Unix Agent installieren

Version 1.1 by Jannis Klein on 2024/08/13 08:28

Der Unix Agent ist die komplett erneuerte und technische überarbeitete Weiterentwicklung des Linux- und Mac-Agents. Der Agent kann über ein mitgeliefertes Client Command ohne Python verteilt und installiert werden. Die Inventardaten werden vollständig an den ACMP Server übermittelt und aktualisiert.

Installationsvoraussetzungen

Für die Installation des Unix Agent gibt es mehrere Voraussetzungen an Sie und Ihr System.

Anforderungen an Ihre Kenntnisse mit ACMP

  • Sie wissen grundlegend, wie man den SICS konfiguriert.
  • Sie wissen, wie man Client Commands in ACMP importiert.
  • Sie können Client Commands ausführen.

Anforderungen an Ihre Umgebung

  • ACMP ist installiert.
  • Der SICS ist auf einem Server installiert.
  • Der ACMP Server ist mit dem SICS verbunden.
  • SICS-Benutzern ist der Zugriff auf die Public API erlaubt.

Anforderungen an Ihre MacOS- und Linux-Systeme

In unseren generellen Systemanforderungen finden Sie eine Übersicht aller getesteten Distributionen.

Darüber hinaus sind bestimmte Einstellungen an Ihren Systemen erforderlich:

  • Ein installierter SSH-Server, der von außen erreichbar ist (wichtig für die Agentenverteilung).
  • Root darf sich von außen per ssh einloggen oder alternativ ein Benutzer, der sich per sudo Root-Rechte beschaffen darf (für Alternative muss sudo installiert sein).
  • Linux- und MacOS-Clients müssen den SICS über Rest erreichen können (mögliche Firewalls müssen Port 3950 durchlassen).
  • Firewall-Einstellungen für den SICS müssen ggf. angepasst werden können.

Installation mit dem Client Command

Für die Installation des Unix Agents ist eine bestehende SICS-Verbindung zum ACMP-Server erforderlich. Sollten Sie noch keine SICS-Verbindung konfiguriert haben, müssen Sie dieses zuerst tun. Eine Anleitung zur Konfiguration der SICS-Verbindung finden Sie im Abschnitt SICS-Verbindung konfigurieren.

Die Installation des Unix Agent erfolgt über ein Client Command in ACMP. Dafür muss das Client Command erst importiert und freigegeben werden.

Warning  Warning:  

Die Installation des Unix Agent stoppt und entfernt den Linux Agent.

Die vom Linux Agent verwendete ClientID bleibt erhalten und wird vom Unix Agent weiterverwendet.

Client Command importieren und freigeben

Die Datei für das benötigte Client Command des Unix Agent ist strukturell wie im folgenden Beispiel benannt:

ACMP Unix Agent verteilen & Inventory__{1F5A4238-731B-44B6-84F0-3EFB8F2D3222}.sim

Wie Sie ein Client Command in ACMP importieren und freigeben, können Sie im Abschnitt Client Commands erstellen nachlesen.

Client Command ausführen

Nachdem Sie das Client Command freigegeben haben, können Sie es ausführen.

Navigieren Sie in der ACMP Console zu Client Commands > Ausführen. Wählen Sie anschließend mit einem Doppelklick das Client Command für den Unix Agent aus.

Wählen Sie im sich öffnenden Dialogfenster die Clients aus, auf denen Sie den Unix Agent installieren möchten. Klicken Sie im Dialogfenster auf den Button Ausführen. Nun öffnet sich das Interface des Client Commands, in dem Sie die Installation des Unix Agent konfigurieren können.

Client Command Interface des Unix Agents

Client Command Interface des Unix Agents

Konfiguration des Unix Agents

Für die Installation des Unix Agent auf Ihren Clients müssen Sie Ihre Benutzerdaten angeben. Außerdem können Sie auswählen, wie der Agent installiert werden soll (Einmaliger Scan oder Agent-Installation).

Die Übertragung des Unix Agent auf den Zielrechner erfolgt hierbei per SSH, es müssen entsprechend valide Benutzerdaten angegeben werden. Der User, welcher zur Installation genutzt wird, muss dabei „sudo"-Rechte (Superuser do) besitzen. Anders als der Linux Agent, überträgt der Unix Agent die Scandaten direkt an den ACMP-Server.

SICS-Berechtigungsnachweise angeben

Für die Installation des Unix Agent auf den Clients müssen Sie Ihre SICS-Verbindungsdaten angeben. Diese Daten haben Sie bei der AESB-Installation für den Operator vergeben.

Optionen

Im Bereich Optionen können Sie Einstellungen für das Logging vornehmen und festlegen, in welchem Modus der Agent ausgeführt werden soll.

Protokollierung aktivieren

Durch das Auswählen der Option Protokollierung aktivieren, können Sie die Logs nach der Installation oder Ausführung auf Ihren Rechner (bzw. den Rechner mit der ACMP-Console) laden. Das Aktivieren der Protokollierung ist bereits an dieser Stelle im Client Command verfügbar und kann sinnvoll sein, da bei der Installation oder der Ausführung als Inventory One-Time-Scan Fehler auftreten können.

Einmaliger Scan

Für die einmalige Inventarisierung eines Clients, kann der Agent im Modus Einmaliger Scan ausgeführt werden. Der Unix Agent wird nun auf den Zielrechner  übertragen und gestartet. Nach der erfolgreichen Ausführung der Scanner wird der Agent wieder von dem System entfernt. Damit bei einer erneuten Ausführung des Modus Einmaliger Scan die neuen Ergebnisse entsprechend zugeordnet werden können, verleibt die ClientID auf dem Client. Diese finden Sie unter dem Pfad: /etc/aagon/ACMPUnixAgent/agentId

Agent-Installation

Für die Installation des Unix Agent als permanente Ressource, können Sie den Agent im Modus Agent-Installation ausführen. Der Unix Agent wird nun auf den Zielrechner übertragen und als Service registriert. Im Anschluss an die Installation startet sich der Agent automatisch und bezieht innerhalb von 10 Minuten seine Konfiguration vom ACMP. Der Agent ist nun als Client im ACMP eingetragen und enthält die grundlegenden Client-Details. Die Ausführungsdatei finden Sie unter dem Pfad: /usr/local/sbin/aagon/ACMPUnixAgent/

Außerdem verwendet der Agent ein weiteres Verzeichnis zum Speichern von diversen Ressourcen, die für den Agent relevant sind. Dieses Verzeichnis finden Sie unter dem Pfad: /etc/aagon/ACMPUnixAgent/

Für die Ausführung der Scanner werden die Agentenplanervorlagen verwendet. Diese können genauso genutzt werden, wie beim ACMP Windows Agent (Container). Aktuell werden die folgenden Jobs innerhalb des Agentenplaners berücksichtigt:

  • System Scanner
  • Software Scanner
  • Einstellungen aktualisieren

Agent deinstallieren

Für die Deinstallation des Unix Agent als Service, können Sie den Agent im Modus Agent deinstallieren ausführen. Der registrierte Unix Agent Service wird nun mitsamt der Ausführungsdatei vom Zielrechner entfernt.

Aktivierte Scanner

Im Bereich Aktivierte Scanner können Sie einzelne Scanner deaktivieren. Das ist sinnvoll, sofern Sie bestimmte Informationen nicht benötigen oder es bei einem oder mehreren Scannern zu Problemen kommt.

CC-Einstellungen

Durch Anklicken der Checkbox im Bereich CC-Einstellungen können Sie festlegen, dass keine vertraulichen Informationen (z.B. Passwörter) im Client Command gespeichert werden.

Feedback zur Ausführung

Nach der Ausführung des Client Commands erhalten Sie in einem Dialogfenster eine Information, ob das Client Command erfolgreich ausgeführt wurde. Dabei wird Ihnen die Anzahl der verarbeiteten Clients angezeigt und eine Angabe dazu, ob Verbindungsfehler (SSH-Errors) entdeckt wurden.

Erfolgsmeldung über Installation vom Unix Agent

Erfolgsmeldung über Installation vom Unix Agent

Logging

Sollte es bei der Ausführung vom Unix Agent zu Verbindungsfehler kommen, werden diese Fehler in die Datei SSH_Errors.log und in das Log des Client Commands geschrieben. Die Datei finden Sie entweder im Standard-Ordner C:\Logs oder in dem Verzeichnis, das Sie für das Logging des Unix Agents angegeben haben.

Hinweis  Note:  

Diese Verbindungsfehler führen nicht zu einem Abbruch des Client Commands. Daher werden diese Fehler nicht angezeigt, wenn Sie die Logging-Einstellung Nur bei Fehlern für das Consolen-Log ausgewählt haben.

Falls Sie also nach einer Ausführung des Client Commands direkt Feedback über mögliche Verbindungsfehler haben möchte, sollte Sie für die Logging-Einstellung des Consolen-Logs entweder die Option Immer wählen oder in der Datei SSH_Errors.log nachschauen.

Troubleshooting

Im Folgenden finden Sie Lösungen zu verschiedenen Problemen, die bei der Installation des Unix Agent auftreten können.


Symptom: Der Unix Agent konnte nicht auf den Clients verteilt werden und im Log werden keine Fehler angezeigt.

Ursache: Der Unix Agent ist noch gar nicht als Service vorhanden, daher können auch keine Fehler in das Log geschrieben werden.

Maßnahme: Beginnen Sie die Fehlersuche im journalctl Ihres Systems und suchen Sie dort nach Einträgen zur fehlgeschlagenen Installation des Unix Agents.


Symptom: Nach der Verteilung des Unix Agents mittels des Client Commands taucht der Unix-Client nicht in ACMP auf.

Ursache: Es trat ein Fehler bei der Ausführung des Client Commands auf, der aber aufgrund der Einstellungen nicht direkt ersichtlich war.

Maßnahme: Aktivieren Sie in den Eigenschaften des Client Commands im Plugin Optionen in der Combobox Consolen-Log anzeigen die Option Nur bei Fehlern und bestätigen Sie den
Dialog mit OK. Nach einer erneuten Ausführung des Client Commands, sollte nun im Falle eines Fehlers ein Consolen-Log angezeigt werden, das ggf. Aufschluss über die Ursache des Problems liefert.

Falls die Unix-Systeme immer noch nicht im ACMP auftauchen, kann dies viele Gründe haben. Deswegen empfiehlt es sich, das Logging für den Agent und den SICS zu aktivieren.  Anschließend sollte man die Kette von Anfang bis Ende durchgehen.


Symptom: Nach der Verteilung des Unix Agents mittels des Client Commands taucht der Unix-Client nicht in ACMP auf. Im SmartInspect Log wird der Fehler „Invalid input detected: endpoint"  angezeigt.

Ursache: Es trat ein Fehler bei der Verbindung zum SICS auf, weil das Protokoll ggf. bei der Verbindung nicht vorangestellt wurde. Dies können Sie im SmartInspect Log in der Zeile Application settings erkennen: „SicsEndpoint: <AESB-SICS-NAME_IP>:3950“

Maßnahme: Stellen Sie sicher, dass als SICS-Endpoint wss://<AESB-SICS-NAME_IP>:3950 verwendet wird und nicht nur <AESB-SICS-NAME_IP>:3950


Symptom: Der Unix Agent liegt nicht auf dem Zielsystem an der Stelle: /usr/local/sbin/aagon/ACMPUnixAgent.

Ursache: Diesem Problem können mehrere Ursachen zugrunde liegen:

  • Der Loginuser darf sich nicht per sudo Root-Rechte verschaffen.
  • Der User besitzt Root-Rechte, aber Root darf sich nicht per SSH einloggen.
  • Der User besitzt Root-Rechte und Root darf sich nicht per SSH einloggen, aber der SSH-Daemon läuft nicht ordnungsgemäß.

Maßnahme: Stellen Sie sicher, dass der SSH-Benutzer sich per SSH einloggen darf und sich Root-Rechte verschaffen kann.


Symptom: Der Unix Agent startet, erreicht aber nicht den Status running.

Ursache: Der Agent scheint keine Verbindung zum SICS zu bekommen.

Maßnahme: Überprüfen Sie, ob die Netzwerkverbindung zum SICS funktioniert. Falls dies das Problem nicht behebt, aktivieren Sie das Client Command das Logging und führen Sie die Aktion erneut durch. Suchen Sie anschließend in der Ausgabe nach Fehlermeldungen.


Symptom: Der Agent wird beim Systemstart nicht mit gestartet.

Ursache: Beim Einrichten oder Starten des Dienstes ist etwas fehlgeschlagen.

Maßnahme: Führen Sie das Client Command zur Installation des Unix-Agent erneut aus.


Symptom: Der Unix Agent läuft, aber der entsprechende Unix-Client taucht nicht in einer ACMP-Abfrage auf.

Ursache: Der SICS kann die Scan-Daten des Unix Agenten nicht an den ACMP Server weiterleiten, weil die Verbindung nicht verfügbar ist.

Maßnahme: Prüfen Sie in den Einstellungen der ACMP Console, ob die SICS-Verbindung des ACMP Servers noch funktioniert (im Plugin ACMP Server / SICS-Verbindung) und ob die Checkbox für den Zugriff von SICS-Benutzern auf die Public API aktiviert ist. Weitere Informationen zu diesem Problem finden Sie ggf. im Log des ACMP Servers oder des Unix Agents.


Symptom: In einer ACMP-Abfrage taucht der Unix-Client auf, aber es sind keine Scandaten verfügbar.

Ursache: Bei der Installation wird zwischen 2 und 10 Minuten gewartet, bis mittels einer Anfrage an den ACMP Server die für diesen Unix-Client getätigten Scan-Einstellungen geholt werden.

Maßnahme: Warten Sie ggf. noch etwas länger, bis die Scandaten geladen wurden. Falls nach deutlich mehr als 10 Minuten immer noch keine Scandaten auftauchen, sollten Sie das Logging für alle beteiligten Komponenten aktivieren und die gesamte Kette von Anfang bis Ende auf Fehler prüfen.

© Aagon GmbH 2024
Besuchen Sie unsere neue Aagon-Community