Linux

Redhat 및 Ubuntu용 호스트 보안(EDR) 에이전트 설치 방법

Last updated 4 months ago

설치 안내

1. EDR 에이전트 설치

sudo -s

curl https://repo.plura.io/v5/agent/linux/install.sh | bash

2. 라이선스 키 등록 및 실행

웹 UI의 "Install Agents"에서 라이선스 키를 확인한 후 입력합니다.
라이선스 키 확인: PLURA 웹 로그인 후 상단 메뉴 > 관리 > 라이선스

plura register ****

명령어에서 **** 부분을 라이선스 키로 대체합니다.

3. 설치 정보 확인

plurad -version

예시 출력: version: x.x.x

4. 설치 영상

5. 사용자 정의 설정

설정 파일을 수정합니다.
일반적인 환경에서는 plura.conf 설정이 필요하지 않습니다.

vi /etc/plura/conf/plura.conf

1) 시스템 기동 시 에이전트 로그인 지연 설정
  # login_delay_sec = 0 
  # 단위(초)

2) AWS 환경에서 Auto Scaling을 사용할 경우 인스턴스 고유의 식별자 업로드
  # login_with_machine_id = 0
  # (값이 1일때 전송)

3) 다중 네트워크 인터페이스를 사용할 경우 PLURA에 표시되는 IP 주소 설정
  # interface = eth1
  # interface_mon = eth1 (리소스모니터링에서 네트워크 트래픽 수집 인터페이스 설정)

4) 시스템 기동 시 hostname 변경에 따른 로그인 지연 설정
  # login_hostname_check = 0 
  # (default = 0)
    0 > 지정된 지연시간까지 무조건 기다림
    1 > hostname 변경이 1회 감지되면 지연 중단
    2 > hostname 변경이 2회 감지되면 지연 중단

Audit 활성화를 위한 선택 사항

1. Audit 로그 패키지 개별 설치

CentOS, Red Hat, Amazon Linux

dnf -y install audit audisp-plugins

Ubuntu

apt -y update
apt -y install auditd audispd-plugins

2. Syslog + Audit 로그 패키지 통합 설치

3번 패키지 설치 포함됨

plura install_syslog

3. 시스템등록

CentOS, Red Hat, Amazon Linux

/sbin/init.d/syslogd start

Ubuntu

apt -y update
apt -y install cron logrotate rsyslog

1. 에이전트 설치 (root 권한 필요)

sudo -s
curl https://repo.plura.io/v5/agent/linux/install.sh | bash

2. 라이선스 키 등록 및 실행

plura register ***

3. 웹 로그 모듈 설치

plura install_weblog

4. 에이전트 재실행

plura stop

plura start

5. 웹 로그 취합 설정

6. 에이전트 삭제

plura uninstall

7. 설치 영상

1. 에이전트 설치 (root 권한 필요)

sudo -s
curl https://repo.plura.io/v5/agent/linux/install.sh | bash

2. 라이선스 키 등록 및 실행

plura register ***

3. 웹 로그 모듈 설치

plura install_pluraweb

4. 환경 설정

vi /etc/pluraweb/conf/pluraweb.conf

<예시>
interface = eth0
logfile = /var/log/plura/weblog.log
host = 10.100.10.10
port = 80

pluraweb start

5. 에이전트 재실행

plura stop

plura start

6. 에이전트 삭제

plura uninstall

1. 리눅스 명령어(command) 설치 (rsyslog 사용)

사전 Syslog 설치 필요

curl https://repo.plura.io/v5/module/rsyslog/pcmd.sh -o /etc/profile.d/pcmd.sh
source /etc/profile

2. Command 로그 수집 중지

trap - DEBUG
rm /etc/profile.d/pcmd.sh
source /etc/profile

1. PLC

sudo -s

curl -s https://repo.plura.io/v5/agent/linux/install | bash -s PLC

2. Squid

curl -s https://repo.plura.io/v5/agent/linux/install | bash -s squid

3. Haproxy

curl -s https://repo.plura.io/v5/agent/linux/install | bash -s haproxy

4. Embedded Linux for Commax

4.1 32 bit

curl -s https://repo.plura.io/v5/agent/linux/install | bash -s commanx32

4.2 64 bit

curl -s https://repo.plura.io/v5/agent/linux/install | bash -s commanx64

설치 안내

1. EDR 에이전트 설치

sudo -s

curl https://repo.plura.io/v5/agent/linux/install.sh | bash

2. 라이선스 키 등록 및 실행

웹 UI의 "Install Agents"에서 라이선스 키를 확인한 후 입력합니다.
라이선스 키 확인: PLURA 웹 로그인 후 상단 메뉴 > 관리 > 라이선스

plura register ****

명령어에서 **** 부분을 라이선스 키로 대체합니다.

