Generar el paquete de instalación y despliegue manual

• En el menú superior Equipos de la consola de administración, haz clic en el botón Añadir equipos situado en la parte superior derecha de la pantalla. Se mostrará una ventana con las plataformas compatibles con Panda Adaptive Defense.

• Haz clic en el icono Linux. Se mostrará la ventana Linux.

• Para elegir el grupo en el que se integrarán los equipos, haz clic en el desplegable Añadir los equipos al siguiente grupo.

• Para integrar el equipo en un grupo Directorio Activo, haz clic en Añadir los equipos en su ruta de Directorio Activo.

  Las políticas de seguridad asignadas a un equipo dependen del grupo al que pertenece. Si has elegido Añadir los equipos en su ruta de Directorio Activo y el administrador del directorio activo de la empresa mueve el equipo de una unidad organizativa a otra, este cambio se replicará en la consola de Panda Adaptive Defense como un cambio de grupo. Por esta razón, las políticas de seguridad asignadas a ese equipo también podrían cambiar sin ser advertido por el administrador de la consola Web.

• Para establecer una configuración de red alternativa al grupo donde se integrará el equipo, haz clic en Selecciona la configuración de red para los equipos y elige una configuración de red en el desplegable. Inicialmente, todas las configuraciones que se aplican al equipo en el momento de la integración son las que están asignadas al grupo de la consola al que pertenecerá. Sin embargo, para prevenir fallos de conectividad y evitar que el equipo quede inaccesible desde la consola de administración por una configuración de red no apropiada, es posible establecer una configuración de red alternativa. Para más información sobre cómo crear configuraciones de red, consulta Configuración remota del agente.

• Para enviar el instalador al usuario por correo electrónico:

  • Haz clic en el botón Enviar URL por email. Se mostrará la aplicación de correo instalada por defecto en el equipo del administrador, con un mensaje pregenerado que contiene la URL de descarga.

  • Añade al mensaje los destinatarios de correo y haz clic en el botón Enviar.

  • El usuario que reciba el correo deberá hacer clic en la URL desde el dispositivo para iniciar la descarga del instalador.

• Para descargar el paquete de instalación y compartirlo con los usuarios de la red, haz clic en el botón Descargar instalador.

Instalación en plataformas Linux

Dependiendo de las características del equipo destino, el agente puede instalarse de varias maneras:

• Instalación en plataformas Linux con conexión a Internet

• Instalación en plataformas Linux con Secure Boot

• Instalación en plataformas Linux sin conexión a Internet (sin dependecias)

Instalación en plataformas Linux con conexión a Internet

Instalar el producto en el equipo de usuario requiere permisos de administrador y que el paquete descargado tenga permisos de ejecución. Al ejecutar el programa de instalación, éste localizará en el equipo del usuario todas las librerías que necesita. Las librerías que no consiga encontrar las descargará de Internet de forma automática.

• Abre una terminal en la carpeta donde reside el paquete descargado y ejecuta los comandos siguientes.

$ sudo chmod +x “/Rutadescarga/Panda Endpoint Agent.run” $ sudo “/RutaDescarga/Panda Endpoint Agent.run”

• En equipos bastionados utiliza el comando --target ./install/ para generar una carpeta temporal en la ubicación del script.

$ sudo “/RutaDescarga/Panda Endpoint Agent.run” --target ./install/

• Si utilizas un servidor proxy para acceder a Internet, añade el parámetro --proxy. Si quieres indicar una lista de proxies, utiliza el parámetro --proxy=<proxy-list> . El script de instalación utilizará el primer proxy de la lista y, en caso de error, recorrerá la lista de proxys especificada hasta encontrar uno que funcione correctamente.

• <proxy-list> es una lista de servidores proxy separadas por comas indicando el usuario y el protocolo con la sintaxis:

<http|https>://<user1>:<pass1>@<host1>:<port1>

• Por ejemplo, para instalar un agente Linux que utilizará dos proxies:

$ sudo “/RutaDescarga/Panda Endpoint Agent.run” -- --proxy=http://user1:pass1@192.168.0.1:3128, http://user2:pass2@192.168.0.2:3128

• Para comprobar que el proceso AgentSvc se está ejecutando, utiliza el comando siguiente:

$ ps ax | grep AgentSvc

• Para comprobar que se han creado los directorios de instalación:

/usr/local/management-agent/*

Instalación en plataformas Linux con Secure Boot

Algunas distribuciones Linux detectan si el equipo tiene la funcionalidad de Secure Boot activada, que deshabilita el software de protección que no esté debidamente firmado. La presencia de Secure Boot puede ser detectada tanto en el momento de la instalación del software de protección como más adelante, si la distribución originalmente no daba soporte a esta funcionalidad, pero posteriormente se añade en alguna actualización. En ambos casos, se muestra un error en la consola y el software de protección no funcionará. Para habilitar el software de protección en este caso, es necesario seguir el procedimiento y cumplir con los requisitos mostrados a continuación.

