ESET PROTECT On-Prem#

ESET Server 是由 ESET 公司維護的。

Introduction#

ESET PROTECT On-Prem 是一個應用程式，允許您從一個中央位置，為網路環境中的用戶端工作站和伺服器管理其上的 ESET 產品。透過 ESET PROTECT On-Prem 內建的工作管理系統，您可以將 ESET 安全性解決方案安裝於遠端電腦，並快速回應新的問題與偵測。

ESET PROTECT On-Prem 不會自行防禦惡意程式碼。環境的防護能力取決於工作站上是否有 ESET 安全性解決方案，例如 ESET Endpoint Security，或伺服器電腦上是否有 Windows 適用的 ESET Server Security 。

ESET PROTECT On-Prem 建立在兩個基本原則上：

•集中管理 - 整個網站均可從單一位置加以配置、管理與監視。

•延展性 - 小型網路及大型企業環境均可部署此系統。ESET PROTECT On-Prem 的設計可因應基礎架構的成長。

Install#

本次筆記安裝的是12.1版

部署與硬體建議(ESET PROTECT 伺服器 + SQL 資料庫伺服器)#

用戶端數量	CPU 核心	CPU 時脈速度 (GHz)	RAM (GB)	磁碟機	磁碟 IOPS
最多 1,000	4	2.1	4	單一	500
5,000	9	2.1	9	單一	1,000
10,000	4	2.1	16	單一	2,000
20,000	4	2.1	16	單獨	4,000
50,000	9	2.1	32	單獨	10,000
100,000	16	2.1	64+	單獨	20,000

用戶端數量	最多1,000	1,000–5,000	5,000–10,000	10,000–50,000	50,000–100,000	100,000個以上
同一台電腦上的 ESET PROTECT 伺服器與資料庫伺服器	✔	✔	✔	✖	✖	✖
使用 Microsoft SQL Express	✔	✔*	✖	✖	✖	✖
使用 Microsoft SQL	✔	✔	✔	✔	✔	✔
使用 MySQL	✔	✔	✔	✔	✔	✔
使用 ESET PROTECT 虛擬設備	✔	✔	不建議	選用	✖	✖
使用 VM 伺服器	✔	✔	✔	✔	✔	✔
建議的複製時間（部署階段期限）	60秒	5分鐘	10分鐘	15分鐘	20分鐘	25分鐘
建議的連線時間（部署後、標準使用期限）	2分鐘	10分鐘	20分鐘	30分鐘	40分鐘	60分鐘

支援的資料庫伺服器	支援的資料庫版本	支援的資料庫連接器
Microsoft SQL Server	- Express 和非 Express 版本	- SQL 伺服器
	- 2016, 2017, 2019, 2022	- SQL Server Native Client 10.0
		- ODBC 驅動程式，適用於 SQL Server 11、13、17、18
MySQL	- 8.0	MySQL ODBC 驅動程式版本：
	- 8.1	- 8.x (8.0.x, 8.1.x)
	- 8.4	- 9.2
	- 9	- 9.3
		!!! Rocky Linux 不支援 MySQL ODBC 驅動程式 8.x。
		建議在 Rocky Linux 上使用 mariadb-connector-odbc 3.1.12。
MariaDB		MariaDB ODBC 3.1 驅動程式 (僅限 Windows)

本次筆記安裝規格#

因使用人數未滿1000人，使用一下選擇

OS	CPU	MEMORY
Ubuntu24.04	4 core	8 GB

軟體名稱	版本
ESET PROTECT On-Prem	12.1
Database	MySQL 8.4
ODBC	8.0
OpenJDK	17
TOMCAT	9

安裝MySQL 8.4#

安裝參考 MySQL

my.conf在[mysqld]區塊下方新增以下內容

[mysqld]

...

max_allowed_packet=33M
log_bin_trust_function_creators=1
innodb_log_file_size=100M
innodb_log_files_in_group=2

