云安全中心Agent是云安全中心提供的本地插件,您必须在服务器操作系统上安装云安全中心Agent插件,才能使用云安全中心提供的安全防护服务。本文介绍了安装云安全中心Agent的具体操作。

背景信息

未安装Agent插件的服务器将不受云安全中心保护,控制台页面也不会显示该资产的任何漏洞、告警、基线漏洞和资产指纹等数据。

安装Agent插件后,Agent文件目录路径如下:

  • Windows:C:\Program Files (x86)\Alibaba\Aegis
  • Linux:/usr/local/aegis

如何查看哪些资产需要安装Agent插件?

  1. 登录云安全中心控制台
  2. 在左侧导航栏,单击总览
  3. 总览页面右侧的服务版本总览区域,查看未安装Agent插件的服务器(即未防护资产)数量。
    说明 每台服务器都需要安装Agent插件。
    未防护资产
  4. 单击立即安装跳转到设置 > 安装/卸载插件 > 待安装客户端页签,查看未安装客户端的服务器数量及其列表信息。
    待安装客户端
    说明 您也可以在资产中心服务器页签下,确认服务器Agent的安装状态。以下是Agent客户端状态说明:
    • 客户端保护状态为开启:表示Agent已安装且处于正常运行状态。
    • 客户端保护状态为关闭:表示Agent未安装或处于离线状态。
  5. 单击客户端安装指南页签,对未安装Agent的服务器执行一键自动安装或手动安装。

    以下是相关操作说明:

    • 一键自动安装

      一键安装功能无需您下载插件。详细操作指导,请参见一键自动安装Agent(仅阿里云服务器支持)

      说明 仅阿里云服务器(且已安装云助手)支持一键自动安装Agent,未安装云助手的阿里云服务器和非阿里云服务器仅支持在服务器中手动安装Agent。
    • 手动安装

      您需要在客户端安装指南页面,创建用于手动安装Agent的命令。详细操作指导,请参见在服务器中手动安装Agent

      说明 手动安装适用于阿里云服务器(未安装云助手)和非阿里云服务器。

一键自动安装Agent(仅阿里云服务器支持)

执行一键安装前,需确定您的服务器已满足以下条件:
  • 服务器为阿里云服务器,非阿里云服务器需进行手动安装。
  • 该服务器已安装云助手。云助手安装的相关内容,请参见云助手
  • ECS服务器在支持一键安装功能的地域内。具体地域信息,请参见一键安装功能支持的地域
  • 服务器已在运行中。
  • 网络已正常连接。
  • 如果您的服务器上安装了第三方安全软件,云安全中心Agent可能无法正常安装。在安装Agent前,请确认您的服务器上是否存在这类安全软件。如果存在,建议您先关闭或卸载该安全软件后,再安装云安全中心Agent。

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏,单击设置
  3. 设置页面,单击安装/卸载插件页签。
  4. 安装/卸载插件 > 待安装客户端页签,定位到待安装服务器,单击操作栏的安装客户端,为单台服务器安装Agent。您也可以选中多台服务器,单击左下角一键安装,批量安装Agent。
    一键安装
    Agent插件安装完成约五分钟后,您即可在资产中心中查看您服务器的客户端在线情况:阿里云服务器客户端状态将会从关闭变成开启
    说明 一键安装后如果客户端状态显示为安装失败并提示未安装云助手,请先安装云助手。云助手安装的相关内容,请参见云助手

在服务器中手动安装Agent

以下情况不支持一键自动安装,必须在您的服务器中手动安装Agent:
  • 您的服务器为非阿里云服务器(包括第三方云服务器、IDC服务器)和暂未安装云助手的阿里云服务器。云助手安装的相关内容,请参见云助手
  • 网络类型为经典网络。
  • ECS不在支持一键安装功能的地域内。具体地域信息,请参见一键安装功能支持的地域
  • 服务器操作系统为Windows Server 2019、Windows Server 2016、Windows Server 2012、Windows Server 2008、Windows Server 2003。
  • 通过专线连接、内网通信的非阿里云服务器,需要在服务器host文件中添加云安全中心的DNS解析地址。如果未添加DNS解析地址,无法一键自动安装Agent。

    添加云安全中心DNS解析地址的步骤如下:

    1. 通过以下路径找到服务器的host文件:
      • Linux系统:/etc/hosts
      • Windows系统:C:\windows\system32\drivers\etc\hosts
    2. 将以下DNS解析地址添加到host文件中:
      • 106.11.248.209 jsrv.aegis.aliyun.com
      • 106.11.248.90 update.aegis.aliyun.com
说明
  • 请不要对无需保护的服务器(例如:线下测试机器、您自己的工作电脑等)安装Agent。
  • 手动安装Agent前,请确认该服务器已正常运行,并且网络已连通。
  • 建议您不要在/usr/local/aegis/的子目录执行Agent安装命令,否则命令运行时会清空这个目录。建议您在服务器的根目录执行该操作。

