Generar el paquete de instalación y despliegue manual

  • En el menú superior Equipos de la consola de administración, haz clic en el botón Añadir equipos situado en la parte superior derecha de la pantalla. Se mostrará una ventana con las plataformas compatibles con Advanced EPDR.

  • Haz clic en el icono Linux. Se mostrará la ventana Linux.

Ventana de selección de plataforma compatible con Advanced EPDR

  • Para elegir el grupo en el que se integrarán los equipos, haz clic en el desplegable Añadir los equipos al siguiente grupo.

  • Para establecer una configuración de red alternativa al grupo donde se integrará el equipo, haz clic en Selecciona la configuración de red para los equipos y elige una configuración de red en el desplegable. Inicialmente, todas las configuraciones que se aplican al equipo en el momento de la integración son las que están asignadas al grupo de la consola al que pertenecerá. Sin embargo, para prevenir fallos de conectividad y evitar que el equipo quede inaccesible desde la consola de administración por una configuración de red no apropiada, es posible establecer una configuración de red alternativa. Para más información sobre cómo crear configuraciones de red, consulta Configuración remota del agente.

  • Para enviar el instalador al usuario por correo electrónico:

    • Haz clic en el botón Enviar URL por email. Se mostrará la aplicación de correo instalada por defecto en el equipo del administrador, con un mensaje pregenerado que contiene la URL de descarga.

    • Añade al mensaje los destinatarios de correo y haz clic en el botón Enviar.

    • El usuario que reciba el correo deberá hacer clic en la URL desde el dispositivo para iniciar la descarga del instalador.

  • Para descargar el paquete de instalación y compartirlo con los usuarios de la red, haz clic en el botón Descargar instalador.

Instalación en plataformas Linux

Dependiendo de las características del equipo destino, el agente puede instalarse de varias maneras:

  • Instalación en plataformas Linux con conexión a Internet

  • Instalación en plataformas Linux con Secure Boot

  • Instalación en plataformas Linux sin conexión a Internet (sin dependecias)

Instalación en plataformas Linux con conexión a Internet

Instalar el producto en el equipo de usuario requiere permisos de administrador y que el paquete descargado tenga permisos de ejecución. Al ejecutar el programa de instalación, éste localizará en el equipo del usuario todas las librerías que necesita. Las librerías que no consiga encontrar las descargará de Internet de forma automática.

  • Abre una terminal en la carpeta donde reside el paquete descargado y ejecuta los siguientes comandos:

$ sudo chmod +x “/Ruta descarga/Panda Endpoint Agent.run”
$ sudo “/RutaDescarga/Panda Endpoint Agent.run-- --no-deps”

  • Para indicar una lista de proxys, añade el parámetro --proxy=<proxy-list>, donde <proxy-list> es una lista de servidores proxy separadas por espacio indicando el usuario y el protocolo con la sintaxis:

<http|https>://<user1>:<pass1>@<host1>:<port1>

  • Para comprobar que el proceso AgentSvc se está ejecutando, utiliza el comando siguiente:

$ ps ax | grep Agent Svc

  • Comprueba que se han creado los siguientes directorios de instalación:

/usr/local/managemnt-agent/*

Instalación en plataformas Linux con Secure Boot

Algunas distribuciones Linux detectan si el equipo tiene la funcionalidad de Secure Boot activada, que deshabilita el software de protección que no esté debidamente firmado. La presencia de Secure Boot puede ser detectada tanto en el momento de la instalación del software de protección como más adelante, si la distribución originalmente no daba soporte a esta funcionalidad, pero posteriormente se añade en alguna actualización. En ambos casos, se muestra un error en la consola y el software de protección no funcionará. Para habilitar el software de protección en este caso, es necesario seguir el procedimiento y cumplir con los requisitos mostrados a continuación.

Requisitos de la distribución

  • Sistemas DKMS (Dynamic Kernel Module Support ): paquetes mokutil y openssl instalados.

  • Oracle Linux 7.x/8.x y kernel UEKR6: repositorio ol7_optional_latest activado y los paquetes openssl, keyutils, mokutil, pesign, kernel-uek-devel-$(uname -r) instalados.

Habilitar el software de protección en equipos con Secure Boot activado

Para habilitar el software de protección es necesario seguir el procedimiento mostrado a continuación directamente en el equipo, ya que es necesario interactuar con su sistema de arranque:

  • Comprueba el estado de Secure Boot:

$ mokutil --sb-state

Si Secure Boot está activado en el equipo se muestra el mensaje Secure Boot enabled.

