云安全中心防护服务器依赖于云安全中心Agent,您必须在服务器操作系统上安装云安全中心Agent,云安全中心才能为服务器提供安全防护。未安装Agent的服务器将不受云安全中心保护,控制台页面也不会显示该资产的任何漏洞、告警、基线漏洞和资产指纹等数据。本文介绍如何为服务器安装Agent。

如何查看哪些资产需要安装Agent插件?

  1. 登录云安全中心控制台在左侧导航栏,选择系统配置 > 功能设置
  2. 客户端页签的未安装客户端子页签,查看未安装客户端的服务器数量及列表。

一键自动安装Agent(仅阿里云服务器支持)

前提条件

使用一键安装Agent功能,请确保服务器满足以下条件:
  • 服务器为阿里云ECS服务器。非阿里云服务器不支持一键自动安装,需使用手动安装的方式
  • 服务器已安装云助手。如果该服务器尚未安装云助手,请您先安装云助手,再执行一键自动安装Agent。
  • 服务器已在运行中,且网络已正常连接。
  • 服务器使用的是专有网络,不是经典网络。
  • 如果您的服务器上已安装第三方安全软件,可能会导致云安全中心Agent无法正常安装,建议您先关闭或卸载该安全软件后,再安装云安全中心Agent。
  • ECS服务器所在地域支持一键安装功能。
    以下是一键安装Agent功能支持的地域。如果您的阿里云ECS服务器不在以下地域内,将无法使用一键自动安装Agent的功能。
    表 1. 支持一键安装Agent的地域
    地域分类地域名称
    亚太
    华东 1(杭州)、华东 2(上海)、华东 2 金融云、华北 1(青岛)、华北 2(北京)、华北 3(张家口)、华北 5(呼和浩特)、华南 1(深圳)、中国香港、新加坡、澳大利亚(悉尼)、马来西亚(吉隆坡)、印度尼西亚(雅加达)、日本(东京)
    欧洲与美洲德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚)
    中东与印度印度(孟买)、阿联酋(迪拜)

操作步骤

  1. 登录云安全中心控制台在左侧导航栏,选择系统配置 > 功能设置
  2. 客户端页签的未安装客户端子页签下的待安装Agent的服务器列表,单击要安装Agent的服务器操作列的安装客户端,为该服务器安装Agent。
    您也可以选中多台服务器,单击左下角一键安装,批量安装Agent。
    Agent插件安装完成约5分钟后,您即可在资产中心 > 主机资产页面的服务器页签下,查看服务器的客户端在线情况。已安装Agent的服务器客户端列的客户端离线图标会变为客户端在线图标,表示该服务器已受到云安全中心的安全防护。

手动安装Agent

如果您的服务器为非阿里云服务器(包括第三方云服务器、IDC服务器),或阿里云ECS服务器不在支持一键安装Agent的地域时,您必须手动安装Agent。

为单台服务器手动安装Agent

  1. 如需安装Agent的服务器曾安装过Agent,您必须先卸载Agent并删除Agent安装目录下的所有文件。如未安装过Agent,请跳过该步骤。
    Agent文件目录如下:
    • Windows:C:\Program Files (x86)\Alibaba\Aegis
    • Linux:/usr/local/aegis
  2. 登录云安全中心控制台在左侧导航栏,选择系统配置 > 功能设置
  3. 客户端页签的安装命令子页签,查看手动安装Agent插件的命令。
    • 使用默认命令

      云安全中心为您提供4条默认命令。如果您无需生成命令镜像或不需要自动添加服务器到指定的资产分组,您可以按照自己服务器和操作系统类型选择对应的安装命令,直接复制并在服务器中执行该命令安装客户端。

