المقدمة

يصف هذا المقال الخطوات التي يمكن أن يتخذها المسؤولون لنشر موصل Cisco Secure Endpoint Linux على الأنظمة المستندة إلى RPM و Debian.

المتطلبات

راجع مقالة توافق نظام تشغيل نقطة النهاية الآمنة Cisco Secure Endpoint Linux Connector لضمان توافق نظام التشغيل.

راجع دليل مستخدم نقطة النهاية الآمنة لمتطلبات نظام لينوكس الموصى بها.

قم بنشر موصل Linux

قم بتنزيل حزمة موصل لينوكس

1. في وحدة تحكم نقطة النهاية الآمنة، انتقل إلى صفحة تنزيل Connector.
   
2. حدد حزمة موصل لينوكس المناسبة باستخدام القائمة المنسدلة "توزيع لينوكس" لاختيار أحد التوزيع.
   
3. انقر فوق الزر تنزيل لبدء تنزيل الحزمة المحددة.
   
4. نقل الحزمة التي تم تنزيلها إلى نقطة النهاية.

تحقق من حزمة موصل لينوكس

يمكن تثبيت موصل Linux بدون مفتاح Cisco GPG العام. ومع ذلك، إذا كنت تخطط لدفع تحديثات الموصل عبر النهج، فسيتعين عليك تثبيت المفتاح العام على نقطة النهاية. بالنسبة للتوزيعات القائمة على RPM، قم باستيراد المفتاح إلى قاعدة بيانات RPM. بالنسبة للتوزيعات المستندة إلى DEBIAN، قم باستيراد المفتاح إلى حلقة مفاتيح DEBSIG.

يوضح هذا القسم كيفية إستيراد مفتاح Cisco GPG العام إلى نظامك وكيفية التحقق من حزمة الموصل التي تم تنزيلها باستخدام المفتاح المستورد.

إسترداد مفتاح GPG العام من Cisco

1. في صفحة موصل التنزيل لوحدة تحكم النقطة الطرفية الآمنة، حدد إرتباط show gpg العامة من قسم Linux.
   
2. سيظهر مفتاح GPG العام من Cisco في نافذة منبثقة. حدد تنزيل في هذه القائمة المنبثقة لتنزيل المفتاح إلى نظامك. سيظهر المفتاح على هيئة Cisco.gpg في مجلد التنزيلات الخاص بك.
   
3. نقل المفتاح الذي تم تنزيله إلى نقطة النهاية.

مستند إلى RPM

تم توقيع حزمة RPM ويمكن التحقق منها باستخدام برنامج حزم RPM.

1. قم باستيراد المفتاح العام Cisco GPG إلى قاعدة بيانات RPM.

   sudo rpm --import cisco.gpg
   

2. تحقق من تثبيت مفتاح Cisco GPG العام.

   rpm -q gpg-pubkey --qf ‘%{name}-%{version}-%{release} --> %{summary}\n’
   

   يجب أن ترى المفتاح العام التالي المدرج:

   gpg-pubkey-34532611-6477a906 --> Cisco, Inc. <support@cisco.com> public key
   

3. تحقق من حزمة موصل Linux باستخدام RPM. مثال:

   rpm -K amp_Installation_Demo_rhel-centos-8-x86_64.rpm
   

   يجب عرض الإخراج التالي:

   amp_Installation_Demo_rhel-centos-8-x86_64.rpm: digests signatures OK
   

دبيان

يتم توقيع حزمة دبيان باستخدام أداة التحقق من توقيع حزمة دبيان (debsig) ويمكن التحقق منها باستخدام debsig-verify.

1. قم بتثبيت أداة debsig-verify.

   sudo apt-get install debsig-verify
   

2. قم باستيراد المفتاح العام Cisco GPG إلى حلقة مفاتيح الخصم. ملاحظة: اعتبارا من الإصدار 1.17.0، سيتم إنشاء ملف debsig.gpg تلقائيا حتى يمكن تخطي الخطوة 2.

   sudo mkdir -p /usr/share/debsig/keyrings/914E5BE0F2FD178F
   sudo gpg --dearmor --output /usr/share/debsig/keyrings/914E5BE0F2FD178F/debsig.gpg cisco.gpg
   

3. قم بإنشاء دليل النهج.

   sudo mkdir -p /etc/debsig/policies/914E5BE0F2FD178F
   

4. انسخ محتويات النهج أدناه إلى ملف جديد "/etc/debsig/policies/914E5BE0F2FD178F/ciscoampconnector.pol".

