Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=protect-devices-server-CLI-Linux

Programme d’installation pour Linux avec options de ligne de commande

Le programme d’installation de Sophos Protection for Linux (SPL) vous permet d’utiliser des options de ligne de commande et des variables d’environnement pour modifier l’installation.

Conseil

Les variables d’environnement précèdent la commande du programme d’installation et les options de ligne de commande la suivent. Voir Exemples Linux.

Conditions préalables

Avant d’installer Server Protection pour Linux (SPL), téléchargez SophosSetup.sh depuis Sophos Central et rendez le fichier exécutable. Voir Télécharger et exécuter le programme d’installation de Linux Server.

Vos appareils Linux doivent être en mesure de communiquer avec Sophos Central Admin pendant l’installation et pendant que l’agent Server Protection est en cours d’exécution. Voir Domaines et ports à autoriser.

Variables d’environnement

Vous pouvez utiliser des variables d’environnement pour personnaliser votre environnement pendant l’installation.

Remarque

Vous devez saisir les variables d’environnement avant d’exécuter le programme d’installation. Voir Exemples Linux.

TMPDIR

Définit un répertoire temporaire différent à utiliser par le programme d’installation pendant le processus d’installation. Vous pouvez l’utiliser pour exécuter SophosSetup.sh lorsque /tmp n’est pas défini comme exécutable sur un appareil.

TMPDIR=<path to directory>

Remarque

Cette variable d’environnement définit uniquement le chemin d’accès à un répertoire temporaire pour le programme d’installation. Elle ne modifie pas le répertoire d’installation. Voir Répertoire d’installation.

Déboguer le programme d’installation léger

Exécuter SophosSetup.sh en mode débogage pour le dépannage. Utilisez cette option lorsque le support technique de Sophos demande des journaux. 1 est activé et 0 est désactivé.

DEBUG_THIN_INSTALLER={1 | 0}

Pour collecter la sortie dans un fichier journal, vous devez rediriger la sortie vers un fichier ou définir OVERRIDE_INSTALLER_CLEANUP sur 1. Voir Exemples Linux.

Conseil

Retrouvez plus d’aide sur la résolution des erreurs d'installation sur Résolution de problèmes dans Sophos Protection for Linux.

Remplacer le nettoyage du programme d’installation

Empêche le programme d’installation de supprimer /tmp/SophosCentralInstall_<uuid> après l’installation. Vous pouvez utiliser les journaux d'installation de ce répertoire pour résoudre les problèmes. 1 est activé et 0 est désactivé.

OVERRIDE_INSTALLER_CLEANUP={1 | 0}

Options de ligne de commande Linux de base

Conseil

Saisissez des options de ligne de commande après la commande sophossetup.sh.

Aide

Affiche le texte d’aide de SophosSetup.sh.

--help

Version

Affiche la version de SophosSetup.sh.

--version

Force

Force l’installation même si le programme d’installation a détecté que les produits Sophos sont déjà installés sur l’appareil. Vous pouvez utiliser cette commande pour tenter de réparer une installation interrompue.

--force

Groupe

Ajoute l’appareil à un groupe spécifique dans Sophos Central. Vous pouvez également utiliser cette option pour ajouter un appareil à un sous-groupe.

  • --group=<Central group>
  • --group=<Central group>\<Central subgroup>

Arguments de fin

Groupe ou sous-groupe à rejoindre. S’il n’existe pas, le programme d’installation le crée.

Désinstaller Sophos Anti-Virus for Linux.

Interrompt le service SAV et désinstalle Sophos Anti-Virus for Linux. Vous pouvez l’utiliser avant d’installer Sophos Protection for Linux.

L’installation de Sophos Protection for Linux n’est pas compatible avec Sophos Anti-Virus for Linux. Vous devez désinstaller Sophos Anti-Virus for Linux avant d’installer Sophos Protection for Linux.

--uninstall-sav

Tester

Exécute les vérifications préalables à l’installation et imprime les résultats. N’installe pas SPL.