然後重啟MySQL service

$ sudo systemctl restart mysql

安裝 ODBC#

安裝 unixODBC Driver
```
$ sudo apt-get install unixodbc
```

下載 ODBC connector

$ wget https://downloads.mysql.com/archives/get/p/10/file/mysql-connector-odbc-8.1.0-linux-glibc2.28-x86-64bit.tar.gz

解開 ODBC connector 並移動到檔案內

$ tar zvxf mysql-connector-odbc-8.1.0-linux-glibc2.28-x86-64bit.tar.gz && \
cd mysql-connector-odbc-8.1.0-linux-glibc2.28-x86-64bit

複製 ODBC Driver

$ sudo cp -r bin/* /usr/local/bin
$ sudo cp -r lib/* /usr/local/lib

註冊 ODBC Driver

$ cd bin \
sudo myodbc-installer -a -d -n "MySQL ODBC 8.1 Driver" -t "Driver=/usr/local/lib/libmyodbc8w.so"

驗證安裝的Driver

$ sudo myodbc-installer -d -l
MySQL ODBC 8.1 Driver

安裝 ESET PROTECT SERVER#

`安裝必要套件

$ sudo apt update && apt install -y xvfb cifs-utils ldap-utils libsasl2-modules-gssapi-mit lshw

套件	Debian 和 Ubuntu 發送	Red Hat 發行版和 Rocky Linux
ODBC 驅動程式	請參閱 ODBC 安裝與配置。	請參閱 ODBC 安裝與配置。
OpenSSL	apt-get install openssl	dnf install openssl -y
xvfb	apt-get install xvfb	dnf install xorg-x11-server-Xvfb -y
gtk3 (僅Rocky Linux)		dnf install gtk3
cifs-utils	apt-get install cifs-utils	dnf install cifs-utils
kinit + klist (選用)	apt-get install krb5-user	dnf install krb5-workstation
ldapsearch	apt-get install ldap-utils	dnf install openldap-clients
	libssasl2-modules-gssapi-mit	cyrus-sasl-gssapi cyrus-sasl-ldap
snmptrap (選用)	apt-get install snmp	dnf install net-snmp-utils net-snmp
SELinux 開發套件(選用)	apt-get install selinux-policy-dev	dnf install policycoreutils-devel
samba (選用)	apt-get install samba	dnf install samba
		samba-winbind-clients
lshw	apt-get install -y lshw	dnf install -y lshw

下載 ESET 安裝 shell script

wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh

給予 script 執行權限
```
$ chmod +x agent-linux-x86_64.sh
```

安裝 ESET PROTECT SETVER

$ ./server-linux-x86_64.sh \
--skip-license \
--db-type="MySQL Server" \
--db-driver="MySQL ODBC 8.1 Driver" \
--db-hostname=127.0.0.1 \
--db-port=3306 \
--db-admin-username=root \
--db-admin-password=<Mysql password> \
--server-root-password=<長度超過14位的密碼> \
--db-user-username=root \
--db-user-password=<Mysql user password> \
--cert-hostname="hostname, ip, FQDN"

檢查 eraserver service狀態
```
$ sudo systemctl status eraserver
```
將 eraserver service 加入開機啟動
```
$ sudo systemctl enalbe eraserver
```

安裝 Web Console#

安裝 openjdk-17

$ sudo apt-get update && sudo apt-get install -y openjdk-17-jdk

下載 tomcat 9 壓縮檔

$ wget https://dlcdn.apache.org/tomcat/tomcat-9/v9.0.107/bin/apache-tomcat-9.0.107.tar.gz

建立 tomcat user

sudo useradd -m -U -d /opt/tomcat -s /bin/false tomcat

解壓縮 tomcat 9 到 /opt/tomcat/

$ sudo tar -xf ./apache-tomcat-9.0.107.tar.gz -C /opt/tomcat/

連結虛擬資料夾

$ sudo ln -s /opt/tomcat/apache-tomcat-9.0.73 /opt/tomcat/latest

改變擁有者＆權限

$ sudo chown -R tomcat: /opt/tomcat
$ sudo sh -c 'chmod +x /opt/tomcat/latest/bin/*.sh'

