1. 概述

IoT安全中心为物联网系统提供设备安全接入、安全风险检测和响应、数据可信上链的能力，实现一站式的资产发现、风险识别和主动防御。提供多种部署模式，适应公共云、专有云环境对物联网设备资产和数据资产安全管理的要求。

本文档介绍了如何在Linux操作系统的设备上使用IoT安全中心 Agent完成集成开发和远程部署，分为以下5个关键步骤。

2. 前提条件

在安装安全中心 Agent 之前，您需要确认和准备待安装设备的软、硬件环境、网络环境以及准备安全中心接入许可证，请注意检查待接入设备是否已满足以下条件。

2.1 软硬件要求

• 硬件要求：

CPU 架构：x86，x86_64，armv7hf/sf，aarch64

系统可用RAM：不低于512MB

磁盘系统分区剩余空间：不低于20MB

磁盘数据分区剩余空间：不低于128MB

• 软件要求：

Linux 内核版本：高于 3.0，至少支持 init sysV。推荐 4.10 以上内核版本以获得更完善的安全防护能力

Linux 发行版：CentOS 7.6~7.9，CentOS 8.0~8.2，Ubuntu 14.04_LTS~Ubuntu 20.04_TLS，Debian 9/10

基础库类型：GNU （可在设备上输入命令 uname -o 获取）

启动器类型：sysV init，upstart，systemd（一般上述标准 Linux 发行版均为这三类，也可以通过查看 /sbin/init --version 来判断）

通过以下任一方式获得IoT安全服务：公共云、专有云、IoT安全管理一体机。

2.2 获取安全中心 Agent SDK

推荐您通过IoT安全中心-资产管理-直连设备页面，通过我的SDK获取最新版的 Agent SDK。

您还可以通过 SSH 远程登录或者本机登录方式登录待部署和评估的设备 Linux 控制台。从下面的 URL 地址下载并将安全中心 Agent SDK 包放置到$HOME目录（Linux 系统的用户目录）并解压缩，例如通过 wget 进行获取：

cd $HOME
wget https://soc-dps-release.oss-cn-shanghai.aliyuncs.com/release/1.2.5_r1_rel/SOC_Agent_Linux_1.2.5_r1_rel_standalone.tar.gz
tar -xf SOC_Agent_Linux_1.2.5_r1_rel_standalone.tar.gz

SHA256：1BC97D719C3BF4D378A392823E6BCF6528AE14C0ACE51C0CD40645CA7B5B3C9B

2.3 安全中心接入环境准备

根据设备所处的网络环境，您可以选择任一接入方式：公共云、专有云、IoT安全管理一体机。

• 公共云：您需要开通并购买相应的授权。

• 专有云：您需要购买并部署IoT安全中心的专有云平台。

• IoT安全管理一体机：您需要购买IoT安全管理一体机，并且完成一体机的开箱和初始化。

如果您还不具备以上条件，您可以立即联系我们。

强烈建议您将设备接入到公共云的IoT安全中心，如果您的网络出口有防火墙等访问控制类的安全设备，请务必确认以下域名/地址和端口允许访问。

## 公共部分：
DNS： 114.114.114.114 53 或者 223.5.5.5 53 (UDP)
NTP1： ntp1.aliyun.com 123 (TCP)
NTP2： ntp2.aliyun.com 123 (TCP)
OSS： vuldb-b.oss-cn-shanghai.aliyuncs.com 443 (TCP/HTTPS)
       vuldb-a.oss-cn-shanghai.aliyuncs.com 443 (TCP/HTTPS)
      vuldb.oss-cn-shanghai.aliyuncs.com 443 (TCP/HTTPS)

## 上海 Region：
OSS： lsoc-attestation.oss-cn-shanghai.aliyuncs.com 443 (TCP/HTTPS)
       lsoc-policy-file.oss-cn-shanghai.aliyuncs.com 443 (TCP/HTTPS)
POP： iotsoc.cn-shanghai.aliyuncs.com 443 (TCP/HTTPS)
MQTT： ${PK}.iot-as-mqtt.cn-shanghai.aliyuncs.com 1883 (TCP/MQTT)

-- 其中 ${PK} 可以在阿里云物联网平台上获取，或者在拷贝完下文第 2 条的 soc.license 文件后通过执行下面命令获取：
   sudo /system/dps/bin/sagent --retrieve-pk
   cat /data/dps/etc/.pk