   <?xml version="1.0"?>
   <!DOCTYPE Policy SYSTEM "https://www.debian.org/debsig/1.0/policy.dtd">
   <Policy xmlns="https://www.debian.org/debsig/1.0/">
    <Origin Name="Debsig" id="914E5BE0F2FD178F" Description="Cisco AMP for Endpoints"/>
    <Selection>
        <Required Type="origin" File="debsig.gpg" id="914E5BE0F2FD178F"/>
    </Selection>
    <Verification MinOptional="0">
        <Required Type="origin" File="debsig.gpg" id="914E5BE0F2FD178F"/>
    </Verification>
   </Policy>
   

5. تحقق من التوقيع باستخدام debsig-verify. مثال:

   debsig-verify ubuntu-20-04-amd64.deb
   

   يجب عرض الإخراج التالي:

   debsig: Verified package from 'Cisco AMP for Endpoints' (Debsig)
   

قم بتركيب حزمة موصل لينوكس

تثبيت رؤوس Kernel

تستخدم معظم برامج لينوكس الحديثة إصدارات kernel التي تدعم بروتوكول eBPF، والذي يستخدمه الموصل لمراقبة النظام. لتحديد إصدار kernel لنقطة النهاية الخاصة بك، قم بتشغيل الأمر التالي:

uname -r

إذا تطابق إصدار التوزيع الخاص بك مع أي مما يلي، فسيقوم الموصل باستخدام eBPF لمراقبة النظام:

• التوزيعات القائمة على RPM ذات إصدار kernel 3.10.0-940 أو إصدار أحدث (يعد EL7 / Enterprise Linux 7.9 أقدم توزيع باستخدام إصدار kernel هذا).
• التوزيعات القائمة على DEBIAN ذات الإصدار 4.18 من kernel أو أحدث.

يمكن العثور على مزيد من التفاصيل حول التخطيط بين التوزيع وإصدار kernel هنا.

إذا كان eBPF مدعوما على نقطة النهاية، فيجب تثبيت رؤوس kernel الصحيحة حتى يتمكن الموصل من مراقبة النظام. إذا لم يتم تثبيت رؤوس kernel الصحيحة لنقطة النهاية، سيقوم الموصل برفع الخطأ 11 (تبعية النظام مفقودة) وسيعمل في حالة متدهورة بدون مراقبة الملف أو العملية أو الشبكة.

ارجع إلى مقالة خطأ Kernel-devel للحصول على إرشادات حول كيفية تثبيت رؤوس kernel الصحيحة.

تثبيت الموصل

هام! إذا كنت تقوم بتشغيل منتجات أمان أخرى في بيئتك، فمن المحتمل أن يكتشفوا مثبت الموصل كتهديد. أضفت in order to بنجاح يركب الموصل، cisco أمن إلى قائمة مسموح بها أو استثنيت cisco يأمن في منتجات الأمان الأخرى وحاول مرة أخرى.

هام! أثناء تثبيت الموصل، يتم إنشاء مستخدم ومجموعة بالاسم Cisco-AMP-Scan-SVC على النظام. إذا كان هذا المستخدم أو المجموعة موجودين بالفعل ولكن تم تكوينهم بشكل مختلف، فسيحاول المثبت حذفها ثم إعادة إنشائها باستخدام التكوين اللازم. سيفشل المثبت في حالة تعذر إنشاء المستخدم والمجموعة باستخدام التكوين اللازم.

مستند إلى RPM

لتثبيت الموصل قم بتنفيذ أحد الأوامر التالية حيث يكون [حزمة RPM] هو اسم الملف، على سبيل المثال AMP_Installation_Demo_rhel-centos-8-x86_64.rpm:

• عبر YUM:

  sudo yum localinstall -y [rpm package]
  

• عبر Zypper:

  sudo zypper install -y [rpm package]
  

دبيان

لتثبيت الموصل تنفيذ الأمر التالي حيث يكون [حزمة deb] هو اسم الملف، على سبيل المثال amp_installation_demo_ubuntu-20-04-amd64.deb:

sudo dpkg -i [deb package]

يعتمد موصل Linux على حزم النظام التي يتم تضمينها في التثبيت الأساسي للأنظمة القائمة على Debian، لكن في حالة فقد إحدى التبعيات ستظهر الرسالة التالية:

 ciscoampconnector depends on <package_name>; however:
  Package <package_name> is not installed.

