前置条件:环境准备
1. 获取安全 Agent
从下面的 URL 地址下载并将 IoT 安全运营中心 Agent 包放置到设备上的用户目录,并解压缩,例如通过 wget 进行获取,Agent 下载链接:
https://lsoc-sdk.oss-cn-shanghai.aliyuncs.com/release/Security_Center_Agent_linux_latest.tar.gz
cd ~
wget https://lsoc-sdk.oss-cn-shanghai.aliyuncs.com/release/Security_Center_Agent_linux_latest.tar.gz
tar -xf Security_Center_Agent_linux_latest.tar.gz
2. 安全 Agent 安装包目录结构说明
将 Agent 解压缩,得到 Security_Center_Agent_linux_ 文件夹。目录结构和各个目录的说明如下:
.
|-- config // 自动安装使用的配置文件,用户无需关心
| |-- soc // IoT 安全运营中心 Agent 配置,用户无需关心
| `-- system // 操作系统兼容性配置,用户无需关心
|-- i18n // 安装脚本国际化目录,用户无需关心
| |-- strings_en_US.sh
| `-- strings_zh_CN.sh
|-- kernel // 一个供参考的内核补丁,当系统实际内核低于 3.10 时可以选择性应用
| `-- kernel-3.10.0-957.27.2.el7.dps.x86_64.rpm
|-- sdk // IoT 安全运营中心 Agent 二进制文件包,用户无需关心
| |-- arm
| |-- arm64
| |-- x86
| `-- x86_64
|-- tools // IoT 安全运营中心工具包
| `-- batch_deploy_tool // 后装部署工具,在后装场景下可能会用到
|-- install_security_agent_linux.sh // IoT 安全运营中心 Agent 安装脚本
`-- uninstall_security_agent_linux.sh // IoT 安全运营中心 Agent 卸载脚本
3. 获取授权文件
如果您需要新创建一个物联网平台产品,并接入 IoT 安全运营中心,请参考本步骤。
如果您需要将一个已经在物联网平台上注册的产品接入安全 IoT 安全运营中心,请直接跳过本步骤(第 3 步),继续阅读下一个步骤 4,并且详细参阅物联网平台设备集成安全 Agent 最佳实践。
登录 IoT 安全运营中心控制台, IoT安全中心 -- 集成与部署 --IoT 安全运营中心通过指引获取授权文件。
方法 1:可下载授权文件并保存为 “soc.license”文件名,并将其复制到 Security_Center_Agent_linux 安装包目录。
方法 2:也可以直接在目标设备上用 wget 命令下载,复制下载地址。
4. 执行安装
用 root 权限执行 install_security_agent_linux.sh,按照引导即可将 IoT 安全运营中心 Agent 安装到目标设备上。注意在安装过程中,请根据您是否需要在物联网平台上新创建产品,来进行不同的选择。
如果您希望复用当前在物联网平台上注册的产品接入 IoT 安全运营中心,在安装程序执行到 “您希望安全 Agent 接入何种云环境? ”时,请选择 1. 我希望复用现有物联网平台业务通道将安全 Agent 接入公有云,安装完成后,请详细参阅物联网平台设备集成安全 Agent 最佳实践。
如果您希望使用一个全新的物联网平台产品接入 IoT 安全运营中心,在安装程序执行到 “您希望安全 Agent 接入何种云环境? ”时,请选择 2. 我希望将安全 Agent 使用密钥认证,不复用业务通道接入公有云
下面是一个使用现有物联网平台产品接入 IoT 安全运营中心的例子:
root@aliyunio:~/workshop/Security_Center_Agent_linux_1.3.0# ./install_security_agent_linux.sh
欢迎安装阿里云 IoT 安全运营中心的安全 Agent,
如果您的设备是第一次安装该 Agent, 请先确保在一台可进行系统还原的测试设备上进行尝试, 待安装成功后再进行大规模部署
第1步. 选择安装功能...
Agent 类型为:IoT 安全运营中心的安全 Agent
第2步. 检查和确认安装环境...
检测到您的设备环境 CPU 架构为: x86_64, 请确定 (需要确认, 输入Y/N)
Y
检测到您的设备环境 OS 为: 20.04 Ubuntu 20.04.6 LTS, 请确定 (需要确认, 输入Y/N)
Y
第3步. 安装 Agent 包...