3. 설치 정보 확인

plurad -version

예시 출력: version: x.x.x

4. 설치 영상

5. 사용자 정의 설정

설정 파일을 수정합니다.
일반적인 환경에서는 plura.conf 설정이 필요하지 않습니다.

vi /etc/plura/conf/plura.conf

1) 시스템 기동 시 에이전트 로그인 지연 설정
  # login_delay_sec = 0 
  # 단위(초)

2) AWS 환경에서 Auto Scaling을 사용할 경우 인스턴스 고유의 식별자 업로드
  # login_with_machine_id = 0
  # (값이 1일때 전송)

3) 다중 네트워크 인터페이스를 사용할 경우 PLURA에 표시되는 IP 주소 설정
  # interface = eth1
  # interface_mon = eth1 (리소스모니터링에서 네트워크 트래픽 수집 인터페이스 설정)

4) 시스템 기동 시 hostname 변경에 따른 로그인 지연 설정
  # login_hostname_check = 0 
  # (default = 0)
    0 > 지정된 지연시간까지 무조건 기다림
    1 > hostname 변경이 1회 감지되면 지연 중단
    2 > hostname 변경이 2회 감지되면 지연 중단

Audit 활성화를 위한 선택 사항

1. Audit 로그 패키지 개별 설치

CentOS, Red Hat, Amazon Linux

dnf -y install audit audisp-plugins

Ubuntu

apt -y update
apt -y install auditd audispd-plugins

2. Syslog + Audit 로그 패키지 통합 설치

3번 패키지 설치 포함됨

plura install_syslog

3. 시스템등록

CentOS, Red Hat, Amazon Linux

/sbin/init.d/syslogd start

Ubuntu

apt -y update
apt -y install cron logrotate rsyslog

1. 에이전트 설치 (root 권한 필요)

sudo -s
curl https://repo.plura.io/v5/agent/linux/install.sh | bash

2. 라이선스 키 등록 및 실행

plura register ***

3. 웹 로그 모듈 설치

plura install_weblog

4. 에이전트 재실행

plura stop

plura start

5. 웹 로그 취합 설정

6. 에이전트 삭제

plura uninstall

7. 설치 영상

1. 에이전트 설치 (root 권한 필요)

sudo -s
curl https://repo.plura.io/v5/agent/linux/install.sh | bash

2. 라이선스 키 등록 및 실행

plura register ***

3. 웹 로그 모듈 설치

plura install_pluraweb

4. 환경 설정

vi /etc/pluraweb/conf/pluraweb.conf

<예시>
interface = eth0
logfile = /var/log/plura/weblog.log
host = 10.100.10.10
port = 80

pluraweb start

5. 에이전트 재실행

plura stop

plura start

6. 에이전트 삭제

plura uninstall

1. 리눅스 명령어(command) 설치 (rsyslog 사용)

사전 Syslog 설치 필요

curl https://repo.plura.io/v5/module/rsyslog/pcmd.sh -o /etc/profile.d/pcmd.sh
source /etc/profile

2. Command 로그 수집 중지

trap - DEBUG
rm /etc/profile.d/pcmd.sh
source /etc/profile

1. PLC

sudo -s

curl -s https://repo.plura.io/v5/agent/linux/install | bash -s PLC

2. Squid

curl -s https://repo.plura.io/v5/agent/linux/install | bash -s squid

3. Haproxy

curl -s https://repo.plura.io/v5/agent/linux/install | bash -s haproxy

4. Embedded Linux for Commax

4.1 32 bit

curl -s https://repo.plura.io/v5/agent/linux/install | bash -s commanx32

4.2 64 bit

curl -s https://repo.plura.io/v5/agent/linux/install | bash -s commanx64