حيث <package_name> هو اسم التبعية المفقودة. أستخدم الأمر التالي لتركيب أي تبعيات مفقودة مطلوبة من قبل موصل لينوكس:

sudo apt install <package_name>

يمكنك إعادة محاولة تثبيت الموصل بمجرد تثبيت كافة التبعيات المفقودة.

مقارنة مفتاح Cisco GPG العام

إذا كان إصدار موصل Linux هو 1.17.0 على الأقل، فسيتم تثبيت مفتاح Cisco GPG العام المستخدم للتحقق من حزم الترقية أثناء تحديثات الموصل تلقائيا على المواقع التالية:

• قائم على RPM: /opt/cisco/amp/etc/rpm-gpg/rpm-gpg-key-cisco-amp
• مستند إلى ديبيان: /opt/cisco/amp/etc/dpkg-gpg/dpkg-gpg-key-cisco-amp

قارن المفتاح الذي تم تثبيته بواسطة الموصل بالمفتاح الذي تم إسترداده من وحدة تحكم نقطة النهاية الآمنة.

التحقق من التثبيت

يمكن إستخدام واجهة سطر الأوامر لموصل لينوكس للتحقق من التثبيت الناجح على موصل لينوكس. تشغيل /opt/cisco/amp/bin/ampcli status. إذا تم تثبيت الموصل بنجاح، فيجب عليك التأكد من أنه متصل ولا توجد أخطاء مدرجة عند تشغيل الأمر /opt/cisco/amp/bin/ampcli/ampcli:

$ /opt/cisco/amp/bin/ampcli status
Trying to connect...
Connected.
Status:                    Connected
Mode:                    Normal
Scan:                    Ready for scan
Last Scan:                2024-01-09 01:45:49 PM
Policy:                    Installation Demo Policy (#9606)
Command-line:           Enabled
Orbital:                Enabled (Running)
Behavioural Protection: Protect
Faults:                    None

للتحقق من اتصال الموصل، يمكنك تأكيد وجود حدث التثبيت في وحدة تحكم نقطة النهاية الآمنة:

1. انتقل إلى صفحة الأحداث.
   
2. حدد موقع حدث التثبيت للموصل الخاص بك. يجب تصنيفه ضمن نوع الحدث بدء التثبيت.
   
3. إذا قمت بتحديد خانة الاختيار لإجراء مسح ضوئي على "تثبيت Flash" عند تنزيل الموصل، فيمكنك أيضا تأكيد وجود حدثين للمسح الضوئي.
   
4. حدد موقع أحداث المسح الضوئي للموصل عن طريق التصفية بواسطة أنواع أحداث الفحص. ملاحظة: يمكنك أيضا تضييق نطاق البحث عن طريق إضافة عوامل تصفية لمعرف GUID الخاص بالمجموعة والوصل. يجب أن ترى حدثين يطابقان بداية الفحص ونهايته.
   

قم بإزالة تثبيت موصل Linux

مستند إلى RPM

1. قم بإزالة تثبيت موصل Linux باستخدام مدير حزمة الأنظمة.
   • عبر YUM:

     sudo yum remove ciscoampconnector -y
     

   • عبر Zypper:

     sudo zypper remove -y ciscoampconnector
     

2. قم بإزالة موصل Linux عن طريق تشغيل البرنامج النصي للتنظيف المتوفر.

   /opt/cisco/amp/bin/purge_amp_local_data
   

دبيان

1. قم بإزالة تثبيت موصل Linux باستخدام مدير حزمة الأنظمة.

   sudo dpkg --remove cisco-orbital ciscoampconnector
   

2. قم بإزالة موصل Linux عن طريق تشغيل البرنامج النصي للتنظيف المتوفر.

   sudo dpkg --purge cisco-orbital ciscoampconnector
   

الرجاء الرجوع إلى دليل مستخدم نقطة النهاية الآمنة للحصول على إرشادات أكثر تفصيلا لإزالة التثبيت.

اطّلع أيضًا على

• تثبيت Cisco Secure Endpoint Connector على فيديو RHEL
• خطأ Linux Kernel-Devel
  • حل فيديو خطأ Kernel-devel لنقطة النهاية الآمنة من Cisco
• دليل مستخدم نقطة النهاية الآمنة
• الدعم التقني والمستندات - Cisco Systems
• أستكشاف أخطاء نقطة النهاية الآمنة ل Linux وإصلاحها
• تحقق من توافق نظام تشغيل موصل Linux الآمن