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏,单击设置
  3. 设置页面,单击安装/卸载插件页签。
  4. 单击客户端安装指南页签。
  5. 客户端安装指南页签中,单击新增安装命令
    客户端安装指南页面查为您提供4条默认命令。如果您无需生成命令镜像或不需要应用该命令的服务器自动添加到指定的资产分组中,您可以直接使用该默认命令安装到服务器中。
  6. 新增安装命令对话框中,设置该安装命令的基本信息。
    您可以通过新增安装命令,实现以下两个目的:
    • 创建命令镜像,使用该命令镜像批量预装到服务器中。
    • 为新增的安装命令绑定资产分组,后续使用该命令安装Agent插件的服务器会自动加到该资产分组中。
    说明 如果您使用云安全中心提供的默认命令安装到客户端中,您可以跳过本步骤。
    安装命令的配置项说明如下:
    配置项 说明
    过期时间 该命令过期的时间。
    服务商 服务器所属的服务提供商。
    默认分组 该安装命令生效的服务器分组。
    操作系统 命令应用的操作系统类型。可选操作系统类型为Windows、Linux、Windows 2003。
    制作镜像系统 是否需要制作镜像文件。可选项说明:
    • 选择:云安全中心会创建命令的镜像文件,您无需在每台服务器中重复执行Agent安装命令,就可批量预装到其他服务器中。
      说明 在服务器中运行了该镜像命令后,将仅下载Agent文件,不启动Agent进程。如果您需要对该服务器进行防护,必须重启服务器,Agent进程才能启动,该服务器才能受到云安全中心的防护。
    • 选择:直接生成安装命令。
  7. 单击确定,生成一条Agent安装命令,并复制该命令。
    您可以在客户端安装指南页签中,查看创建的Agent安装命令。
  8. 使用有管理员权限的账号登录需要安装Agent的服务器。
    根据服务器的操作类型不同,执行安装命令的界面有所不同:
    • Windows系统:在命令提示符(CMD)中,执行步骤7中复制的安装命令,即可完成Agent文件的下载及安装。
    • Linux系统:在服务器的命令行界面,执行步骤7中已复制的安装命令,即可完成Agent文件的下载及安装。
    注意 该安装命令包含从阿里云站点下载最新的Agent插件,如您使用的是非阿里云服务器请确认您的服务器已连接公网。
    Agent插件安装完成约五分钟后,您即可在云安全中心管理控制台中查看您服务器的客户端在线情况:
    • 阿里云服务器客户端会从关闭变成开启
    • 非阿里云服务器将会被添加至您的服务器列表中。
      注意 由于网络环境的原因,非阿里云服务器安装Agent后服务器信息同步可能会出现延迟,导致云安全中心控制台资产中心页面不会及时展示服务器的信息。这种情况下,您需要在资产中心服务器页签下单击同步最新资产,将该服务器的信息手动同步到资产中心。

非阿里云服务器安装Agent

非阿里云服务器必须手动安装Agent,即您可以通过安装程序(Windows)或脚本命令(Linux)为非阿里云服务器安装Agent。具体操作,请参见在服务器中手动安装Agent

如果您的非阿里云服务器通过以下方式安装了Agent,您需要在删除云安全中心Agent目录后,按照手动安装Agent步骤重新安装Agent。
  • 通过已安装云安全中心Agent的镜像批量安装服务器。
  • 从已安装云安全中心Agent的服务器上,直接复制云安全中心Agent文件。

验证Agent是否已安装成功

安装Agent后,建议您参照以下步骤验证Agent是否已安装成功:

  1. 检查您服务器上云安全中心Agent的AliYunDunAliYunDunUpdate进程是否正常运行。云安全中心Agent进程说明,请参见Agent说明
  2. 在您的服务器上执行以下telnet命令,检查您的服务器是否能正常连通云安全中心服务器。
    说明 确保您的服务器同时能够连通至少一个jsrv和一个update服务域名。jsrv域名用来下发指令(例如漏洞扫描、病毒检测等),update域名用来下载和更新Agent插件。
    • telnet jsrv.aegis.aliyun.com 443/80
    • telnet jsrv2.aegis.aliyun.com 443/80
    • telnet jsrv3.aegis.aliyun.com 443/80
    • telnet update.aegis.aliyun.com 443/80
    • telnet update2.aegis.aliyun.com 443/80
    • telnet update3.aegis.aliyun.com 443/80

如果云安全中心Agent安装验证失败,请执行Agent离线排查,确定Agent是否已离线。具体操作,请参见Agent离线排查

一键安装功能支持的地域

支持的地域 地域名称
亚太 华东 1(杭州)
华东 2(上海)
华东 2 金融云
华北 1(青岛)
华北 2(北京)
华北 3(张家口)
华北 5(呼和浩特)
华南 1(深圳)
中国香港
新加坡
澳大利亚(悉尼)
马来西亚(吉隆坡)
印度尼西亚(雅加达)
日本(东京)
欧洲与美洲 德国(法兰克福)
英国(伦敦)
美国(硅谷)
美国(弗吉尼亚)
中东与印度 印度(孟买)
阿联酋(迪拜)

相关文档

阿里云服务器批量安装Agent

非阿里云服务器安装Agent