## 北京 Region：
OSS： lsoc-attestation-bj.oss-cn-beijing.aliyuncs.com 443 (TCP/HTTPS)
       lsoc-policy-file-bj.oss-cn-beijing.aliyuncs.com 443 (TCP/HTTPS)
POP： iotsoc.cn-beijing.aliyuncs.com 443
MQTT： ${物联网平台企业实例ID}.mqtt.iothub.aliyuncs.com 1883 (TCP/MQTT)

1. 请用浏览器打开

   https://isoc.console.aliyun.com/access-authorization

   点击"创建产品"并下载许可证文件，此时需要记住这个产品名称，后续检查会用到。

2. 将许可证文件重命名为 soc.license，并放置到 SDK 目录：

$HOME/SOC_Agent_Linux_1.2.5_r1_rel_standalone/soc.license。

如果您需要将设备接入专有云安全中心（已部署在您的网络中），请采取下面的接入方式。

1. 请联系现场部署的工程师获取以下凭证和连接信息，并执行相关操作：

（1） MQTT 连接证书，将其转换为 PEM 格式的文件，重命名为 sagent.pem 并保存到 SDK 解压缩之后的目录：

$HOME/SOC_Agent_Linux_1.2.5_r1_rel_standalone 下。

（2） 物联网平台的设备证书（ProductKey、DeviceName、DeviceSecret）以及 MQTT 服务器和端口信息，并填写到 SDK 目录：

$HOME/SOC_Agent_Linux_1.2.5_r1_rel_standalone/sagent.ini 文件的相应栏位中，其中 POP 相关配置栏位请留空。

（3） 存储服务（OSS 或者 Minio）的 HTTPS连接证书，命名为 oss.pem 并保存到 SDK 目录：

$HOME/SOC_Agent_Linux_1.2.5_r1_rel_standalone/oss.pem。

（4） 存储服务（OSS 或者 Minio）的连接代理服务器地址，配置到 SDK 目录：

$HOME/SOC_Agent_Linux_1.2.5_r1_rel_standalone/oss_proxy 文件中。

如果您需要将设备接入IoT安全管理一体机（已部署该设备），请采取下面的接入方式。

1. 请确保您的工作电脑可以接入IoT安全管理一体机所在的网络，并正确配置系统 hosts 以便浏览器接入安全管理一体机 Web 控制台。

2. 请用浏览器打开https://ls.console.aliyun.com登录之后进入安全防护->安全运营中心控制台，进入菜单设备安全->接入授权，点击创建产品并下载许可证文件。

3. 将许可证文件重命名为 soc.license，并放置到 SDK 目录：

$HOME/SOC_Agent_Linux_1.2.5_r1_rel_standalone/soc.license。

1. 编辑 $HOME/SOC_Agent_Linux_1.2.5_r1_rel_standalone/sagent.ini 文件，将安全管理一体机的 IP 地址和接入端口 （8443）分别配置到 host 和 port 栏位，其它栏位留空。

3. 自动安装安全中心 Agent

1. 进入 SDK 目录，用特权命令执行安装程序：

cd $HOME/SOC_Agent_Linux_1.2.5_r1_rel_standalone
sudo ./install_soc_agent_linux.sh

