주요 콘텐츠로 건너뛰기

Linux용 설치 프로그램 명령줄 옵션

Server Protection for Linux(SPL)를 설치하려면 먼저 Sophos Central에서 SophosSetup.sh를 다운로드하여 파일을 실행 가능하게 만들어야 합니다. Linux 서버 설치 프로그램 다운로드을 참조하십시오.

요구 사항

Linux 장치는 설치 중 및 Server Protection 에이전트가 실행되는 동안 Sophos Central Admin과 통신할 수 있어야 합니다. 허용할 도메인 및 포트을 참조하십시오.

기본 Linux 명령줄 옵션

일부 옵션은 아직 모든 고객에게 제공되지 않을 수도 있습니다.

Server Protection for Linux 설치 프로그램은 다음 기본 명령줄 옵션을 지원합니다.

도움말

SophosSetup.sh도움말 텍스트를 표시합니다.

--help

버전

SophosSetup.sh의 버전을 표시합니다.

--version

강제

설치 프로그램이 장치에 Sophos 제품이 이미 설치되어 있음을 감지한 경우에도 강제로 설치합니다. 이 명령을 사용하여 중단된 설치를 수정할 수 있습니다.

--force

그룹

Sophos Central의 특정 그룹에 장치를 추가합니다. 또한 이 옵션을 사용하여 하위 그룹에 장치를 추가할 수도 있습니다.

  • --group=<Central group>
  • --group=<Central group>\<Central subgroup>

후행 인수

연결할 그룹 또는 하위 그룹입니다. 존재하지 않는 경우, 생성됩니다.

Sophos Anti-Virus for Linux를 제거합니다

SAV 서비스를 중지하고 Sophos Anti-Virus for Linux를 제거합니다. Sophos Protection for Linux를 설치하기 전에 이것을 사용할 수 있습니다.

Sophos Protection for Linux 설치는 Sophos Anti-Virus for Linux와 호환되지 않습니다. Sophos Protection for Linux를 설치하기 전에 Sophos Anti-Virus for Linux를 제거해야 합니다.

--uninstall-sav

테스트

설치 전 검사를 실행하고 결과를 인쇄합니다. SPL을 설치하지 않습니다.

--test

디버그 모드에서 설치 관리자를 실행하면 자세한 정보를 얻을 수 있습니다. 디버그 씬 설치 프로그램을 참조하십시오.

테스트 없음

설치 전 검사를 실행하지 않고 SPL을 설치합니다.

--notest

디버그 씬 설치 프로그램

문제 해결을 위해 디버그 모드로 SophosSetup.sh을(를) 실행합니다.

export DEBUG_THIN_INSTALLER=1

후행 인수

1은 켜져 있고 0은 꺼져 있습니다.

로그 파일에 결과를 수집하려면 결과를 파일로 리디렉션하거나 OVERRIDE_INSTALLER_CLEANUP1로 설정해야 합니다.

설치 오류 해결에 대한 도움말은 Sophos Protection for Linux 문제 해결을(를) 참조하십시오.

설치 프로그램 정리 무시

설치 후 설치 프로그램이 /tmp/SophosCentralInstall_<uuid>을(를) 삭제하지 않도록 합니다. 문제 해결을 위해 이 디렉터리에 있는 설치 로그를 사용할 수 있습니다.

export OVERRIDE_INSTALLER_CLEANUP=1

후행 인수

1은 켜져 있고 0은 꺼져 있습니다.

고급 Linux 명령줄 옵션

Server Protection for Linux 설치 프로그램은 고급 명령줄 옵션을 지원합니다. 이러한 정보를 사용하여 설치를 사용자 지정할 수 있습니다.

제품

설치할 제품 목록을 지정합니다. 라이선스가 없는 제품을 지정한 경우에는 설치되지 않습니다.

--products=<comma-separated list of products>

후행 인수

설치할 제품 목록(쉼표로 구분됨)입니다.

사용 가능한 옵션은 다음과 같습니다. antivirus, mdr및 .xdr

설치 디렉토리

기본적으로 SPL은 /opt/sophos-spl/에 설치됩니다. 이렇게 하면 지정된 디렉터리에 /sophos-spl/이 생성되고 해당 위치에 SPL이 설치됩니다.

