简介

本文描述管理员可在基于RPM和基于Debian的系统上部署Cisco Secure Endpoint Linux连接器的步骤。

要求

有关操作系统兼容性，请参阅Cisco Secure Endpoint Linux Connector OS Compatibility文章。

有关推荐的Linux系统要求，请参阅安全终端用户指南。

部署Linux连接器

下载Linux连接器包

1. 在安全终端控制台中，导航到Download Connector页面。
   
2. 使用“Linux发行版”下拉菜单选择相应的Linux连接器软件包，以选择发行版。
   
3. 单击Download按钮开始下载选定的软件包。
   
4. 将下载的软件包传输到终端。

验证Linux连接器包

Linux连接器无需思科GPG公钥即可安装。但是，如果计划通过策略推送连接器更新，则需要在终端上安装公钥。对于基于RPM的分配，将密钥导入RPM数据库。对于基于Debian的分配，将密钥导入到删除密钥环中。

本节概述如何将Cisco GPG公钥导入到系统中，以及如何使用导入的密钥验证已下载的连接器包。

检索思科GPG公钥

1. 在“安全终端控制台下载连接器”页面，从Linux部分选择Show GPG Public Key链接。
   
2. Cisco GPG公钥将显示在弹出窗口中。在此弹出菜单中选择下载以将密钥下载到您的系统。密钥将在您的“下载”文件夹中显示为cisco.gpg。
   
3. 将下载的密钥传输到终端。

基于RPM的

RPM包已签名，可以使用RPM包管理器进行验证。

1. 将Cisco GPG公钥导入RPM数据库。

   sudo rpm --import cisco.gpg
   

2. 验证是否已安装Cisco GPG公钥。

   rpm -q gpg-pubkey --qf ‘%{name}-%{version}-%{release} --> %{summary}\n’
   

   您应该看到列出了以下公钥：

   gpg-pubkey-34532611-6477a906 --> Cisco, Inc. 
          
          
            public key 
          

3. 使用RPM验证Linux连接器包。示例：

   rpm -K amp_Installation_Demo_rhel-centos-8-x86_64.rpm
   

   应该显示如下输出：

   amp_Installation_Demo_rhel-centos-8-x86_64.rpm: digests signatures OK
   

基于Debian

Debian软件包使用Debian软件包签名验证(debsig)工具进行签名，并且可以使用debsig-verify进行验证。

1. 安装debsig-verify工具。

   sudo apt-get install debsig-verify
   

2. 将Cisco GPG公钥导入到删除密钥环中。注意：从1.17.0版开始，系统将自动创建debsig.gpg文件，因此可以跳过第2步。

   sudo mkdir -p /usr/share/debsig/keyrings/914E5BE0F2FD178F
   sudo gpg --dearmor --output /usr/share/debsig/keyrings/914E5BE0F2FD178F/debsig.gpg cisco.gpg
   

3. 创建策略目录。

   sudo mkdir -p /etc/debsig/policies/914E5BE0F2FD178F
   

4. 将以下策略内容复制到新文件“/etc/debsig/policies/914E5BE0F2FD178F/ciscoampconnector.pol”中。

5. 使用debsig-verify验证签名。示例：

   debsig-verify ubuntu-20-04-amd64.deb
   

   应该显示如下输出：

   debsig: Verified package from 'Cisco AMP for Endpoints' (Debsig)
   

安装Linux连接器包

安装内核报头

大多数现代Linux发行版使用支持eBPF的内核版本，连接器使用该内核版本来监控系统。要确定终端的内核版本，请运行以下命令：

uname -r

如果分发版本与以下任何一项匹配，则连接器将使用eBPF进行系统监控：

• 基于RPM且内核版本为3.10.0-940或更高版本的分发（EL7/Enterprise Linux 7.9是此内核版本的最早的分发）。
• 内核版本为4.18或更高版本的基于Debian的分布。

有关分发和内核版本之间映射的详细信息，请访问。

如果您的终端支持eBPF，则必须安装正确的内核报头，以便连接器监视系统。如果您的终端未安装正确的内核报头，则连接器将引发故障11（缺少系统依赖关系），并且它将在没有文件、进程或网络监控的情况下以降级状态运行。