2. 按照提示完成每一步过程并执行即可，其中包括：

• 确认目标设备 CPU 架构是否在安全中心 Agent 支持范围内。

• 确认目标设备 OS 类型和版本是否在安全中心 Agent 支持范围内。

• 确认目标设备上的 auditd 和 SELinux 是否处于关闭状态（可选关闭，以提升安全中心 Agent 安全能力）

• 确认目标设备上存量的安全中心 Agent 是否需要删除，数据是否需要删除。

• 自动化安装和提示。

更多详情请参考手册末尾的演示视频。

4. 检查

检查的目的是为了确保设备上的安全中心 Agent SDK确实已经接入了安全中心，可分为设备端检查和在安全中心控制台查看两种方式：

4.1 设备端检查

在设备端执行以下命令，通过查阅安全中心 Agent 日志的方式进行检查：

1. 服务启动检查：

在完成上一步最后的 sudo service dpsd start 命令之后，可立即进行服务进程检查：

ps -aux | grep dps

如果以下 3 个进程在进程列表之中则说明启动成功：

/system/dps/bin/dpsd
/system/dps/bin/logd
/system/dps/bin/sagent --self-activate

2. MQTT 接入检查：

在完成上一步最后 sudo service dpsd start 命令之后稍等片刻，大约 30s 左右，执行下面的指令：

tail -f /data/dps/log/sagent.txt

如果显示出例如 IOT_MQTT_Publish() = 0 或者 MQTT Yield 的打印，则说明 MQTT 接入成功：

[2022-04-05 06:54:39] <MQTTPublish> <316> :: WRITE COMPLETED: curr buf_send = 0x7f04e2c3f000, curr buf_size_send = 2048
[2022-04-05 06:54:39] <publish> <139> :: rc = IOT_MQTT_Publish() = 0
[2022-04-05 06:54:39] <loop> <545> :: MQTT Yield
[2022-04-05 06:54:41] <loop> <545> :: MQTT Yield
[2022-04-05 06:54:43] <loop> <545> :: MQTT Yield

4.2 安全中心控制台上检查

以公有云安全中心接入为例，登录控制台：https://iotsec.console.aliyun.com

点击“安全防护”--> “设备行为锁定”即可查看在上述 2.1 当中第 1 步创建的产品是否存在，如果存在，则说明设备已经正常接入。

专有云和边缘安全管理一体机也可参考类似方式分别在专有云安全运营中心和边缘安全管理一体机安全防护和的控制台上进行检查上线情况：

• 边缘安全管理一体机控制台接入请参考上述 2.3 小节。

• 专有云控制台地址请前往咨询专有云运维团队获取。

5. 功能和性能评估

本章节主要介绍在安全中心 Agent 安装结束之后，用户如何使用一些手段评估其基本功能的兼容性以及对系统的性能损耗。分别介绍如下，以供参考。

5.1 系统兼容性

在完成安全中心 Agent 并确保接入到安全中心云服务之后，请按照如下三步进行兼容性检查：

1. 命令行输入以下命令，观察是否有打印输出包含 /system/dps/bin/linker64，例如：

cat /proc/self/maps | grep linker
ffff945c2000-ffff94869000 r-xp 00000000 b3:02 651591  /system/dps/bin/linker64
ffff94869000-ffff9486a000 ---p 002a7000 b3:02 651591  /system/dps/bin/linker64
ffff9486a000-ffff9487c000 r--p 002a7000 b3:02 651591  /system/dps/bin/linker64
ffff9487c000-ffff9487f000 rw-p 002b9000 b3:02 651591  /system/dps/bin/linker64

2. 请使用 GUI 或者 sudo reboot 命令行重启系统，并观察系统是否可以完成启动。如果系统可以完整完成启动（如果有 GUI 界面请同时确保可以启动 GUI 并完成用户登录），并且用户的应用程序也运行正常，则不存在兼容性问题。

3. 如果在设备操作系统类型、版本、内核版本都符合本文档要求的前提下，出现上述步骤中任意一步异常，请联系我们进行协助。我们不对超出本文档声称支持的系统环境范围外的系统兼容性进行免费技术支持，如果需要适配新的系统、内核以及文档声明之外的其它 Linux 发行版，请联系售后。

5.2 基本安全功能

基本安全功能可以通过安全中心控制台进行确认，（以公共云的IoT安全中心为例）具体操作方式为：

1. 在设备成功接入安全中心 Agent 并且确保兼容性正常之后（包括重启至少一次设备），将设备联网放置 1小时左右，然后登录

   IoT安全中心控制台

   ，进入“安全防护” -- “设备行为锁定”菜单，找到对应的产品，点击操作“详情”进入设备行为锁定详情页面。

2. 观察系统对象栏目当中存在可执行程序，可加载库，脚本三类文件是否被审计。

3. 观察进程行为栏目中文件，域名，套接字，IP等行为是否被审计。

4. 观察网络进出栏目中网络访问记录是否被审计。

5. 观察组件列表中是否有检测出系统软件漏洞。

5.3 进程 CPU 资源消耗

为了确保安全中心 Agent 常驻服务对设备 CPU 资源的消耗，请使用以下命令进行评估和观察：

sudo ps -aux | grep dps
root       77448  0.2  0.1  17660  4960 ?        Ssl  09:29   0:01 /system/dps/bin/dpsd
600        77470  0.1  0.1  23324  5892 ?        SNl  09:29   0:00 /system/dps/bin/logd
root       77471  0.0  0.1  20020  5240 ?        Sl   09:29   0:00 /system/dps/bin/sagent --self-activate
root       77472  0.0  0.1  18704  6172 ?        Sl   09:29   0:00 /system/dps/bin/sandbox --daemon
root       77559  0.0  0.0  15560  2584 pts/0    S+   09:42   0:00 grep --color=auto dps