--install-dir=<path to installation directory>

후행 인수

설치를 위해 /sophos-spl 디렉토리를 생성할 디렉토리의 경로입니다.

참고

해당 위치에 /sophos-spl 디렉토리가 이미 있거나 Linux 장치의 다른 위치에 SPL이 설치되어 있으면 설치가 되지 않습니다.

사용자 ID

설치 중에 생성된 Sophos 사용자 계정의 사용자 ID(UID)를 설정합니다.

--user-ids-to-configure=<user name>:<uid>

후행 인수

다음 형식으로 구성할 사용자 ID의 쉼표로 구분된 목록:

<user1>:<uid1>,<user2>:<uid2>,<user3>:<uid3> 등.

제한

이 명령은 Sophos 사용자 계정, sophos-spl-av, sophos-spl-local, sophos-spl-threat-detector, , sophos-spl-updateschedulersophos-spl-user에만 영향을 미칩니다. 이 명령은 다른 모든 사용자 계정을 무시합니다.

그룹 ID

설치 중에 생성된 Sophos 그룹의 그룹 ID(GID)를 설정합니다.

--group-ids-to-configure=<group name>:<gid>

후행 인수

다음 형식으로 지정할 GID의 쉼표로 구분된 목록:

<group1>:<gid1>,<group2>:<gid2>

제한

이 명령은 Sophos 그룹, sophos-spl-groupsophos-spl-ipc에만 영향을 미칩니다. 이 명령은 다른 모든 그룹을 무시합니다.

TMPDIR

설치 과정에서 사용할 설치 프로그램에 대한 다른 임시 디렉터리를 설정합니다. 장치의 /tmp이(가) 실행 파일로 설치되지 않은 경우 SophosSetup.sh 실행 중에 이것을 사용할 수 있습니다.

TMPDIR=<path to directory>

후행 인수

설치 프로그램에서 사용할 디렉터리의 경로입니다.

Linux 예

Sophos Anti-Virus for Linux를 제거하고 Sophos Protection for Linux를 설치합니다.

sudo ./SophosSetup.sh --uninstall-sav

하위 그룹에 설치:

sudo ./SophosSetup.sh --group=LinuxServers\MailServers

/serverprotection/sophos-spl/ 디렉토리에 설치:

sudo ./SophosSetup.sh --install-dir=/serverprotection

설치 프로그램 정리를 무시하고 로그를 수집할 수 있도록 설치 프로그램을 실행합니다.

sudo export OVERRIDE_INSTALLER_CLEANUP=1 ./SophosSetup.sh

디버그 모드를 켜고, 설치 전 검사를 실행하고, SPL을 설치하지 않은 상태로 상세 결과를 인쇄합니다.

sudo export DEBUG_THIN_INSTALLER=1 ./SophosSetup.sh --test

디버그 모드를 켜고, 자세한 정보 표시 셸 옵션을 사용하여 설치 관리자를 시작하고 stderrstdoutstdout 스트림에 결합한 후, 결과를 install.log에 씁니다.

sudo export DEBUG_THIN_INSTALLER=1; bash -x ./SophosSetup.sh 2>&1 | tee install.log

메시지 릴레이 및 업데이트 캐시

SophosSetup.sh는 Sophos Central에 구성된 모든 릴레이 및 캐시 목록을 포함합니다.

설치 중에 Linux 장치는 모든 메시지 릴레이 및 업데이트 캐시 서버의 IP 주소를 장치의 IP 주소와 비교하여 얼마나 가깝게 일치하는지에 따라 순서를 지정합니다. 예를 들어, Linux 장치가 192.168.1.10이고 메시지 릴레이가 192.168.1.154192.168.1.228인 경우, 192.168.1.154가 숫자상으로 더 가깝기 때문에 장치는 이를 먼저 연결합니다. 설치 프로그램은 가장 가까운 캐시를 사용하여 Linux용 Sophos Protection을 설치하고 가장 가까운 릴레이를 사용하여 Sophos Central과 통신합니다. Linux 장치가 캐시나 릴레이에 도달할 수 없는 경우 Sophos Central에 직접 연락합니다.

--message-relays--update-caches 명령을 사용하여 이 동작을 재정의할 수 있습니다. 이렇게 하면 설치 중 동작이 변경되고 설치 프로그램은 사용자가 지정한 메시지 릴레이 및 업데이트 캐시를 사용하게 됩니다. 설치 후 에이전트는 통신을 위해 가장 가까운 메시지 릴레이 및 업데이트 캐시를 활용합니다.

또한 Linux 장치를 메시지 릴레이 또는 Central의 업데이트 캐시에 수동으로 할당할 수도 있습니다. 캐시/릴레이에 컴퓨터 할당을 참조하십시오.

메시지 릴레이

이 명령을 사용하여 설치 프로그램에 기본 제공 메시지 릴레이 목록을 재정의할 수 있습니다.

--message-relays={none | <ipaddress:port>...}

예를 들면 다음과 같습니다.

--message-relays=IPADDRESS:8190

참고

메시지 릴레이의 기본 포트는 8190입니다.

후행 인수

다음 형식의 포트 포함 메시지 릴레이 IP 주소의 쉼표로 구분된 목록입니다.

<ipaddress1:port>,<ipaddress2:port>,

Linux 장치가 Sophos Central에 직접 연결하도록 하려면 none을 사용합니다.

캐시 업데이트

이 명령을 사용하여 설치 프로그램의 기본 제공 업데이트 캐시 목록을 재정의할 수 있습니다.

--update-caches={none | <ipaddress:port>...}

예를 들면 다음과 같습니다.

--update-caches=IPADDRESS:8191

참고

업데이트 캐시의 기본 포트는 8191입니다.

후행 인수

다음 형식의 포트 포함 업데이트 캐시 IP 주소의 쉼표로 구분된 목록입니다.

<ipaddress1:port>,<ipaddress2:port>,

Linux 장치가 Sophos Central에 직접 연결하도록 하려면 none을 사용합니다.

Sophos Protection for Linux 및 auditd

기본적으로 auditd은(는) 꺼져 있습니다. 즉, Live Discover에서 과거 이벤트 데이터를 쿼리할 수 있습니다. auditd을(를) 끄면 systemd 저널 로그에 감사 이벤트가 수신되지 않습니다. 일반적으로 journalctl명령을 사용하여 이러한 로그에 액세스합니다.

auditd를 끄면 시스템 저널 로그의 감사 이벤트를 활용하는 타사 도구에 영향을 줄 수 있습니다. 필요한 경우 --do-not-disable-auditd를 사용하여 auditd를 켤 수 있습니다. 하지만 이렇게 하면 과거 이벤트 데이터가 포함되지 않으므로 쿼리할 수 있는 데이터가 줄어듭니다. 영향을 받는 과거 이벤트 데이터의 예는 다음과 같습니다.

  • Live Discover를 사용하여 엔드포인트 쿼리를 실행할 때 일부 이벤트가 발생한 테이블
  • 이벤트 정보를 활용하는 일부 Data Lake 쿼리도 영향을 받을 수 있습니다.

auditd를 해제해도 모든 과거 데이터에 영향을 미치지는 않습니다. 이벤트가 발생하지 않은 테이블은 엔드포인트에서 계속 액세스할 수 있습니다. 또한 Live Discover의 AV 런타임 감지 이벤트 데이터 및 기타 Data Lake 쿼리는 계속 작동합니다.

Sophos Protection for Linux를 제거해도 auditd 설정이 변경되지 않습니다. auditd을(를) 끈 경우 계속 꺼져 있습니다. 제품을 다시 등록해도 auditd설정이 변경되지 않습니다.

설치 시 다음 명령을 사용하여 auditd 설정을 관리할 수 있습니다.

auditd 비활성화

Sophos Protection for Linux가 감사 Netlink에 가입하고 Live Discover에 대한 과거 이벤트 데이터를 제공할 수 있도록 auditd 장치를 끕니다. 이 설정은 기본으로 설정되어 있습니다.

--disable-auditd

auditd를 비활성화하지 마십시오

auditd을(를) 켜거나 이미 켜져 있는 경우 켜진 상태로 둡니다. 이 옵션을 사용하면 과거 이벤트 데이터가 포함되지 않으므로 쿼리할 수 있는 데이터가 줄어듭니다.

--do-not-disable-auditd