securite:eset:install_smc_debian10
Ceci est une ancienne révision du document !
Table des matières
Eset SMC sur Debian Buster
Pour les besoins, je crée une VM avec 2Go de Ram et 4Go de Swap.
(
) Encore à réaliser dans ce document:
Certificats pour l'interface Web- Intégration active-directory
Installation
Installation MySQL
- Faire une mise à jour du système
apt update apt dist-upgrade
- Installer deux parquets nécessaires
apt install gnupg lsb-release - Télécharger la source de paquets pour MySQL
wget https://dev.mysql.com/get/mysql-apt-config_0.8.14-1_all.deb
- Installer le paquet
dpkg -i mysql-apt-config_0.8.14-1_all.deb
⇒Laisser le choix sur la version 8 et faire OK
- Mettre à jour les dépots et installer mysql-server ainsi que d'autres paquets nécessaires à Eset SMC.
apt update apt-get install xvfb cifs-utils libqtwebkit4 snmp mysql-server odbcinst1debian2 libodbc1Introduisez le mot de passe pour MySQL, puis à l'écran suivant, choisir la sécurité renforcée.
- Au cas où on souhaiterait faire l'intégration avec l'active directory, ces paquets sont aussi nécessaires
apt install samba ldap-utils libsasl2-modules-gssapi-mit krb5-user - Editer le fichier de configuration de MySQL
nano /etc/mysql/mysql.conf.d/mysqld.cnf
et ajouter les lignes suivantes en dessous de [mysqld]
- /etc/mysql/mysql.conf.d/mysqld.cnf
log_bin_trust_function_creators=1 max_allowed_packet=33M innodb_log_file_size=100M innodb_log_files_in_group=2
- Créer une base de donnée era_db et un utilisateur eset
mysql -u root -p
Une fois mysql client ouvert, collez les lignes suivantes
CREATE DATABASE era_db; CREATE USER eset@localhost IDENTIFIED BY 'mot-de-passe-sql'; GRANT ALL PRIVILEGES ON era_db.* TO eset@localhost; flush privileges; quit
- Redémarrer MySQL
service mysql restart
Installation myodbc
- Télécharger la dernière version 8 disponible (info)
wget -qO- https://dev.mysql.com/get/Downloads/Connector-ODBC/8.0/mysql-connector-odbc-8.0.18-linux-debian10-x86-64bit.tar.gz | tar xvzg -
- Copier les fichiers
cd mysql-connector-odbc... cp bin/* /usr/local/bin cp lib/* /usr/local/lib
- Installer le driver
/usr/local/bin/myodbc-installer -a -d -n "MySQL Server" -t "Driver=/usr/local/lib/libmyodbc8w.so"
Installation Eset SMC
- Télécharger le programme d'install
wget https://download.eset.com/com/eset/apps/business/era/server/linux/latest/server-linux-x86_64.sh
- le rendre exécutable
chmod +x server-linux-x86_64.sh - Lancer le programme d'installation en changeant les données pour refléter votre situation
./server-linux-x86_64.sh --skip-license --db-type="MySQL Server" --db-driver="MySQL Server" \ --db-hostname=localhost --db-port=3306 --server-root-password="pwd-web-interface" \ --db-user-username="eset" --db-user-password="mot-de-passe-sql" \ --cert-hostname="srv-av.makeitsimple.lan" --cert-auth-common-name="srv-av.makeitsimple.lan" \ --cert-organization="makeITsimple" --cert-locality="BE" \ --ad-server="**ACTIVE DIRECTORY SERVER**" --ad-user-name="Administrator" --ad-user-password="**DOMAIN PASSWORD**"
La dernière ligne concerne l'intégration à l'Active Directory, l'omettre si pas d'application. Plus de détails sur les paramètres ici.
- Démarrer le service et vérifier son statut
service eraserver start service eraserver status
- Effacer l'historique afin que les mots de passe ne trainent pas trop
history -c
Installation Eset ERA (Interface graphique)
- Installer Tomcat et Openjdk
apt-get install openjdk-11-jdk tomcat9
- Télécharger ERA sur le site d'Eset
wget https://download.eset.com/com/eset/apps/business/era/webconsole/latest/era.war -P /var/lib/tomcat9/webapps/
- Copier le fichier au bon endroit <code bash>cp era.war /var/lib/tomcat9/webapps/</code>
- Redémarrer le service et vérifier son statut
service tomcat9 restart service tomcat9 status
Configuration TLS
- Créer une clé et un certificat pour le serveur eset
- Fusionner le CA & le certificat ensemble
cat makeitsimple-ca.crt srv-eset.makeitsimple.lan.crt > /tmp/fullchain.crt
- Créer un fichier pkcs12
openssl pkcs12 -export -inkey srv-eset.makeitsimple.lan.key -in fullchain.crt \ -out /tmp/srv-eset.makeitsimple.lan.p12 -name srv-eset -password pass:**temppass**
Remplacez temppass par un mot de passe qui servira à protéger le fichier p12
- Ajouter ce fichier P12 dans une base de clés keytool
keytool -importkeystore -deststorepass eset-era-c3rt -destkeypass eset-era-c3rt \ -destkeystore /opt/eset/keystore -srckeystore srv-eset.makeitsimple.lan.p12 \ -srcstoretype PKCS12 -srcstorepass temppass -alias srv-eset -noprompt
- eset-era-c3rt sera le mot de passe pour accéder à notre keytool
- temppass est le mot de passe que vous avez défini dans le point précédent
- Editer le fichier de config de Tomcat
nano /var/lib/tomcat9/conf/server.xml
et ajouter ceci après <Service name=“Catalina”>
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"port="8443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" keystoreFile="/opt/eset/keystore" keystorePass="eset-era-c3rt" clientAuth="false" sslProtocol="TLS"/> - Redémarrer Tomcat
service tomcat9 restart
Vous pouvez voir les logs de Tomcat si vous avez des soucis
cat /var/log/tomcat9/catalina.*.log
Configuration TLS (seconde version)
- Créer une clé et un certificat pour le serveur eset
- Editer le fichier de config de Tomcat
nano /var/lib/tomcat9/conf/server.xml
et ajouter ceci après <Service name=“Catalina”>
<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol" maxThreads="150" SSLEnabled="true" > <UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" /> <SSLHostConfig> <Certificate certificateKeyFile="/opt/eset/srv-eset.makeitsimple.lan.pem" certificateFile="/opt/eset/srv-eset.makeitsimple.lan.crt"type="RSA" /> </SSLHostConfig> </Connector>
- Redémarrer Tomcat
service tomcat9 restart
Vous pouvez voir les logs de Tomcat si vous avez des soucis
cat /var/log/tomcat9/catalina.*.log
Ouvrir l'interface utilisateur
Se rendre sur :
- Sans certificat: http://fqdn:8080/era
- Avec certificat: https://fqdn:8443/era
Sources
- Installation
securite/eset/install_smc_debian10.1573841807.txt.gz · Dernière modification : (modification externe)