- 什么是Agent?
- 安装Agent会不会对自身的业务稳定性产生影响?
- 如何安装Agent?
- 如何卸载Agent
- Agent安装失败如何处理?
- Agent状态异常如何处理?
- 如何查看未防护的主机?
- 如何查看已离线的主机?
- Agent默认安装路径是什么?
- Agent如何升级?
- Agent运行过程中占用多少资源?
- Agent安装以后会访问哪些地址?
- 服务器安全卫士(原生版)和网页防篡改(原生版)共用Agent?
- 已开通安全卫士,服务器防护状态显示未防护, 如何解决?
什么是Agent?
Agent是部署到用户服务器操作系统中的轻量化进程,主要功能是根据用户配置的安全策略,上报服务器存在的安全风险和新增的安全事件数据,同时响应用户和安全卫士防护中心的指令,实现对服务器上的安全威胁清除和恶意攻击拦截。
安装Agent会不会对自身的业务稳定性产生影响?
不会。Agent是纯应用层的,不会给系统装任何的驱动;Agent的带宽和资源占用很小;Agent已经通过各种业务场景长时间运行测试,不会影响系统的稳定性。
如何安装Agent?
开通服务器安全卫士后,,在左侧导航中选择“资产管理 > 服务器列表” ,查看服务器列表中的“Agent状态”。
- 若状态为“在线”,则本台服务器已安装Agent并自动激活,Agent服务正常。
- 若状态为“离线”、“错误”、未激活”,则需要为服务器重新安装Agent。
-
Linux系统安装命令
-
Windows系统安装命令
-
如何卸载Agent
支持一键卸载和本地手动卸载两种方式。
1、通过控制台卸载Agent时,云主机的Agent状态应处于“在线”状态。
- 点击左上角控制中心进入服务器安全卫士(原生版)界面;
- 进入资产管理 -> 服务器列表,找到需卸载的云主机Agent,点击“操作”列的“卸载Agent”按钮,并在弹出的卸载Agent对话框中,点击“确定”按钮;
- 卸载成功后,Agent状态应显示为“离线”状态,点击右侧刷新按钮可更新状态(由于缓存原因,Agent状态更新需等待10分钟)。
2、云主机本地卸载Agent
卸载Linux版本Agent:
以root用户登录到Linux云主机,任意目录下执行以下命令即可卸载agent,执行无明显报错信息则卸载成功。
执行命令卸载 :bash /var/ctcss/active-response/bin/uninstall.sh
卸载Windows版本Agent:
登录到Windows云主机,在”控制面板 -> 程序和功能“中找到“CTCSS Agent"或"CTCSSAgen”,右键点击,选择卸载,按照提示卸载。
Agent安装失败如何处理?
Agent安装失败的可能原因有多种,可按以下方法解决:
1、确认安装命令是否正确
点击”安装Agent“按钮,即可获取到Linux和Windows系统安装指令。
2、 确认是否以root或管理员权限执行安装命令
Agent安装需要root或管理员权限。
3、 卸载Agent后再次尝试安装
若再次安装仍然失败,提工单联系技术支持。
Agent状态异常如何处理?
若安装Agent后,在服务器安全卫士界面无法找到安装Agent的云主机,或者Agent状态仍然为“离线”状态,则可能Agent与服务端无法正常通信,状态异常。可按以下方法排查解决:
1、Agent安装后,需在控制台右上角点击“同步资产”按钮,等待5~10s待同步完成后(按钮旁的资产更新日期会刷新),安装Agent的云主机会显示在界面中。
2、 查询agent是否支持该云主机操作系统,参见服务器安全卫士支持的系统。
3、查看主机网络联通,命令行执行 telnet 169.254.169.254 5661 看是否能正常联通服务端。若不能,执行 route -n (Windows 为 route print)查看主机是否具备到 169.254.169.254 的路由,若缺失该路由,请提工单添加该路由。
4、 Agent服务异常,需重启Agent服务。
- Linux系统 以root用户在命令行执行 systemctl restart ctcss (centos6 执行 service ctcss restart);
- Windows 系统 以管理员权限,打开“任务”页签,选中“ctcss-agentd",右键单击,选择”重新启动“,完成agent重启。
5、重启Agent服务后等待几分钟,刷新页面后若仍然为”离线“状态,请卸载Agent,并重新安装。
如何查看未防护的主机?
您可以登录服务器安全卫士(原生版)控制台,在左侧导航中选择资产管理 -> 服务器列表,“未防护的主机”页面为您展示防护状态为“未防护”的全部服务器。请您在未防护的主机中安装部署Agent,并正常开启主机防护功能。
如何查看已离线的主机?