  • Verifica que el driver de la protección no está cargado:

$ lsmod | grep prot

  • Actualiza el repositorio de la protección:

$ sudo /usr/local/management-agent/repositories/pa/install

--add-repo=https://repository.pandasecurity.com/aether/

/installers/protection/linux/3.01.00.0001

  • En distribuciones distintas a SUSE, actualiza el driver de la protección :

$ sudo /usr/local/management-agent/repositories/pa/install --install --kernel-only

  • En distribuciones SUSE, actualiza el driver de la protección:

$ sudo zypper up protection-agent-kmp-default

  • Importa las claves de la protección:

$ sudo /usr/src/protection-agent-<version>/scripts/sb_import_key.sh

Los ficheros del agente y de la protección tienen el formato protection-agent-03.01.00.0001-1.5.0_741_g8e14e52. El nombre varía en función de la versión y del driver.

Se muestra un mensaje de aviso sobre las implicaciones del uso de Secure Boot.

  • Presiona C para registrar el certificado usado para firmar los módulos.

  • Genera una contraseña de ocho caracteres.

  • Reinicia el equipo y completa el proceso de registro:

    • Presiona cualquier tecla para iniciar el proceso de registro (esta pantalla tiene un tiempo limitado, por lo que si no se presiona ninguna tecla dentro del tiempo definido, habrá que reiniciar el proceso de registro).

    • En el menú, selecciona la opción Enroll MOK. Se abrirá un nuevo menú que muestra el número de KEYS que se van a registrar.

    • Selecciona la opción View keypara revisar que las KEYS son las correspondientes a la protección de Panda Security, y selecciona la opción Continue para seguir con el proceso de registro.

    • Cuando aparezca la opción Enroll the key, selecciona Yes.

    • Escribe la contraseña generada en el paso 3 y reinicia el equipo con la opción REBOOT.

    • Comprueba que el driver está cargado:

$ lsmod | grep prot
Oracle Linux 7.x/8.x con Kernel UEKR6

Una vez terminado el procedimiento general, si la distribución instalada en el equipo es Oracle Linux 7.x/8.x con kernel UEKR6, sigue estos pasos adicionales:

  • Vuelve a ejecutar el comando:

$ sudo /usr/src/protection-agent-<version>/scripts/sb_import_key.sh

Se añadirá el certificado con el que se firmaron los módulos a la lista de certificados confiables del kernel. Se firmará el kernel modificado y se añadirá a la lista de kernels de GRUB.

  • Reinicia el equipo. El módulo estará cargado y arrancado.

  • Para comprobar que el certificado se ha añadido correctamente ejecuta el comando:

$ sudo /usr/src/protection-agent-<version>/scripts/sb_import_key.sh

Se obtiene como resultado:

The signer´s common name is UA-MOK Driver Signing
Image /boot/vmlinuz-<kernel-version>-panda-secure-boot already signed
Kernel module succesfully loaded

Instalación en plataformas Linux sin conexión a Internet (sin dependecias)

Los servidores o equipos de usuario sin acceso a Internet (ni directo ni a través de un proxy Cytomic o corporativo) pueden completar la instalación del software de seguridad utilizando las librerías incluidas en el propio paquete de distribución de Advanced EPDR. Este método de instalación solo es recomendable en los casos en los que realmente el equipo esté aislado de Internet, ya que si se detectan fallos de seguridad en librerías de terceros incluidas en el paquete de instalación, éstas no serán actualizadas de forma automática.

El instalador sin dependencias es compatible con las siguientes distribuciones:

  • Redhat 6, 7, 8.

  • CentOS 6, 7, 8.

  • SuSE Linux Enterprise 11.2 a 15.2.

El instalador completo es compatible con las siguientes versiones de agente y protección Linux:

  • Protección 3.00.00.0050 y posteriores

  • Agente 1.10.06.0050 y posteriores

Si se utiliza la instalación sin dependencias en una distribución no compatible, la instalación dará un error. Este método de instalación solo es posible sobre equipos sin versiones anteriores del software de seguridad. En caso contrario, se mantiene la configuración previa del repositorio.

Para instalar el agente Advanced EPDR abre una terminal en la carpeta donde reside el paquete descargado y ejecuta:

$ sudo chmod +x “/Ruta descarga/Panda Endpoint Agent.run”
$ sudo "/DownloadPath/Panda Endpoint Agent.run" –- --no-deps