上述命令获取了常驻的服务后台进程 pid，主要关心

/system/dps/bin/dpsd

/system/dps/bin/logd

/system/dps/bin/sagent 这三个进程的资源占用状况，采用 top -p 命令针对其 pid 分别逐个观察，以上述见到的 logd （pid 为 77470） 为例：

sudo top -p 77470

观察 %CPU 是否在用户可接受的范围内，例如上图它的 CPU 占用几乎是 0%。

5.4 进程 RAM 资源消耗

同样可以使用上述观察 CPU 占用的方法，采用 top -p 命令对 dpsd，logd，sagent 三个服务进行内存消耗观察，观察的字段为 %MEM（相对值） 以及 VIRT？（绝对值），以评估是否在用户可接受范围内。

5.5 网络流量消耗

网络流量消耗需要借助 nethogs 工具进行评估，可以在集成了安全中心 Agent 的目标设备上安装 nethogs 辅助工具：

Ubuntu/Debian：

sudo apt-get install nethogs

CentOS：

sudo yum install nethogs

然后运行，并在监控视图中按下 m 键以切换至积累流量统计模式（默认是实时流量统计模式）

sudo nethogs

然后维持一段时间，建议是一天或者更长，观察：

/system/dps/bin/sagent

/system/dps/bin/update

/system/dps/bin/scanner 这三个服务的上下行流量统计，确认在可接受范围内。

6. 高级配置

对于一些特殊的云环境以及在功能和性能方面具有特殊定制化需求的用户，可以参考本章节手动调整安全中心 Agent 的几个关键配置文件，以达到对功能和性能调整至最理想状态的目标。

本章节适合对操作系统和系统安全有一定理解的高阶用户，以及在专有云环境中进行部署的用户阅读和操作，如果完成上述第 1~5 步并且各方面都比较满意的用户可以跳过。

其中特殊上云方式的配置，用红色字体标识。

6.1 安全中心接入参数配置

服务属性配置主要用于开启和关闭安全中心 Agent 接入云服务的模式，配置文件为：

1. /system/dps/etc/services.ini （注意这个文件的权限为 root 只读，即 400，请采用特权模式进行修改，并且退出时需要强制保存，切勿因为希望修改其内容而破坏 root 只读权限，否则会导致服务无法启动）。

主要集中配置的点为栏目：service sagent /system/dps/bin/sagent （其它栏目请不要随意配置，否则容易引发故障）

可以通过修改其启动参数选择不同的接入云服务的模式：

• --self-activate ：使用文档中描述的 soc.license 进行一型一密激活认证上云，好处是在大规模部署时无需逐个设备烧录设备证书（ProductKey、DeviceName、DeviceSecret），只要统一使用某个产品的许可证即可。

• --config-triples：每个设备使用一机一密设备证书（ProductKey、DeviceName、DeviceSecret）上云，设备证书（ProductKey、DeviceName、DeviceSecret）（阿里云物联网提供的 product_key，device_name，device_secret）配置在 /system/dps/etc/sagent.ini 的相应栏位完成，适用于需要逐个设备烧录设备证书（ProductKey、DeviceName、DeviceSecret）的厂商或者按特殊的 MQTT 服务地址接入的场景。

• --secure-box-activate-v1：适用于设备接入边缘安全管理一体机的场景，此场景下也需要配置 sagent.ini 来完成边缘安管一体机接入，参考下面第 2 步。