您可以登录服务器安全卫士(原生版)控制台,在左侧导航中选择资产管理 -> 服务器列表,“已离线主机”页面为您展示防护状态为“已离线”的服务器。
请您确定主机网络通信是否正常, Agent状态为“离线”状态,则可能Agent与服务端无法正常通信,状态异常,排查步骤详见常见问题“Agent状态异常如何处理”。
Agent默认安装路径是什么?
在Linux/Windows操作系统的主机中安装Agent时,安装过程中不提供安装路径的选择,默认安装在以下路径中:
操作系统 | 默认安装路径 |
---|---|
Windows | C:\Program Files (x86)\ctcss-agent |
Linux | /var/ctcss |
Agent如何升级?
Agent升级正常情况下为自动升级,当Agent发布新版本时,服务端会给Agent下发一次升级命令,Agent收到后自行升级。但服务端下发的指令可能因网络等原因,Agent未收到,导致仍然为旧版本。用户可卸载Agent,并重新下载、安装Agent,确保云主机内运行的Agent为最新版本。
Agent运行过程中占用多少资源?
Agent运行时,内存占用不超过500MB,超过Agent自动重启;单核CPU占用不超过20%,超过Agent暂时挂起。
vCPU规格 | CPU占用(峰值) | 内存占用(峰值) |
---|---|---|
1vCPU | 20% | 500MB |
Agent安装以后会访问哪些地址?
Agent安装后会访问的IP,端口如下表所示:
源IP | 源端口 | 目的设备 | 目的IP | 目的端口 | 协议 |
---|---|---|---|---|---|
Agent云主机IP | 随机 | 服务器安全卫士服务端 | 169.254.169.254 | 5661及16463 | TCP |
访问说明:Agent访问服务器安全卫士服务端,主要是获取服务端下发的策略/配置/指令,上报安全告警事件及资产指纹。
服务器安全卫士(原生版)和网页防篡改(原生版)共用Agent?
共用一个Agent,在天翼云控制台上统一下发管理防护策略,Agent执行监控与处置。
已开通安全卫士,服务器防护状态显示未防护,如何解决?
-
查看Agent是否启动。
Windows:
点击部署目录下的 ct_win32ui.exe ,查看ui界面显示的 agent status 应为 Running,last keepalive 是否更新(与当前系统时间相差应不超过1分钟)
Linux:
centos 6 使用 service ctcss status 查看agent服务状态是否为 Running
其他Linux发行版使用 systemctl status ctcss 查看Agent服务状态是否为active
查看 /var/ctcss/var/run/eShield-agent.state 文件中 last keepalive 是否更新(与当前系统时间相差应不超过1分钟)
-
Agent未启动,请按如下方式启动:
Windows:
点击部署目录下的ct_win32ui.exe ,在弹出的ui界面中点击左上角Manage选项,可控制Agent的启停。
Linux:
centos 6 使用 service ctcss start/stop 启停 Agent;
其他Linux发行版使用 systemctl start/stop ctcss 启停 Agent。
-
检查安全卫士Agent配置。
若Agent处于running状态,但 last keepalive时间未更新,则可能为配置文件错误。查看Agent配置文件,由于Agent版本差异,配置文件路径不同:
Linux路径为 /var/ctcss/etc/ctcss.conf或 /var/ctcss/etc/ctcss.yml ;
Windows路径为 C:\Program Files (x86)\ctcss-agent\ctcss.conf 或C:\Program Files (x86)\ctcss-agent\etc\ctcss.yml 。
其中服务器IP应为 169.254.169.254 ,端口分别为5661和 16463。(非公有云场景下,服务端IP地址可能有变化,以实际部署信息为准)。
配置修改完成后需按前述“步骤1”中最后一段描述重新启动Agent。
-
检查Agent的激活文件中的信息。
先检查client.keys中guid与机器真实guid是否一致。
- 执行【 cat /var/ctcss/etc/client.keys 】获取key信息,包含四段数据,第二段为guid,如下图第一个红框。
- 执行 【 /usr/sbin/dmidecode -s system-uuid | grep -v '#' | tr 'a-z' 'A-Z' 】 获取当前机器guid,如下图第二个红框。
- 对比guid是否一致,如果不一致,执行【 rm -f /var/ctcss/var/run/.activation 】删除.activation文件,之后需按前述“步骤1”中最后一段描述,重新启动agent。等agent启动之后,再次验证guid是否一致,若guid一致等待agent状态更新即可。