Programme d’installation pour Linux avec options de ligne de commande
Avant de pouvoir installer Server Protection pour Linux (SPL), téléchargez SophosSetup.sh
depuis Sophos Central et rendez le fichier exécutable. Voir Télécharger et exécuter le programme d’installation de Linux Server.
Conditions
Vos appareils Linux doivent être en mesure de communiquer avec Sophos Central Admin pendant l’installation et pendant que l’agent Server Protection est en cours d’exécution. Voir Domaines et ports à autoriser.
Options de ligne de commande Linux de base
Certaines options ne sont pas encore disponibles pour tous les clients.
Le programme d’installation de Server Protection pour Linux prend en charge les options de ligne de commande de base suivantes.
Aide
Affiche le texte d’aide de SophosSetup.sh
.
--help
Version
Affiche la version de SophosSetup.sh
.
--version
Force
Force l’installation même si le programme d’installation a détecté que les produits Sophos sont déjà installés sur l’appareil. Vous pouvez utiliser cette commande pour tenter de réparer une installation interrompue.
--force
Groupe
Ajoute l’appareil à un groupe spécifique dans Sophos Central. Vous pouvez également utiliser cette option pour ajouter un appareil à un sous-groupe.
--group=<Central group>
--group=<Central group>\<Central subgroup>
Arguments de fin
Groupe ou sous-groupe à rejoindre. S’il n’existe pas, il est créé.
Désinstaller Sophos Anti-Virus for Linux.
Interrompt le service SAV et désinstalle Sophos Anti-Virus for Linux. Vous pouvez l’utiliser avant d’installer Sophos Protection for Linux.
L’installation de Sophos Protection for Linux n’est pas compatible avec Sophos Anti-Virus for Linux. Vous devez désinstaller Sophos Anti-Virus for Linux avant d’installer Sophos Protection for Linux.
--uninstall-sav
Tester
Exécute les vérifications préalables à l’installation et imprime les résultats. N’installe pas SPL.
--test
Conseil
Vous pouvez obtenir plus de détails en exécutant le programme d’installation en mode débogage. Voir Déboguer le programme d’installation léger.
Aucun test
Installe SPL sans effectuer de vérifications préalables à l’installation.
--notest
Déboguer le programme d’installation léger
Exécuter SophosSetup.sh
en mode débogage pour le dépannage.
export DEBUG_THIN_INSTALLER=1
Arguments de fin
1
est activé et 0
est désactivé.
Pour collecter la sortie dans un fichier journal, vous devez rediriger la sortie vers un fichier ou définir OVERRIDE_INSTALLER_CLEANUP
sur 1
.
Conseil
Retrouvez plus d’aide sur la résolution des erreurs d'installation sur Résolution de problèmes dans Sophos Protection for Linux.
Remplacer le nettoyage du programme d’installation
Empêche le programme d’installation de supprimer /tmp/SophosCentralInstall_<uuid>
après l’installation. Vous pouvez utiliser les journaux d'installation de ce répertoire pour résoudre les problèmes.
export OVERRIDE_INSTALLER_CLEANUP=1
Arguments de fin
1
est activé et 0
est désactivé.
Options de ligne de commande Linux avancées
Le programme d’installation de Server Protection pour Linux prend en charge les options de ligne de commande avancées suivantes. Vous pouvez les utiliser pour personnaliser votre installation.
Produits
Indique une liste de produits à installer. Si vous indiquez un produit pour lequel vous n’avez pas de licence, il n’est pas installé.
--products=<comma-separated list of products>
Arguments de fin
Liste des produits à installer, séparés par des virgules.
Les options disponibles sont : antivirus
, mdr
, et xdr
.
Répertoire d’installation
Par défaut, SPL s’installe dans /opt/sophos-spl/
. /sophos-spl/
est créé dans le répertoire spécifié et installe SPL à cet emplacement.
--install-dir=<path to installation directory>
Arguments de fin
Chemin d’accès au répertoire dans lequel vous souhaitez créer le répertoire /sophos-spl
pour l’installation.
Remarque
Si le répertoire /sophos-spl
existe déjà à cet emplacement, ou si SPL est installé à un autre emplacement sur l’appareil Linux, l’installation échoue.
ID de l'utilisateur
Définit les ID d’utilisateur (UID) des comptes d’utilisateur Sophos créés lors de l’installation.
--user-ids-to-configure=<user name>:<uid>
Arguments de fin
Liste des ID utilisateur, séparées par des virgules, que vous souhaitez configurer au format suivant :
<user1>:<uid1>,<user2>:<uid2>,<user3>:<uid3>
, et ainsi de suite…
Restriction
Cette commande affecte uniquement les comptes d’utilisateur Sophos, sophos-spl-av
, sophos-spl-local
, sophos-spl-threat-detector
, sophos-spl-updatescheduler
, et sophos-spl-user
. La commande ignore tous les autres comptes d’utilisateur.
ID du groupe
Définit l’ID du groupe (GID) des groupes Sophos créés lors de l’installation.
--group-ids-to-configure=<group name>:<gid>
Arguments de fin
Liste séparée par des virgules des GID que vous souhaitez assigner au format suivant :
<group1>:<gid1>,<group2>:<gid2>
Restriction
Cette commande affecte uniquement les groupes Sophos, sophos-spl-group
et sophos-spl-ipc
. La commande ignore tous les autres groupes.
TMPDIR
Définit un répertoire temporaire différent à utiliser par le programme d’installation pendant le processus d’installation. Vous pouvez l’utiliser pour exécuter SophosSetup.sh
lorsque /tmp
n’est pas défini comme exécutable sur un appareil.
TMPDIR=<path to directory>
Arguments de fin
Chemin vers le répertoire que le programme d’installation doit utiliser.
