Installazione di endpoint ThreatDown su sistemi operativi Linux

Installazione di endpoint ThreatDown su sistemi operativi Linux

ThreatDown Endpoint Protection può essere installato anche su macchine Linux. Nella pagina Download nella console Oneview ci sono istruzioni su come impostare l’origine del repository in modo che punti al repository ThreatDown Linux.

Per Ubuntu, Debian e altre distribuzioni basate su apt:

sudo touch /etc/apt/sources.list.d/mblinux.list;

echo 'deb [arch=amd64] https://repositories.mwbsys.com/dpkg bionic non-free'|sud o tee -a /etc/apt/sources.list.d/mblinux.list;

wget -q -O - https://repositories.mwbsys.com/dpkg/keyring.gpg | sudo apt-key add -;

sudo apt-get update;

sudo ACCOUNTTOKEN=[token_del_site_malwarebytes] apt-get install mblinux

Per le distribuzioni basate su RPM:

sudo yum-config-manager --add-repo https://repositories.mwbsys.com/rpm/mblinux.repo;

sudo env ACCOUNTTOKEN=[token_del_site_malwarebytes] yum install -y mblinux

Quindi, scaricare e installare l’Endpoint Agent utilizzando i comandi Linux standard apt-get/apt install oppure yum install.

Note sul programma di installazione di Linux Endpoint

  1. Gli endpoint vengono assegnati al gruppo predefinito e utilizzano i criteri predefiniti, a meno che non si specifichi un gruppo o un criterio diversi. Per assegnare automaticamente gli endpoint a un gruppo durante l’installazione:
    1. Nel menu di spostamento a sinistra, fare clic su Area download.
    2. In Strumenti avanzati fare clic sul collegamento Specifica assegnazione gruppo.
  2. La distribuzione guidata prevede due metodi per iniziare la distribuzione con gli utenti dell’endpoint:
    1. Download diretto: scaricare il programma di installazione di Endpoint Agent nell’endpoint locale.
    2. Condivisione collegamenti: copia e condividi un messaggio personalizzabile con collegamenti per il download nel programma di installazione di Endpoint Agent. I link scadono dopo 7 giorni.

Installazione manuale sull’endpoint Linux

Per aggiungere manualmente un endpoint scaricare il file di installazione di ThreatDown Endpoint Agent ed eseguire il file dall’endpoint. Ogni file di installazione è preconfigurato per il sito al quale verrà aggiunto.

Gli endpoint vengono assegnati al gruppo predefinito e utilizzano i criteri predefiniti, a meno che non si specifichi un gruppo diverso come parametro.

  1. Nel menu di spostamento a sinistra, fare clic su Area download.
  2. Fai clic su Download diretto.
  3. Seleziona Linux dal menu a discesa.
  4. Nella sezione Download Endpoint Installers scegliere la distribuzione in uso, in base al sistema operativo dell’endpoint:
    1. Distribuzioni basate su Debian
    2. Distribuzioni basate su RPM
    3. Distribuzioni basate su SUSE
  5. Dopo aver selezionato la distribuzione, copia il testo nel campo Download e installazione e incolla il testo nella riga di comando di Linux. Il token dell’account viene compilato automaticamente nel campo per comodità.
  6. Esegui lo script nel tuo ambiente Linux.
Al termine del processo di installazione, l’agent viene registrato e l’endpoint Linux viene visualizzato nella pagina Endpoint di OneView.

N.B: tutti gli endpoint Linux vengono conteggiati come server.

Per verificare che il server Linux avvii l’agente endpoint all’avvio, dare questo comando:

root@linux:~# systemctl is-enabled mbdaemon</code></p> <p class="go-paragraph"><strong><code>disabled</p> <p class="go-paragraph">Se il comando restituisce come output <strong>disabled</strong>, eseguire il seguente comando per abilitare l̵7;agente:</p> <p class="go-paragraph"><code>root@linux:~# systemctl enable mbdaemonCreated symbolic link /etc/systemd/system/multi-user.target.wants/mbdaemon.service → /lib/systemd/system/mbdaemon.service

Eseguire nuovamente il seguente comando per verificare che l’agente sia abilitato:

root@linux:~# systemctl is-enabled mbdaemon

<p class="go-paragraph"><strong><code>enabled</code></strong></p> L’installazione del pacchetto DKMS tramite gli strumenti di gestione dei pacchetti della propria distribuzione potrebbe non installare la versione corretta del pacchetto di intestazioni del kernel; occorre dunque controllare le dipendenze del pacchetto DKMS prima dell’installazione. Su distribuzioni meno recenti come CentOS, potrebbe essere necessario aggiungere manualmente dei repository più vecchi o scaricare e installare manualmente gli header per il kernel in uso.