Requisitos de la distribución

• Sistemas DKMS (Dynamic Kernel Module Support ): paquetes mokutil y openssl instalados.

• Oracle Linux 7.x/8.x y kernel UEKR6: repositorio ol7_optional_latest activado y los paquetes openssl, keyutils, mokutil, pesign, kernel-uek-devel-$(uname -r) instalados.

Habilitar el software de protección en equipos con Secure Boot activado

Para habilitar el software de protección es necesario seguir el procedimiento mostrado a continuación directamente en el equipo, ya que es necesario interactuar con su sistema de arranque:

• Comprueba el estado de Secure Boot:

$ mokutil --sb-state

Si Secure Boot está activado en el equipo se muestra el mensaje Secure Boot enabled.

• Verifica que el driver de la protección no está cargado:

$ lsmod | grep prot

• Importa las claves de la protección:

$ sudo /usr/src/protection-agent-<version>/scripts/sb_import_key.sh

Los ficheros del agente y de la protección tienen el formato protection-agent-03.01.00.0001-1.5.0_741_g8e14e52. El nombre varía en función de la versión y del driver.

Se muestra un mensaje de aviso sobre las implicaciones del uso de Secure Boot.

• Presiona C para registrar el certificado usado para firmar los módulos.

• Genera una contraseña de ocho caracteres.

• Reinicia el equipo y completa el proceso de registro:

  • Presiona cualquier tecla para iniciar el proceso de registro (esta pantalla tiene un tiempo limitado, por lo que si no se presiona ninguna tecla dentro del tiempo definido, habrá que reiniciar el proceso de registro).

  • En el menú, selecciona la opción Enroll MOK. Se abrirá un nuevo menú que muestra el número de KEYS que se van a registrar.

  • Selecciona la opción View keypara revisar que las KEYS son las correspondientes a la protección de Panda Security, y selecciona la opción Continue para seguir con el proceso de registro.

  • Cuando aparezca la opción Enroll the key, selecciona Yes.

  • Escribe la contraseña generada en el paso 3 y reinicia el equipo con la opción REBOOT.

  • Comprueba que el driver está cargado:

$ lsmod | grep prot

Oracle Linux 7.x/8.x con Kernel UEKR6

Una vez terminado el procedimiento general, si la distribución instalada en el equipo es Oracle Linux 7.x/8.x con kernel UEKR6, sigue estos pasos adicionales:

• Vuelve a ejecutar el comando:

$ sudo /usr/src/protection-agent-<version>/scripts/sb_import_key.sh

Se añadirá el certificado con el que se firmaron los módulos a la lista de certificados confiables del kernel. Se firmará el kernel modificado y se añadirá a la lista de kernels de GRUB.

• Reinicia el equipo. El módulo estará cargado y arrancado.

• Para comprobar que el certificado se ha añadido correctamente ejecuta el comando:

$ sudo /usr/src/protection-agent-<version>/scripts/sb_import_key.sh

Se obtiene como resultado:

The signer´s common name is UA-MOK Driver Signing Image /boot/vmlinuz-<kernel-version>-panda-secure-boot already signed Kernel module succesfully loaded

Plataformas Linux con conexión limitada

Panda Adaptive Defense tiene como requisito el acceso a Internet para su correcto funcionamiento, pero el administrador puede querer limitar la conexión de los servidores donde se ejecuta para evitar la descarga o envío de información desde o hacia proveedores externos desconocidos. En este caso, Panda Adaptive Defense no puede completar el proceso de instalación del software de seguridad porque requiere el acceso a repositorios externos para satisfacer sus dependencias.

La instalación en plataformas Linux con conexión limitada permite la instalación del software de seguridad cuando el equipo únicamente tiene acceso a la nube de Panda, de donde se descargará un paquete con todas las dependencias necesarias.

En este método de instalación, las librerías de terceros incluidas en el paquete y que presenten fallos o se descubran vulnerabilidades a lo largo del tiempo no se actualizarán en el equipo protegido de forma automática.

El instalador es compatible con las distribuciones basadas en RedHat:

• RedHat

• CentOS

• CentOS Stream

• SuSE Linux Enterprise

• OpenSUSE

• Oracle Linux

• Alma Linux

• Roky Linux

Para conocer las versiones compatibles de estas distribuciones consultaDistribuciones soportadas

El instalador es compatible con las siguientes versiones de agente y protección Linux:

• Protección 3.00.00.0050 y posteriores

• Agente 1.10.06.0050 y posteriores

Si se utiliza la instalación sin dependencias en una distribución no compatible, la instalación dará un error. Este método de instalación solo es posible sobre equipos sin versiones anteriores del software de seguridad. En caso contrario, se mantiene la configuración previa del repositorio.

Para instalar el agente Panda Adaptive Defense abre una terminal en la carpeta donde reside el paquete descargado y ejecuta:

$ sudo chmod +x “/Ruta descarga/Panda Endpoint Agent.run” $ sudo "/Ruta descarga/Panda Endpoint Agent.run" –- --no-deps