Установка macOS-агента¶
Перед установкой ознакомьтесь с требованиями к рабочей станции.
Установка¶
Скачайте агент:
через веб-интерфейс сервера,
по ссылке.
Выдайте терминалу разрешение на доступ к жёсткому диску для запуска скрипта-установщика:
Разместите установочный файл на машине, действия которой будут отслеживаться.
Для этого в терминале из папки с агентом выполните команду:
sudo bash ./agent-macos.sh 10.0.0.1Вместо 10.0.0.1 укажите IP-адрес своего сервера StaffCop.
В появившемся окне «StaffAgent нуждается в accessibility» выдайте права агенту:
Предоставьте разрешение «Terminal» для установки агента:
В некоторых версиях macOS необходимо выдать права на «Запись экрана»:
Для контроля файловых операций разрешите доступ к диску для приложения /Library/Application Support/.AtomSec/fmon_app.
Установка агента из pkg-дистрибутива¶
Примечание
Если в имени дистрибутива не указан адрес сервера Staffcop, на который будут отправляться данные, укажите его.
Приведите имя файла к виду agent-macos[server_address].pkg. Здесь вместо server_address укажите IP-адрес своего сервера Staffcop.
Запустите файл.
Ошибка Can’t be opened because apple cannot check it for malicious software
В ходе установки агента, может возникнуть ошибка Can’t be opened because apple cannot check it for malicious software.
Эта ошибка возникает, когда macOS не может проверить производителя запускаемого ПО. Решить эту проблему можно несколькими способами:
Способ 1. В разделе System Preferences - Security & Privacy выберите опцию Open Anyway.
Способ 2. Нажмите правой кнопкой мыши на значке приложения. Опция Open будет доступна, не смотря на предупреждение Can’t be opened because apple cannot check it for malicious software.
Выполняйте указания мастера установки.
При запросе введите логин и пароль администратора системы.
Предоставьте системе все необходимые разрешения.
Примечание
Для контроля файловых операций разрешите доступ к диску для приложения /Library/Application Support/.AtomSec/fmon_app.
После завершения установки:
Удаление¶
Чтобы удалить агент, выполните команду:
bash ./agent-macos.sh uninstall
Логи агента¶
cat /Library/Caches/com.atomsec.staff/staff.log
cat /Library/Caches/com.atomsec.staff/staff_filemon.log
cat /tmp/staff.err.log
cat /var/log/system.log | grep com.atomsec.staff
Задание резервного сервера¶
macOS-агенту можно задать один или несколько резервных серверов для передачи событий или обновления самого агента.
Задать резервные серверы можно двумя способами:
Через терминал:
sudo /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent add_servers 1.1.1.1 555 https://2.2.2.2:888
Здесь приведён пример добавления двух резервных серверов: 1.1.1.1 с портом связи 555 и 2.2.2.2 с портом 888.
После добавления новых серверов, перезапустите агент, чтобы обновлённая конфигурация вступила в силу:
sudo /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent restart
Вручную в конфигурационном файле:
2.1 Откройте конфигурационный файл /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/config.
2.2 Добавьте адрес нового сервера и порт для подключения к нему в формате:
server2 = 1.1.1.1 port2 = 555
При недоступности основного сервера, агент автоматически переключится на резервный. В случае, если недоступен первый резервный сервер, агент переключится на следующий, указанный в списке.
Чтобы указать в качестве основного ранее добавленный сервер 1.1.1.1 с портом связи 555, используйте команду:
sudo /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent 1.1.1.1 555 restart