Installare manualmente DKMS per le seguenti distribuzioni Linux:

Distribuzione Linux
Comandi
Amazon Linux 2
Installare DKMS con il seguente comando: sudo yum install dkms
Red Hat Enterprise Linux 7 Red Hat Enterprise Linux 8 CentOS 7 CentOS 8
Nota: DKMS non è nel repository predefinito. Un repository aggiuntivo deve essere abilitato con il seguente comando: sudo yum -y aggiornamento epel-release
Installare DKMS con il seguente comando: sudo yum installa dkms
N.B: le distribuzioni basate su Ubuntu, tentano automaticamente di installare DKMS durante l’installazione dell’agente endpoint.

Una volta installata la versione corretta degli header del kernel e DKM si può abilitare EDR per Linux nella policy di ThreatDown by Malwarebytes.

Eventuali problemi di malfunzionamento del modulo EDR per linux

Se viene visualizzato il messaggio di errore “EDR Kernel module is not running” e gli header del kernel per DKMS sono installati correttamente, potrebbe essersi verificato un arresto anomalo imprevisto o un malfunzionamento del driver del kernel.

In questo caso, controllare i log degli endpoint /var/log/com.malwarebytes.edr.log per informazioni dettagliate.

Per verificare se il modulo è installato correttamente  sul sistema dare il comando:

$ sudo modinfo mbedr_drv

In questa tabella sono riportati i possibili output del comando e risoluzioni:
Output
Risoluzione
ERROR: Module mbedr_drv not found. The kernel module has not been built on the system.
Consultare la documentazione della distribuzione per sapere come compilare un modulo del kernel e installare DKMS. Installare la versione corretta delle intestazioni del kernel per la compilazione del kernel. Usare '$uname -r' per ottenere la versione corrente del kernel.
ERROR: could not get modinfo from ‘mbedr_drv’: No such file or directory
Eseguire questo comando per rimuovere la build DKMS: $ sudo dkms remove -m mbedr_drv/<EDR VERSION> Se l’errore persiste, utilizzare il seguente comando: $ sudo dkms remove mbedr_drv/<EDR VERSION> --all
EDR VERSION: l’attuale versione del plug-in Endpoint Detection & Response.
Output: filename: /lib/modules/XXXXX-generic/updates/dkms/mbedr_drv.ko
version: X.X.X
license: GPL
author: Malwarebytes
srcversion: …
Il driver è stato installato correttamente. Utilizzare questo comando per verificare se si è verificato un arresto anomalo o un problema interno: $ sudo dmesg Fornire l’output al supporto Malwarebytes.


Firma di un modulo del kernel

I sistemi con UEFI (Unified Extensible Firmware Interface) e Secure Boot abilitati possono richiedere che i moduli del kernel siano firmati crittograficamente da una chiave attendibile. Per firmare il modulo mbedr_drv:

  1. Creare una chiave di firma con OpensSSL.
    1. openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes -days 36500 -subj "/CN=Nome comune descrittivo/"
  2. Firmare il modulo.
    1. sudo /usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256./MOK.priv ./MOK.der $(modinfo -n mbedr_drv)
  3. Importare la Machine Owner Key (MOK).
    1. sudo mokutil --import MOK.der
  4. Riavviare.
Seguire la documentazione della propria distribuzione per l’utilizzo di MOK

Impostazioni del server proxy

È possibile utilizzare le variabili elencate di seguito durante l’installazione o le opzioni della riga di comando mblinux per configurare ThreatDown for Linux per utilizzare un server proxy.

Nome variabileDescrizione
NEBULA_PROXY_SERVERL’indirizzo del server proxy
NEBULA_PROXY_PORTPorta per il server proxy
NEBULA_PROXY_USERNome utente per l’autenticazione del server proxy
NEBULA_PROXY_BYPASS_LOCALImpostare se il proxy deve essere ignorato per gli indirizzi locali