--test

Conseil

Vous pouvez obtenir plus de détails en exécutant le programme d’installation en mode débogage. Voir Déboguer le programme d’installation léger.

Aucun test

Installe SPL sans effectuer de vérifications préalables à l’installation. Vous pouvez utiliser cette solution lorsque les vérifications préalables à l’installation empêchent le programme d’installation de s’exécuter dans un environnement répondant à la configuration système requise.

--notest

Options de ligne de commande Linux avancées

Le programme d’installation de Server Protection pour Linux prend en charge les options de ligne de commande avancées suivantes. Vous pouvez les utiliser pour personnaliser votre installation.

Produits

Indique une liste de produits à installer. Si vous indiquez un produit pour lequel vous n’avez pas de licence, il n’est pas installé.

--products=<comma-separated list of products>

Arguments de fin

Liste des produits à installer, séparés par des virgules.

Les options sont antivirus, mdr ou xdr.

Répertoire d’installation

Par défaut, SPL s’installe dans /opt/sophos-spl/. Cette commande crée /sophos-spl/ dans le répertoire spécifié et installe SPL à cet emplacement.

--install-dir=<path to installation directory>

Arguments de fin

Le chemin où vous souhaitez que le programme d’installation crée le répertoire /sophos-spl.

Remarque

Si le répertoire /sophos-spl existe déjà à cet emplacement, ou si SPL est installé à un autre emplacement sur l’appareil Linux, l’installation échoue.

ID de l’utilisateur

Définit les ID d’utilisateur (UID) des comptes d’utilisateur Sophos créés lors de l’installation.

--user-ids-to-configure=<username>:<uid>

Arguments de fin

Liste des ID utilisateur, séparées par des virgules, que vous souhaitez configurer au format suivant :

<user1>:<uid1>,<user2>:<uid2>,<user3>:<uid3>, et ainsi de suite…

Restriction

Cette commande affecte uniquement les comptes d’utilisateur Sophos, sophos-spl-av, sophos-spl-local, sophos-spl-threat-detector, sophos-spl-updatescheduler, et sophos-spl-user. La commande ignore tous les autres comptes d’utilisateur.

ID du groupe

Définit l’ID du groupe (GID) des groupes Sophos créés lors de l’installation.

--group-ids-to-configure=<group name>:<gid>

Arguments de fin

Liste séparée par des virgules des GID que vous souhaitez assigner au format suivant :

<group1>:<gid1>,<group2>:<gid2>

Restriction

Cette commande affecte uniquement les groupes Sophos, sophos-spl-group et sophos-spl-ipc. La commande ignore tous les autres groupes.

Exemples Linux

Désinstallez Sophos Anti-Virus for Linux et installez Sophos Protection for Linux :

sudo ./SophosSetup.sh --uninstall-sav

Installer dans un sous-groupe :

sudo ./SophosSetup.sh --group=LinuxServers\MailServers

Définissez le répertoire temporaire sur /sophostmp et installez SPL dans le répertoire /serverprotection/sophos-spl/ :

sudo TMPDIR=/sophostmp ./SophosSetup.sh --install-dir=/serverprotection

Exécutez les vérifications préalables à l’installation et imprimez la sortie détaillée sans installer SPL :

sudo ./SophosSetup.sh --test

Désactivez le nettoyage du programme d’installation, activez le mode Debug, exécutez le programme d’installation avec l’option de shell détaillée, combinez stderr et stdout dans le flux stdout et écrivez la sortie dans install.log.

sudo OVERRIDE_INSTALLER_CLEANUP=1 DEBUG_THIN_INSTALLER=1 bash -x ./SophosSetup.sh 2>&1 | tee install.log

Relais de messages et caches de mise à jour

SophosSetup.sh inclut une liste de tous les relais et caches configurés dans Sophos Central.

