   
3. 如果您在下載聯結器時選中了Flash Scan on Install覈取方塊，則還可以確認存在兩個掃描事件。
   
4. 通過按Scan事件型別進行篩選來找到聯結器的掃描事件。附註：您還可以通過為組和聯結器GUID新增篩選器來縮小搜尋範圍。您應該會看到與掃描的開始和結束相對應的兩個事件。
   

解除安裝Linux聯結器

基於RPM的

1. 使用系統軟體包管理器解除安裝Linux聯結器。
   • 百勝餐飲公司：

     sudo yum remove ciscoampconnector -y
     

   • 通過Zypper:

     sudo zypper remove -y ciscoampconnector
     

2. 通過運行提供的清除指令碼清除Linux聯結器。

   /opt/cisco/amp/bin/purge_amp_local_data
   

基於Debian

1. 使用系統軟體包管理器解除安裝Linux聯結器。

   sudo dpkg --remove cisco-orbital ciscoampconnector
   

2. 通過運行提供的清除指令碼清除Linux聯結器。

   sudo dpkg --purge cisco-orbital ciscoampconnector
   

請參閱安全終端使用手冊以瞭解更詳細的解除安裝說明。

另請參閱

• 在RHEL影片上安裝Cisco Secure Endpoint Connector
• Linux核心級故障
  • 解決思科安全終端Linux核心級故障影片
• 安全端點使用手冊
• 技術支援與文件 - Cisco Systems
• 排除安全終端Linux故障
• 驗證安全終端Linux聯結器作業系統相容性