將 tomcat 寫成 system service

[Unit]
Description=Tomcat 9 servlet container
After=network.target

[Service]
Type=forking

User=tomcat
Group=tomcat

Environment="JAVA_HOME=/usr/lib/jvm/java-17-openjdk-amd64/"
Environment="JAVA_OPTS=-Djava.security.egd=file:///dev/urandom -Djava.awt.headless=true"

Environment="CATALINA_BASE=/opt/tomcat/latest"
Environment="CATALINA_HOME=/opt/tomcat/latest"
Environment="CATALINA_PID=/opt/tomcat/latest/temp/tomcat.pid"
Environment="CATALINA_OPTS=-Xms512M -Xmx1024M -server -XX:+UseParallelGC"

ExecStart=/opt/tomcat/latest/bin/startup.sh
ExecStop=/opt/tomcat/latest/bin/shutdown.sh

[Install]
WantedBy=multi-user.target

啟動 tomcat service 並加入開機執行、查看狀態

$ sudo systemctl daemon-reload
$ sudo systemctl enable --now tomcat
$ sudo systemctl status tomcat

確認 tomcat 運作正常
使用 browaer 連線 http://localhost:8080

下載 Web Console 檔案並且移動檔案到 /opt/tomcat/

$ cd /opt/tomcat/latest/webapps
$ ln -sf /opt/tomcat/era.war

重新啟動 tomcat service 以部署 era.war
```
$ sudo systemctl restart tomcat
```
確認 Web Console 運作正常
使用瀏覽器連線 http://localhost:8080/era

安裝代理程式#

建立新的憑證
ESET PROTECT On-Prem 會在安裝程序中要求您建立代理程式的對等憑證。這些憑證用於驗證用戶端裝置上代理程式及 ESET PROTECT 伺服器之間的通訊。
若要在 [ ESET PROTECT Web Console] 中建立新的憑證，請瀏覽至 [其他] > [對等憑證]，並按一下 [新增]。
基本
說明 - 憑證的類型說明。
按一下 [選取標籤] 以指派標籤。
產品 - 從下拉式功能表中選取您要建立的憑證類型。
主機 - 保留 [主機欄位中的預設值 (星號)]，可允許散佈這個與特定 DNS 名稱或 IP 位址無關聯的憑證。
密碼 - 建議您將此欄位保留空白，但您可以設定當用戶端嘗試啟動時所需憑證的密碼。
```
•憑證密碼不得包含下列字元：" \ 這些字元在代理程式初始化期間會造成嚴重錯誤。
•密碼必須至少包含 14 個字元，且包含下列其中三個類別：小寫字母、大寫字母、數字或特殊字元。我們建議使用不少於 17 個字元的密碼。
```
屬性 (主旨)
這些欄位不是必填，但您可以用來包含此憑證更詳細的資訊。
常用名稱 - 根據選取的 [產品] 而定，此值應包含「Agent」或「Server」等字串。您也可以輸入與憑證有關的敘述性資訊。輸入 [生效日] 和 [到期日] 的值以確保該憑證有效。
```
對於在安裝 ESET PROTECT 元件期間建立的所有憑證和憑證授權單位，生效日的值會設定為在建立憑證之前的 2 天。
對於在 ESET PROTECT Web Console 中建立的所有憑證和憑證授權單位，生效日的值會設定為在建立憑證之前的 1 天。其原因是為了涵蓋受影響系統之間的所有可能的時間差異。
例如，在 2017 年1 月 12 日安裝期間建立的憑證授權單位和憑證，其預先定義的生效日值將會為 2017 年 1 月 10 日 00:00:00，而在 2017 年1 月 12 日在 ESET PROTECT Web Console 中建立的憑證授權單位和憑證，其預先定義的生效日值將會為 2017 年 1 月 11 日 00:00:00。
```
簽署
選取自兩個簽署方法：
- 憑證授權單位- 如果您想要使用 ESET PROTECT 憑證授權單位 (在 ESET PROTECT On-Prem 安裝期間建立的 CA) 進行簽署。
  - 從憑證授權單位清單中，選取 ESET PROTECT 憑證授權單位]
  - 建立新的憑證授權單位
- 自訂 pfx 檔 - 如要使用自訂 .pfx 檔案，請按一下 [瀏覽] 以瀏覽至您自訂的 .pfx 檔案，並按一下 [確定]。選取 [上傳]，將此憑證上傳至伺服器。您無法使用自訂憑證。
```
如果您想使用 ESET PROTECT On-Prem 虛擬設備內的 ESET PROTECT On-Prem CA (在 ESET PROTECT 安裝期間建立) 來簽署新的憑證，您必須輸入 [憑證授權單位密碼] 欄位。這是您在 ESET PROTECT VA 配置期間指定的密碼。
```
摘要
檢視您提供的憑證資訊，然後按一下 [完成]。現在憑證已經成功建立，並且會出現在 [憑證] 清單中提供安裝代理程式時使用。憑證會在您的家用群組中建立。
```
作為建立新憑證的替代方法，您可以匯入公用金鑰、匯出公用金鑰或匯出對等憑證。
```