Au cours de l’installation, l’appareil Linux compare les adresses IP de tous les serveurs de relais de messages et de cache de mise à jour avec l’adresse IP de l’appareil et les classe en fonction de leur correspondance. Par exemple, si un appareil Linux est 192.168.1.10, et que les relais de message sont 192.168.1.154 et 192.168.1.228, l’appareil contactera d’abord 192.168.1.154 parce qu’il est numériquement plus proche. Le programme d’installation utilise le cache le plus proche pour installer Sophos Protection for Linux et le relais le plus proche pour communiquer avec Sophos Central. Si l’appareil Linux ne peut pas atteindre le cache ou le relais, il contacte Sophos Central directement.

Vous pouvez remplacer ce comportement avec les commandes --message-relays et --update-caches. Ces commandes modifie le comportement pendant l’installation et forcent le programme d’installation à utiliser les relais de messages et les caches de mise à jour que vous spécifiez. Après l’installation, l’agent exploitera le relais de messages le plus proche et mettra à jour le cache pour les communications.

Vous pouvez également assigner manuellement un appareil Linux à un relais de messages ou mettre à jour le cache dans Central. Voir Assigner les ordinateurs à un cache/relais.

Relais de messagerie

Vous pouvez utiliser cette commande pour remplacer la liste intégrée des relais de messages du programme d’installation.

--message-relays={none | <ipaddress:port>...}

Voici un exemple :

--message-relays=IPADDRESS:8190

Remarque

Le port par défaut pour les relais de messages est 8190.

Arguments de fin

Liste des adresses IP de relais de messages séparées par des virgules, y compris le port, au format suivant :

<ipaddress1:port>,<ipaddress2:port>,

Utilisez none si vous souhaitez que l’appareil Linux contacte directement Sophos Central.

Cache de mise à jour

Vous pouvez utiliser cette commande pour remplacer la liste intégrée des caches de mise à jour du programme d'installation.

--update-caches={none | <ipaddress:port>...}

Voici un exemple :

--update-caches=IPADDRESS:8191

Remarque

Le port par défaut pour les caches de mise à jour est 8191.

Arguments de fin

Liste séparée par des virgules des adresses IP du cache de mise à jour, y compris le port, au format suivant :

<ipaddress1:port>,<ipaddress2:port>,

Utilisez none si vous souhaitez que l’appareil Linux contacte directement Sophos Central.

Sophos Protection pour Linux et auditd

Nous désactivons auditd par défaut. Cela signifie que vous pouvez interroger les données d’événements d’historique dans Live Discover. Si vous désactivez auditd, vous ne recevrez pas d’événements d’audit dans vos journaux systemd. L’accès à ces journaux se fait généralement à l’aide de la commande journalctl.

La désactivation de auditd peut affecter les outils tiers qui utilisent des événements d’audit dans les journaux du système. Si nécessaire, vous pouvez activer auditd avec --do-not-disable-auditd. Toutefois, cette option réduit l’étendue des données interrogeables car elles ne contiennent pas de données d’événements historiques. Vous trouverez ci-dessous quelques exemples de données d’événements historiques qui pourraient être affectées :

  • Certaines tables d’évènements utilisées dans l’exécution de demandes Live Discover sur les terminaux.
  • Certaines demandes Data Lake qui utilisent les données sur les événements pourraient également être affectées.

La désactivation de auditd n’affecte pas toutes les données historiques. Certaines tables seront toujours accessibles sur le terminal. En outre, les données d’événements de détection runtime AV et d’autres demandes Data Lake dans Live Discover fonctionneront toujours.

La désinstallation de Sophos Protection for Linux ne modifie pas votre paramètre auditd. Si vous avez désactivé auditd, il reste éteint. Le ré-enregistrement du produit ne modifiera pas les paramètres auditd.

Vous pouvez utiliser les commandes suivantes pour gérer les paramètres auditd pendant l’installation :

Disable auditd

Désactive auditd sur l’appareil pour que Sophos Protection pour Linux puisse s’abonner au lien réseau d’audit et fournir des données d’événements historiques pour Live Discover. Cette option est définie par défaut.

--disable-auditd

Do not disable auditd

Active auditd ou le laisse activé s’il est déjà allumé. Cette option réduit l’étendue des données interrogeables car elles ne contiennent pas de données d’événements historiques.

--do-not-disable-auditd