    • 新增安装命令

      如果您需要生成命令镜像或需要将应用该命令的服务器自动添加到指定的资产分组中,你可以通过新增安装命令,手动创建安装Agent的命令。

      单击新增安装命令,在新增安装命令对话框,配置命令的基本信息,然后单击确定生成一条Agent安装命令,并复制该命令。

      配置项说明
      过期时间该命令过期的时间。
      服务商在下拉列表中选择服务器所属的服务提供商。
      默认分组选择需要安装Agent的服务器所属的服务器分组。
      操作系统选择需要安装Agent的服务器的操作系统。
      制作镜像系统
      选择为单台服务器安装Agent。

      如果您需要通过镜像批量部署预装云安全中心Agent的服务器时,请选择。批量安装Agent的具体操作,请参见通过生成镜像批量安装Agent

      您可以在安装命令子页签,查看已创建的Agent安装命令。

  4. 使用有管理员权限的账号登录需要安装Agent的服务器,根据服务器的操作系统类型,执行安装命令。
    • Windows系统:在命令提示符(CMD)中,执行已复制的安装命令,即可完成Agent插件的下载及安装。
    • Linux系统:在服务器的命令行界面,执行已复制的安装命令,即可完成Agent插件的下载及安装。
    重要 该安装命令执行过程中会从阿里云站点下载最新的Agent插件,如您使用的是非阿里云服务器请确认您的服务器已连接公网。

通过生成镜像批量安装Agent

  1. 如果需要生成镜像的服务器曾安装过Agent,您必须先卸载Agent并删除Agent安装目录下的所有文件。如未安装过Agent,请跳过该步骤。
    Agent文件目录如下:
    • Windows:C:\Program Files (x86)\Alibaba\Aegis
    • Linux:/usr/local/aegis
  2. 登录云安全中心控制台在左侧导航栏,选择系统配置 > 功能设置
  3. 客户端页签的安装命令子页签,单击新增安装命令
  4. 新增安装命令对话框,配置命令的基本信息,然后单击确定生成一条Agent安装命令,并复制该命令。
    配置项说明
    过期时间该命令过期的时间。
    服务商在下拉列表中选择服务器所属的服务提供商。
    默认分组该安装命令生效的服务器分组。
    操作系统选择需要安装Agent的操作系统类型。
    制作镜像系统
    选择
  5. 在安装命令中参考以下内容添加最新版Agent的版本号-v=11_41
    • Windows:powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://aegis.alicdn.com/download/install/2.0/windows/AliAqsInstall.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))"; "./AliAqsInstall.exe -i -v=11_41 -k=IMAGEwH****"
    • Linux:wget "https://aegis.alicdn.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh -i -v=11_41 -k=IMAGE19****
  6. 使用有管理员权限的账号登录需要安装Agent的服务器,执行修改后的安装命令。
    • Windows系统:在命令提示符(CMD)中,执行已复制的安装命令,即可完成Agent插件的下载及安装。
    • Linux系统:在服务器的命令行界面,执行已复制的安装命令,即可完成Agent插件的下载及安装。

    在生成镜像的服务器中运行了用户镜像安装的安装命令后,将仅下载Agent文件,您需要在镜像制作完成后重启服务器,才能启动Agent进程,为服务器开启云安全中心防护。

  7. 安装完成后,根据提示将服务器关机,然后制作系统镜像。
    重要
    • 镜像制作完成之前不能重启服务器,否则会导致镜像失效。
    • 如需使用同一台服务器多次制作镜像,每次制作镜像时,您都需要重新执行通过生成镜像批量安装Agent中的所有步骤。
    • 镜像安装命令执行完成后,不会在服务器中启动AliYunDunAliYunDunUpdate进程,客户端也不会显示在线状态。您需要重启服务器,Agent客户端才会变成在线状态。
  8. 完成系统镜像制作后,重启生成镜像的服务器。
    重启后,生成镜像的服务器状态才会变更为在线。