有关如何安装正确的内核报头的指导，请参阅Linux内核级故障文章。

安装连接器

重要！如果您在环境中运行其他安全产品，则可能会检测到连接器安装程序是一种威胁。要成功安装连接器，请将Cisco Secure添加到允许列表，或在其他安全产品中排除Cisco Secure，然后重试。

重要！在连接器安装过程中，会在系统上创建名为cisco-amp-scan-svc的用户和组。如果此用户或组已经存在，但配置不同，则安装程序将尝试删除，然后使用必要的配置重新创建它们。如果不能使用必要的配置创建用户和组，安装程序将失败。

基于RPM的

要安装连接器，请执行以下命令之一，其中[rpm软件包]是文件的名称，例如amp_Installation_Demo_rhel-centos-8-x86_64.rpm:

• 通过YUM:

  sudo yum localinstall -y [rpm package]
  

• 通过Zypper:

  sudo zypper install -y [rpm package]
  

基于Debian

要安装连接器，请执行以下命令，其中[deb package]是文件的名称，例如amp_Installation_Demo_ubuntu-20-04-amd64.deb:

sudo dpkg -i [deb package]

Linux连接器取决于基于Debian的系统基础安装中包含的系统软件包，但如果缺少依赖关系，则会显示以下消息：

 ciscoampconnector depends on 
     
     
       ; however: Package 
      
        is not installed. 
       
     

其中<package_name>是缺少依赖项的名称。使用以下命令安装Linux连接器所需的任何缺少的相关项：

sudo apt install 
     
      
     

安装完所有缺少的依赖项后，您可以重新尝试安装连接器。

比较Cisco GPG公钥

如果Linux连接器版本至少为1.17.0，则用于在连接器更新期间验证升级软件包的Cisco GPG公钥会自动安装到以下位置：

• 基于RPM:/opt/cisco/amp/etc/rpm-gpg/RPM-GPG-KEY-cisco-amp
• 基于Debian:/opt/cisco/amp/etc/dpkg-gpg/DPKG-GPG-KEY-cisco-amp

比较连接器安装的密钥与从安全终端控制台检索的密钥。

验证安装

Linux连接器命令行界面可用于验证Linux连接器上的安装是否成功。运行/opt/cisco/amp/bin/ampcli状态。如果连接器已成功安装，则您应该看到它在运行/opt/cisco/amp/bin/ampcli/ampcli status命令时处于Connected状态且未列出任何故障：

$ /opt/cisco/amp/bin/ampcli status
Trying to connect...
Connected.
Status:                    Connected
Mode:                    Normal
Scan:                    Ready for scan
Last Scan:                2024-01-09 01:45:49 PM
Policy:                    Installation Demo Policy (#9606)
Command-line:           Enabled
Orbital:                Enabled (Running)
Behavioural Protection: Protect
Faults:                    None

要验证连接器是否已连接，可以在安全终端控制台中确认安装事件的存在：

1. 导航到Events页面。
   
2. 找到连接器的安装事件。它应归入Install Started事件类型下。
   
3. 如果您在下载连接器时选中了Flash Scan on Install复选框，则还可以确认存在两个扫描事件。
   
4. 通过按Scan事件类型进行过滤，找到连接器的扫描事件。注意：您还可以通过添加组和连接器GUID的过滤器来缩小搜索范围。您应该看到与扫描开始和结束相对应的两个事件。
   

卸载Linux连接器

基于RPM的

1. 使用系统软件包管理器卸载Linux连接器。
   • 通过YUM:

     sudo yum remove ciscoampconnector -y
     

   • 通过Zypper:

     sudo zypper remove -y ciscoampconnector
     

2. 通过运行提供的清除脚本清除Linux连接器。

   /opt/cisco/amp/bin/purge_amp_local_data
   

基于Debian

1. 使用系统软件包管理器卸载Linux连接器。

   sudo dpkg --remove cisco-orbital ciscoampconnector
   

2. 通过运行提供的清除脚本清除Linux连接器。

   sudo dpkg --purge cisco-orbital ciscoampconnector
   

有关更详细的卸载说明，请参阅安全终端用户指南。

另请参阅

• 在RHEL视频上安装思科安全终端连接器
• Linux内核级故障
  • 解决Cisco安全终端Linux内核级故障视频
• 安全终端用户指南
• 技术支持和文档 - Cisco Systems
• 排除安全终端Linux故障
• 验证安全终端Linux连接器操作系统兼容性