下載代理程式 shell script

$ wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh

給予 script 執行權限
```
$ chmod +x agent-linux-x86_64.sh
```

安裝代理程式

$ sudo ./agent-linux-x86_64.sh \
--skip-license \
--cert-path=/opt/tomcat/cert/agent.pfx \
--cert-auth-path=/opt/tomcat/cert/publickey.der \
--cert-password='password' \
--hostname=192.168.x.x \
--port=2222

檢查代理程式狀態
```
$ sudo systemctl status eraagent
```
將 eraagent 服務設定為在開機時啟動
```
sudo systemctl enable eraagent
```

安裝 rogue detection sensor#

請造訪 ESET PROTECT下載區段，下載此 ESET PROTECT 元件的獨立安裝程式 (rdsensor-linux-i386.sh 或 rdsensor-linux-x86_64.sh)。

下載 rogue detection sensor shell script

$ wget https://download.eset.com/com/eset/apps/business/era/rdsensor/latest/rdsensor-linux-x86_64.sh

給予 rogue detection sensor 安裝 shell script 執行權限
```
$ chmod +x rdsensor-linux-x86_64.sh
```
安裝 rogue detection sensor
```
$ sudo ./rdsensor-linux-x86_64.sh
```
請閱讀使用者授權合約。使用空格鍵繼續參閱 EULA 的下一頁。
安裝程式將提示您指定是否接受合約。如果您同意，請在鍵盤上按下 Y。否則，按下 N。
如果您同意參與產品改進計劃，請按 [Y]。否則，按下 N。
檢查 rogue detection sensor 狀態
```
sudo systemctl status rdsensor
```
將 rogue detection sensor 服務設定為在開機時啟動
```
sudo systemctl enable rdsensor
```

Set up an HTTPS/SSL connection for ESET PROTECT On-Prem#

將 .pfx 上傳到 tomcat 所在資料夾 /opt/tomcat/

更動 server.xml 檔案 vim /opt/tomcat/latest/conf/server.xml

<Connector port="8443"
            protocol="HTTP/1.1"
            SSLEnabled="true"
            maxThreads="150"
            scheme="https"
            secure="true"
            clientAuth="false"
            sslEnabledProtocols="TLSv1.2,TLSv1.3"
            ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
                        TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
                        TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                        TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
                        TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
                        TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
                        TLS_RSA_WITH_AES_128_CBC_SHA256,
                        TLS_RSA_WITH_AES_128_GCM_SHA256,
                        TLS_RSA_WITH_AES_128_CBC_SHA,
                        TLS_RSA_WITH_AES_256_CBC_SHA256,
                        TLS_RSA_WITH_AES_256_GCM_SHA384,
                        TLS_RSA_WITH_AES_256_CBC_SHA"
            keystoreFile="/etc/tomcat/certificate_file.pfx"
            keystorePass="Secret_Password_123"
            keystoreType="PKCS12"
            />

Reference#

This docs:

MySQL

Official docs:

ESET ONLINE HELP

ESET Set up an HTTPS/SSL