2. /system/dps/etc/sagent.ini，此文件在上述 sagent 启动参数为 --config-triples 可以通过配置

product_key=<产品 product key> // 边缘安管一体机接入时无需配置

device_name=<设备 device_name> // 边缘安管一体机接入时无需配置

device_secret=<设备 device_secret> // 边缘安管一体机接入时无需配置

host=<IoT MQTT server URL>

port=<IoT MQTT port>

来实现设备证书（ProductKey、DeviceName、DeviceSecret）上云，注意一定要结合上述 sagent 启动参数共同发挥作用。

3. 特殊证书文件：在专有云环境下会用到特殊的证书文件，请结合上述 2.3 章节提示，合理配置：

/system/dps/etc/oss.pem // 存储（OSS 或 Minio HTTPS 公钥证书）

/system/dps/etc/sagent.pem // MQTT SSL/TLS 公钥证书

6.2 安全能力和性能配置

安全能力和性能配置主要集中在 /system/dps/etc/configure.ini 文件当中。

此配置文件保存服务程序的基本配置，其中可能对性能有影响的部分用红色字体标识，对安全等级有影响的部分用绿色字体表示，还请注意。

1. DPS_DATA ：安全中心 Agent 服务程序存放数据的路径，请配置到操作系统的可读/写分区的文件夹路径下，请确保 /data 目录所在的数据磁盘分区空间至少 128MB 剩余。

2. DPS_PROFILE ：安全中心 Agent 的分类，可配置为以下 3 类（通常默认 standard 即可）

• standard - 普通的物联网设备使用的 SDK 类型

• server - 网关设备推荐使用的 SDK 类型

• lite - 轻量级的嵌入式物联网设备推荐使用的 SDK 类型

3. DPS_DEBUG ：开启或者关闭安全中心 Agent 日志，日志功能开启之后日志将保存在 $DPS_DATA/log 下。

• 0 - 关闭日志功能

• 1 - 开启日志功能

4. NUM_LOGS ：安全中心 Agent 服务日志最大保存天数，仅保存最近 $NUM_LOGS 天的日志文件。

5. LOG_FILE_SIZE ：单个日志文件最大大小，单位为 KB。

6. KERNEL_AUDIT：配置是否启用内核审计能力，如果目标设备 CPU 比较弱但是业务负载比较大时，建议关闭此选项，其余状态请尽量打开，具体评估方式可采用运行 sudo dmesg 观察内核日志是否出现 auditctl 队列溢出的打印，如果有溢出，请关闭。

• 0 - 关闭，并采用相应用户态能力进行事件审计（可能牺牲一些安全审计能力，如暴力登录）

• 1 - 打开。

7. PROTECTED_PATH ：目标设备取证扫描的自定义路径，在此路径之下的所有文件将被取证和加入完整性保护，建议配置成目标设备上可执行程序、共享库、配置文件等重要文件存放的目录。支持配置多个路径，中间用 : 隔开。

8. SCAN_DUTY_CYLCLE：取证器的工作占空比，可以在设备首次上线的 20 分钟内通过观察 /system/dps/bin/scanner 的 CPU 占用率来调节它的值，范围在 0~100，数值越大 scanner 工作时占 CPU 资源越低，但是工作持续时间越长（太长可能导致取证超时，安全保护不完整）。反之数值越小 scanner 占 CPU 越高，但是工作时间更短。

9. MANAGED_VERSION：表示厂商固件版本号信息。格式为一段描述文本，按照不同情况，配置方法有以下 3 种：

（1）如果将固件版本号直接描述在 configure.ini 当中，那么 MANAGED_VERSION 的值即为固件版本号的文本。

例如：MANAGED_VERSION=V1.0.0

（2）如果设备厂商始终使用本地文件系统来追溯固件版本，这段文本是一个标准 URI，它的格式为：

file://<file_path>?pattern=<pattern_string>。

例如：MANAGED_VERSION=file:///etc/version.txt?pattern=.%2b

其中 file:// 后面紧接着固件版本号所寄存的文件绝对路径，为标准Unix 文件路径格式

URI 的 query 部分（“?”符号后面的部分），query 字段只有一个，query key 为固定的“pattern=”，其值为固件版本号寄存文件内容当中进行正则匹配的正则表达式。

**请注意在 URI 字符串当中填写非字母和非数字 ASCII 符号时需要做 URI encode，详细的 encode 表请参考下表：https://www.tutorialspoint.com/html/html_url_encoding.htm

（3）在 Android 系统当中，如果需要使用 property 来获取版本号，这段文本是一个标准 URI，它的格式为：

property://<property_name>，其中 <property_name> 表示 Android 系统当中存放固件版本号的属性名称。

例如：MANAGED_VERSION=property://ro.build.id

10. MANAGED_ID ：表示该设备在厂商自有设备管理系统中的唯一标识号。格式为一段描述文本，按照不同情况，配置方法有以下 3 种：

（1）如果将设备管理 ID 直接描述在 configure.ini 当中，那么 MANAGED_ID 的值即为设备管理 ID 的文本。

例如：MANAGED_ID=serial_0123456789

（2）如果设备厂商始终使用本地文件系统来追溯固件版本，这段文本是一个标准 URI，它的格式为：

file://<file_path>?pattern=<pattern_string>。

例如：MANAGED_ID=file:///etc/managed_id.txt?pattern=.%2b

其中 file:// 后面紧接着设备管理 ID 所寄存的文件绝对路径，为标准 Unix 文件路径格式

URI 的 query 部分（“?”符号后面的部分），query 字段只有一个，query key 为固定的“pattern=”，其值为设备管理 ID寄存文件内容当中进行正则匹配的正则表达式。

