Установка macOS-агента

Системные требования

RAM: от 2 ГБ.

Пропускная способность сетевого канала: не менее 200 Kbps.

Поддерживаемые версии macOS:

  • 10.15(Catalina);

  • 11.x(BigSur);

  • 12.x(Monterey);

  • 13.x(Ventura);

  • 14.x(Sonoma).

Примечание

Поддержка версий 10.13(High Sierra) и 10.14(Mojave) прекращена. Агент запустится машинах под управлением 10.13(High Sierra) и 10.14(Mojave), но его функционал будет ограничен.

Возможности macOS-агента

Установка

  1. Скачайте агент:

  • через веб-интерфейс сервера;

  • по ссылке.

  1. Выдайте терминалу разрешение на доступ к жёсткому диску для запуска скрипта-установщика:

../../_images/mac_ventura.png
  1. Разместите установочный файл на машине, действия которой будут отслеживаться.

Для этого в терминале из папки с агентом выполните команду:

sudo bash ./agent-macos.sh 10.0.0.1

Вместо 10.0.0.1 укажите IP-адрес своего сервера StaffCop.

В появившемся окне «StaffAgent нуждается в accessability» выдайте права агенту:

../../_images/mac_2.png
  1. Предоставьте разрешение «Terminal» для установки агента:

../../_images/mac_4.png

В некоторых версиях macOS необходимо выдать права на «Запись экрана»:

../../_images/mac_3.png

Установка агента из pkg-дистрибутива

  1. Скачайте pkg-дистрибутив.

Примечание

Если в имени дистрибутива не указан адрес сервера Staffcop, на который будут отправляться данные, укажите его.

Приведите имя файла к виду agent-macos[server_address].pkg. Здесь вместо server_address укажите IP-адрес своего сервера Staffcop.

  1. Запустите файл.

Ошибка Can’t be opened because apple cannot check it for malicious software
В ходе установки агента, может возникнуть ошибка Can’t be opened because apple cannot check it for malicious software.
Эта ошибка возникает, когда macOS не может проверить производителя запускаемого ПО. Решить эту проблему можно несколькими способами:

Способ 1. В разделе System Preferences - Security & Privacy выберите опцию Open Anyway.

Способ 2. Нажмите правой кнопкой мыши на значке приложения. Опция Open будет доступна, не смотря на предупреждение Can’t be opened because apple cannot check it for malicious software.

  1. Выполняйте указания мастера установки.

  2. При запросе введите логин и пароль администратора системы.

  3. Предоставьте системе все необходимые разрешения.

../../_images/pkg_1.png

После завершения установки:

  • проверьте на всех вкладках, что предоставлены все необходимые разрешения:

    ../../_images/pkg_1.png
  • в веб-интерфейсе сервера Staffcop в Алертах и в разделе Панель управленияКомпьютеры появится информация об установленном агенте.

Удаление

Чтобы удалить агент, выполните команду:

bash ./agent-macos.sh uninstall

Логи агента

cat /Library/Caches/com.atomsec.staff/staff.log
cat /Library/Caches/com.atomsec.staff/staff_filemon.log
cat /tmp/staff.err.log
cat /var/log/system.log | grep com.atomsec.staff

Задание резервного сервера

MacOS-агенту можно задать один или несколько резервных серверов для передачи событий или обновления самого агента.

Задать резервные серверы можно двумя способами:

  1. Через терминал:

    sudo /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent add_servers 1.1.1.1 555 https://2.2.2.2:888
    

    Здесь приведён пример добавления двух резервных серверов: 1.1.1.1 с портом связи 555 и 2.2.2.2 с портом 888.

    После добавления новых серверов, перезапустите агент, чтобы обновлённая конфигурация вступила в силу:

    sudo /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent restart
    
  2. Вручную в конфигурационном файле:

    2.1 Откройте конфигурационный файл /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/config.

    2.2 Добавьте адрес нового сервера и порт для подключения к нему в формате:

    server2 = 1.1.1.1
    port2 = 555
    

При недоступности основного сервера, агент автоматически переключится на резервный. В случае, если недоступен первый резервный сервер, агент переключится на следующий, указанный в списке.

Чтобы указать в качестве основного ранее добавленный сервер 1.1.1.1 с портом связи 555, используйте команду:

sudo /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent 1.1.1.1 555 restart