检测到您的设备 SELinux 状态为: Disabled (检查通过)
检测到您的审计服务状态为: Disabled (检查通过)
检测到您的内核版本: 5.4.0-155-generic (检查通过)
安装包准备完毕
第4步. 安全和设置阿里云 IoT 安全运营中心的安全 Agent...
正在自动安装...
[可选优化] 您是否需要开启入侵检测和主动防御功能模块? (需要确认, 输入Y/N)
Y
入侵检测和主动防御功能模块已经部署, 请务必在安装完成之后重启设备或者系统, 以确认系统和应用正常运行, 如果遇到问题请加入 IoT 安全运营中心用户支持钉钉群获取帮助, 群号: 23147118
阿里云 IoT 安全运营中心 Agent 已安装完毕
您希望安全 Agent 接入何种云环境? // !! 重要 !! 这一步请根据实际情况进行选择
1. 我希望复用现有物联网平台业务通道将安全 Agent 接入公有云
2. 我希望将安全 Agent 使用密钥认证,不复用业务通道接入公有云
(请输入数字: 1~3, 其它输入表示默认值 1) : 1
下面是本次安装的详细信息:
#################################################
设备处理器架构 : x86_64
设备操作系统 : 20.04 Ubuntu 20.04.6 LTS
安全运营中心 Agent 版本 : 1.3.0.01
设备固件版本 : 20.04 Ubuntu 20.04.6 LTS
守护程序类型 : systemd
内核审计能力 : enabled
日志保存天数 : 3
单个日志大小(KB) : 10240
保护的用户目录 :
安全存储目录 : /data/dps/sagent
接入安全运营中心 : custom
#################################################
为了发挥 IoT 安全运营中心对设备的防护能力, 请手工执行以下步骤:
安全运营中心的安全 Agent 已经成功在您的设备上运行, 请参考安全运营中心的安全 Agent 文档,通过改造物联网平台接入客户端将物联网平台通道复用给安全运营中心的安全 Agent 以接入服务
5. 确认安装是否成功
请执行下面命令查看安全 Agent 服务是否启动,如果已经启动则说明安装成功。
然后请重启启动测试设备,观察设备是否可以完成上电和启动,其中没有任何您的系统服务或者业务应用崩溃。如果遇到任务问题,请加入钉钉技术支持群:23147118 获取技术支持。
root@aliyunio:~/workshop/Security_Center_Agent_linux_1.3.0# systemctl status dpsd.service
● dpsd.service - DPS daemon
Loaded: loaded (/etc/systemd/system/dpsd.service; enabled; vendor preset: enabled)
Active: active (running) since Fri 2023-08-04 05:12:14 UTC; 1min 13s ago
Main PID: 1684 (dpsd)
Tasks: 16 (limit: 2218)
Memory: 5.6M
CGroup: /system.slice/dpsd.service
├─1684 /system/dps/bin/dpsd
├─1701 /system/dps/bin/logd
└─1712 /system/dps/bin/sandbox --daemon
6. 准备必要的文件
在确认 IoT 安全运营中心的安全 Agent 安装好之后,请将 /usr/local/lib/ 路径下两个文件:libdps.so 和 libsessionmux.so 复制到 Linux 操作系统的系统库目录,对于不同的 Linux 发行版:
Redhat/CentOS 64 位:
sudo cp /usr/local/lib/libsessionmux.so /usr/lib64/
sudo cp /usr/local/lib/libdps.so /usr/lib64/
Redhat/CentOS 32 位:
sudo cp /usr/local/lib/libsessionmux.so /usr/lib/
sudo cp /usr/local/lib/libdps.so /usr/lib/
Ubuntu/Debian:
sudo cp /usr/local/lib/libsessionmux.so /usr/lib/
sudo cp /usr/local/lib/libdps.so /usr/lib/
后续步骤:
如果您是需要将一个全新的产品接入 IoT 安全运营中心,请继续参考:确认集成效果
如果您需要将已经在物联网平台上注册的设备接入 IoT 安全运营中心,请继续参考: