希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
简介
Linux 上的Microsoft Defender for Endpoint支持安装到自定义位置,允许组织根据其特定要求将代理部署到非标准位置。 此功能对于具有以下特征的环境非常有用:
- 自定义目录结构和组织策略
- 根文件系统空间有限
- 应用程序放置的特定符合性要求
默认情况下,Defender for Endpoint 安装到目录 /opt/microsoft/mdatp。 通过自定义位置安装,可以在初始安装期间选择其他基目录。 然后,Defender for Endpoint 在指定位置使用相同的内部文件夹结构。 安装后,所选位置将保持不变,后续升级将继续使用原始自定义位置。 不支持稍后更改安装位置。 如果需要使用其他位置,则必须卸载 Defender for Endpoint,然后将其重新安装到新位置。
先决条件和系统要求
在将 Defender for Endpoint 部署到自定义位置之前,请确保满足以下要求:
先决条件
自定义安装目录及其整个树必须至少
rwxr-xr-x具有 (755) 权限。目标位置必须具有足够的磁盘空间 (至少 2 GB,更多用于) 高性能工作负荷。
如果启用了 SELinux,
semanage则必须安装该工具才能为自定义位置设置正确的文件上下文。出于安全性和可靠性的原因,强烈建议安装到永久装载的本地文件系统上的某个位置。 避免使用可在系统作期间卸载的可移动媒体、网络装载或文件系统,因为这可能会Microsoft Defender for Endpoint服务故障并产生安全风险。
支持的分发版和功能可用性
x64 和 ARM64 体系结构支持的所有 Linux 发行版 都支持自定义位置安装。
从 Linux 上的 Defender for Endpoint 版本 101.25062.0003 开始提供自定义位置功能。
安装到自定义位置的步骤
本部分介绍使用各种受支持的方法将 Defender for Endpoint 部署到自定义位置所需的其他步骤。
安装程序脚本:
建议的方法是在安装时使用
--install-path /your/custom/path选项运行mde_installer.sh脚本。 有关详细信息,请参阅 安装程序脚本部署指南。第三方自动化工具:
Ansible、Chef、Puppet 和 SaltStack 等解决方案可以通过在安装时使用
--install-path /your/custom/path选项运行mde_installer.sh脚本来自动执行部署。 有关详细信息,请参阅 安装程序脚本部署指南。手动安装:
如果更喜欢手动设置,则必须执行其他预安装步骤来准备自定义位置。 有关分步说明,请参阅 下一部分 。
手动安装:预安装设置
在 手动部署步骤中,需要完成额外的预安装设置才能启用自定义位置安装。 执行以下步骤,作为 预安装安装程序的一部分进行自定义位置安装。
重要
强烈建议为自定义安装路径选择新的专用 (空) 目录。 在卸载/清理过程中,该过程尝试递归删除该目录及其所有内容,因此,请务必不要使用包含可能需要保留的其他数据的共享目录或现有目录。
设置自定义路径变量:
注意
自定义路径必须是 (的绝对路径,例如,
/your/custom/path) 。 不支持相对路径。export CUSTOM_PATH="/your/custom/path"创建所需的目录和配置文件:
sudo mkdir -p "${CUSTOM_PATH}" sudo mkdir -p /etc/opt/microsoft/mdatp echo '{"path": "'${CUSTOM_PATH}'"}' | sudo tee /etc/opt/microsoft/mdatp/mde_path.json设置权限:
sudo chmod 755 "${CUSTOM_PATH}" sudo chmod 644 /etc/opt/microsoft/mdatp/mde_path.json创建符号链接:
sudo ln -sf "${CUSTOM_PATH}/opt/microsoft/mdatp" /opt/microsoft/mdatp
然后继续执行分发版的标准安装步骤。
升级和维护
在自定义位置安装的 Defender for Endpoint 升级与标准安装相同 - 安装程序会自动保留现有位置和配置。
重要
不支持在升级期间更改安装路径。 如果需要更改安装路径,必须先卸载 Defender for Endpoint,然后将其重新安装到新位置。
常见问题解答
是否可以将 Defender for Endpoint 安装到任何目录?
可以,只要安装位置的路径是具有至少 755 个权限的绝对路径,并且有足够的空间 (至少 2 GB) 。
安装后是否可以更改 Defender for Endpoint 安装位置?
否,必须卸载并重新安装才能使用其他位置。
如何实现在自定义位置升级 Defender for Endpoint?
运行常用的升级命令。 安装位置保持不变。
是否可以在升级期间更改自定义位置?
否,安装位置更改需要重新安装。
疑难解答
1.验证安装位置
检查正在运行的进程:
运行:
ps aux | grep wdavdaemon。 输出应包含microsoft_mdatp的 wdavdaemon 进程路径。 例如:root 747798 0.3 1.5 1037180 154336 ? Ssl 12:26 0:21 /var/tmp/TestInstall/microsoft_mdatp/opt/microsoft/mdatp/sbin/wdavdaemon root 747844 0.0 0.8 945692 79676 ? Sl 12:26 0:04 /var/tmp/TestInstall/microsoft_mdatp/opt/microsoft/mdatp/sbin/wdavdaemon edr 16 15 --log_level info检查服务状态:
运行:
systemctl status mdatp● mdatp.service - Microsoft Defender Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled) Active: active (running) since ... Main PID: 747798 (wdavdaemon) ... CGroup: /system.slice/mdatp.service ‣ 747798 /var/tmp/TestInstall/microsoft_mdatp/opt/microsoft/mdatp/sbin/wdavdaemon检查 mde_path.json 文件中的自定义安装路径:
- 主要:
/etc/opt/microsoft/mdatp/mde_path.json- 例如:
{"path": "/var/tmp/TestInstall/microsoft_mdatp"} - 如果缺少或格式不正确,Microsoft Defender for Endpoint回退到辅助文件。
- 例如:
- 二 次:
<custom_installation_path>/opt/microsoft/mdatp/conf/mde_path.json- 应与主配置匹配。
- 此文件是在安装时创建的。
- 不一致可能表示安装损坏。
- 确保路径为绝对路径。
- 主要:
2.验证到自定义位置的符号链接
运行: ls -ltr /opt/microsoft/mdatp。 输出应显示为 /opt/microsoft/mdatp 指向自定义位置的符号链接。 例如:
lrwxrwxrwx 1 root root ... /opt/microsoft/mdatp -> /var/tmp/TestInstall/microsoft_mdatp/opt/microsoft/mdatp
相关内容
部署方法:
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。