Exemples Linux
Désinstallez Sophos Anti-Virus for Linux et installez Sophos Protection for Linux :
sudo ./SophosSetup.sh --uninstall-sav
Installer dans un sous-groupe :
sudo ./SophosSetup.sh --group=LinuxServers\MailServers
Installez dans le répertoire /serverprotection/sophos-spl/
:
sudo ./SophosSetup.sh --install-dir=/serverprotection
Remplacez le nettoyage de programme d’installation et lancez programme d’installation afin de pouvoir collecter les journaux :
sudo export OVERRIDE_INSTALLER_CLEANUP=1 ./SophosSetup.sh
Activez le mode débogage, exécutez les vérifications préalables à l’installation et imprimez la sortie détaillée sans installer SPL :
sudo export DEBUG_THIN_INSTALLER=1 ./SophosSetup.sh --test
Activez le mode Debug, lancez le programme d’installation avec l’option de shell détaillée, combinez stderr
et stdout
dans le flux stdout
et écrivez la sortie dans install.log
.
sudo export DEBUG_THIN_INSTALLER=1; bash -x ./SophosSetup.sh 2>&1 | tee install.log
Relais de messages et caches de mise à jour
SophosSetup.sh
inclut une liste de tous les relais et caches configurés dans Sophos Central.
Au cours de l’installation, l’appareil Linux compare les adresses IP de tous les serveurs de relais de messages et de cache de mise à jour avec l’adresse IP de l’appareil et les classe en fonction de leur correspondance. Par exemple, si un appareil Linux est 192.168.1.10
, et que les relais de message sont 192.168.1.154
et 192.168.1.228
, alors l’appareil contactera d’abord 192.168.1.154
parce qu’il est numériquement plus proche. Le programme d’installation utilise le cache le plus proche pour installer Sophos Protection for Linux et le relais le plus proche pour communiquer avec Sophos Central. Si l’appareil Linux ne peut pas atteindre le cache ou le relais, il contacte Sophos Central directement.
Vous pouvez remplacer ce comportement en utilisant les commandes --message-relays
et --update-caches
. Cela modifie le comportement pendant l’installation et force le programme d’installation à utiliser les relais de messages et les caches de mise à jour que vous spécifiez. Après l’installation, l’agent exploitera le relais de messages le plus proche et mettra à jour le cache pour les communications.
Vous pouvez également assigner manuellement un appareil Linux à un relais de messages ou mettre à jour le cache dans Central. Voir Assigner les ordinateurs à un cache/relais.
Relais de messagerie
Vous pouvez utiliser cette commande pour remplacer la liste intégrée des relais de messages du programme d’installation.
--message-relays={none | <ipaddress:port>...}
Voici un exemple :
--message-relays=IPADDRESS:8190
Remarque
Le port par défaut pour les relais de messages est 8190.
Arguments de fin
Liste des adresses IP de relais de messages séparées par des virgules, y compris le port, au format suivant :
<ipaddress1:port>,<ipaddress2:port>,
Utilisez none
si vous souhaitez que l’appareil Linux contacte directement Sophos Central.
Cache de mise à jour
Vous pouvez utiliser cette commande pour remplacer la liste intégrée des caches de mise à jour du programme d'installation.
--update-caches={none | <ipaddress:port>...}
Voici un exemple :
--update-caches=IPADDRESS:8191
Remarque
Le port par défaut pour les caches de mise à jour est 8191.
Arguments de fin
Liste séparée par des virgules des adresses IP du cache de mise à jour, y compris le port, au format suivant :
<ipaddress1:port>,<ipaddress2:port>,
Utilisez none
si vous souhaitez que l’appareil Linux contacte directement Sophos Central.
Sophos Protection pour Linux et auditd
Nous désactivons auditd
par défaut. Cela signifie que vous pouvez interroger les données d’événements d’historique dans Live Discover. Si vous désactivez auditd
, vous ne recevrez pas d’événements d’audit dans vos journaux systemd
. L’accès à ces journaux se fait généralement à l’aide de la commande journalctl
.
La désactivation de auditd
peut affecter les outils tiers qui utilisent des événements d’audit dans les journaux du système. Si nécessaire, vous pouvez activer auditd
avec --do-not-disable-auditd
. Toutefois, cette option réduit l’étendue des données interrogeables car elles ne contiennent pas de données d’événements historiques. Vous trouverez ci-dessous quelques exemples de données d’événements historiques qui pourraient être affectées :
- Certaines tables d’évènements utilisées dans l’exécution de demandes Live Discover sur les terminaux.
- Certaines demandes Data Lake qui utilisent les données sur les événements pourraient également être affectées.
La désactivation de auditd
n’affecte pas toutes les données historiques. Certaines tables seront toujours accessibles sur le terminal. En outre, les données d’événements de détection runtime AV et d’autres demandes Data Lake dans Live Discover fonctionneront toujours.
La désinstallation de Sophos Protection for Linux ne modifie pas votre paramètre auditd
. Si vous avez désactivé auditd
, il reste éteint. Le ré-enregistrement du produit ne modifiera pas les paramètres auditd
.
Vous pouvez utiliser les commandes suivantes pour gérer les paramètres auditd pendant l’installation :
Disable auditd
Désactive auditd
sur l’appareil pour que Sophos Protection pour Linux puisse s’abonner au lien réseau d’audit et fournir des données d’événements historiques pour Live Discover. Cette option est définie par défaut.
--disable-auditd
Do not disable auditd
Active auditd
ou le laisse activé s’il est déjà allumé. Cette option réduit l’étendue des données interrogeables car elles ne contiennent pas de données d’événements historiques.
--do-not-disable-auditd