（3）在 Android 系统当中，使用 property 来获取设备管理 ID，此文本是一个标准的 URI，它的格式为：

property://<property_name>，其中 <property_name> 表示 Android 系统当中存放设备管理 ID的属性名称。

例如：MANAGED_ID=property://ro.product.vendor.device

（4）对于可通过命令行返回结果获取厂商硬件 ID 的场景，它的格式为：

cmdline://<cmdline_full_path>?pattern=<pattern_string>

例如MANAGED_ID=cmdline:///bin/bash%20-C%20/usr/local/bin/get_sn.sh?pattern=.%2b

11. MANAGED_NAME：标识一类设备的虚拟设备类名。在DPS configure.ini 文件中，强烈建议您通过设置MANAGED_NAME的值区分不同型号的设备。

硬件配置、固件版本不同，视为不同型号的设备。

12. 一个完整示例：

[system]
DPS_DATA=/data/dps
DPS_PROFILE=standard
DPS_DEBUG=1
NUM_LOGS=3
LOG_FILE_SIZE=10240
KERNEL_AUDIT=1

[attestation]
PROTECTED_PATH=/home/usr/lib:/home/usr/lib64
SCAN_DUTY_CYCLE=100

[device]
MANAGED_NAME=some_device_type
MANAGED_VERSION=file:///etc/version.txt:.%2b
MANAGED_ID=serial_01234567890

假设用户通过 configure.ini 的 MANAGED_VERSION 和 MANAGED_ID 分别配置 managed_version 和 managed_id文件，需要注意权限设置，才能确保保护功能正常运作。

当前版本号以及设备管理 ID 字符串限制最长 128 字节。

7. 评估试用

至此，物联网安全中心的 Linux Agent 就安装结束了，我们强烈建议首次接入的用户使用测试设备进行一段时间的评估和试用之后，再进行大规模部署。请参考《物联网安全中心用户手册》进行功能试用。

8. 远程部署

通过上述章节的评估，如果您确认功能和性能满足业务需求，且达到了批量部署的条件。您可以使用 “阿里云物联网安全中心客户端部署工具 Windows 版”将Agent批量部署到更多的同型号设备中。

如果第2章前提条件中的软件、硬件有差异，则视为不同型号。

1. 从一台运行稳定的已部署安全中心 Agent 设备上准备待规模化复制的 Agent 二进制程序包，将以它为模板复制到其它设备环境中：

sudo service dpsd stop
sudo tar -czf $HOME/system.tar.gz /system
sudo service dpsd start

2. 下载 “

   阿里云物联网安全中心客户端部署工具 Windows 版

   ”，解压缩到管理员主机的任意目录，例如 D:\isccdt

3. 启动 Windows cmd 命令行，cd 到部署工具文件夹，并执行：

pscp.exe -scp -pw <password> -P <port> -l <user> <ip>:/home/<user>/system.tar.gz ./

其中：

• ip：指代远程主机地址

• port：指代远程主机SSH 端口，默认是 22

• user：指代远程 Linux 设备 ssh 登录用户

• password：指代远程 Linux 设备 ssh 登录密码

运行完上述命令之后，在 D:\isccdt 目录下会多出一个 system.tar.gz，即需要规模化复制的范本，将它解压缩。

4. 运行 distribution_tool.exe，填入需要部署Agent的设备 IP，SSH 端口，账户和密码。并在“源文件夹”中选中刚才下载并解压缩的 system 目录。

点击“测试连接”，如果测试连接通过（切换为已连接状态），然后再点下“部署”按钮即可一键部署。

5. 部署完成之后可以稍等片刻，点击“检查状态”以及“远程日志”获取部署状态，如果通过则可继续下一台设备的部署。

6. 在安全中心控制台的资产列表当中可以查阅到当下同类型设备部署安全 Agent 的状况，台数，安全事件等。

9. 联系我们

有任何问题，请联系我们。