以云外主机部署方式跨账号管理阿里云ECS

跨账号管理阿里云ECS

如果您想把阿里云账号B下的资产展示到阿里云账号A下进行安全监控,您可以进行以下操作实现。
  1. 通过提交工单,联系技术支持对阿里云账号A进行打标处理。
  2. 使用阿里云账号A登录云安全中心控制台复制云外主机安装Agent命令为阿里云账号B下的主机安装Agent。具体操作,请参见手动安装Agent
    使用云外主机安装Agent命令安装了Agent的服务器,无论该服务器是否为当前阿里云账号下的云服务器ECS,该服务器在云安全中心控制台均会显示为非阿里云(即云外主机)。非阿里云服务器
  3. 安装完成后,使用阿里云账号A登录云安全中心控制台,就可以看到阿里云账号B下的阿里云ECS(显示为非阿里云服务器),并可以对阿里云账号B下的ECS进行管理。

解除跨账号管理ECS

如果您已经把阿里云账号B下的资产展示到阿里云账号A下进行安全监控,现在想要解除跨账号管理,您可以进行以下操作实现。

  1. 使用阿里云账号A登录云安全中心控制台卸载需要解除绑定的阿里云ECS中的Agent。具体操作,请参见卸载Agent
  2. 使用阿里云账号B登录云安全中心控制台在左侧导航栏,选择系统配置 > 功能设置
  3. 客户端页签的安装命令子页签,根据您需要安装Agent的服务器类型单击阿里云Linux或Windows服务器后的复制命令,并在命令后面加上-r
    安装命令示例:
    • Linux
      wget "https://update2.aegis.aliyun.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh  -k=bE**** -r
    • Windows
      powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://update2.aegis.aliyun.com/download/install/2.0/windows/AliAqsInstall.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))";  "./AliAqsInstall.exe  -k=1O****" -r
  4. 使用管理员账号(Windows系统为Administrator,Linux系统为root)登录需要安装Agent的ECS,执行安装命令。
  5. Agent安装完成后,使用阿里云账号B登录云安全中心控制台,即可在该账号下查看并管理已安装Agent的云服务器ECS。

验证Agent是否已安装成功

安装Agent后,云安全中心会在您服务器中下载Agent相关文件,并启动相应进程。关于Agent进程的更多信息,请参见Agent进程。您可以通过确认进程的状态或在控制台上查看Agent状态,确认Agent是否已安装成功。

方法一:验证相关进程

安装Agent后,您可以通过查看Agent相关进程是否正常运行和已安装Agent的服务器是否正常连通云安全中心服务端,来验证Agent是否安装成功。

  1. 检查您服务器上云安全中心Agent的AliYunDunAliYunDunUpdate进程是否正常运行。云安全中心Agent进程说明,请参见Agent说明
  2. 在您的服务器上执行以下telnet命令,检查您的服务器是否能正常连通云安全中心服务端。
    说明 确保您的服务器同时能够连通至少一个jsrv和一个update服务域名。jsrv域名用来下发指令(例如漏洞扫描、病毒检测等),update域名用来下载和更新Agent插件。
    • telnet jsrv.aegis.aliyun.com 443/80
    • telnet jsrv2.aegis.aliyun.com 443/80
    • telnet jsrv3.aegis.aliyun.com 443/80
    • telnet update.aegis.aliyun.com 443/80
    • telnet update2.aegis.aliyun.com 443/80
    • telnet update3.aegis.aliyun.com 443/80

方法二:控制台验证

Agent插件安装完成约五分钟后,您即可在云安全中心管理控制台主机资产页面查看您服务器客户端的在线情况:
  • 阿里云服务器客户端图标从未防护图标变成已防护图标
  • 非阿里云服务器将会被添加至您的服务器列表中,并且客户端图标从未防护图标变成已防护图标
    重要 云安全中心控制台每分钟会自动同步已安装Agent的资产信息。由于网络环境的原因,非阿里云服务器安装Agent后服务器信息同步可能会出现延迟,导致云安全中心控制台主机资产页面不会及时展示服务器的信息。这种情况下,您需要手动同步资产信息。具体操作,请参见同步最新资产

如果云安全中心Agent安装验证失败,请执行Agent离线排查,确定Agent是否已离线。具体操作,请参见Agent离线排查