Установка macOS-агента

• Установка

• Установка агента из pkg-дистрибутива

  • Установка через MDM

• Удаление

Перед установкой ознакомьтесь с требованиями к рабочей станции.

Установка

1. Скачайте агент:

• через веб-интерфейс сервера,

• по ссылке.

2. Выдайте разрешение на доступ к жёсткому диску для запуска скрипта-установщика.

VenturaMonterey

Для .StaffAgent, Терминала, fmon_app, sshd-keygen-wrapper:

3. Разместите установочный файл на машине, действия которой будут отслеживаться.

Для этого в терминале из папки с агентом выполните команду:

sudo bash ./agent-macos.sh 10.0.0.1

Вместо 10.0.0.1 укажите IP-адрес своего сервера StaffCop.

В появившемся окне «StaffAgent нуждается в accessibility» выдайте права агенту:

4. Предоставьте разрешение Terminal для установки агента:

В некоторых версиях macOS необходимо выдать права на Запись экрана:

5. Для контроля файловых операций разрешите доступ к диску для приложения /Library/Application Support/.AtomSec/fmon_app.

Установка агента из pkg-дистрибутива

1. Скачайте pkg-дистрибутив

Примечание

Если в имени дистрибутива не указан адрес сервера Staffcop, на который будут отправляться данные, укажите его.

Приведите имя файла к виду agent-macos[server_address].pkg. Здесь вместо server_address укажите IP-адрес своего сервера Staffcop.

2. Запустите файл.

Ошибка Can’t be opened because apple cannot check it for malicious software

В ходе установки агента, может возникнуть ошибка Can’t be opened because apple cannot check it for malicious software.
Эта ошибка возникает, когда macOS не может проверить производителя запускаемого ПО. Решить эту проблему можно несколькими способами:

Способ 1. В разделе System Preferences - Security & Privacy выберите опцию Open Anyway.

Способ 2. Нажмите правой кнопкой мыши на значке приложения. Опция Open будет доступна, не смотря на предупреждение Can’t be opened because apple cannot check it for malicious software.

3. Выполняйте указания мастера установки.

4. При запросе введите логин и пароль администратора системы.

5. Предоставьте системе все необходимые разрешения.

Примечание

Для контроля файловых операций разрешите доступ к диску для приложения /Library/Application Support/.AtomSec/fmon_app.

После завершения установки:

• проверьте на всех вкладках, что предоставлены все необходимые разрешения:

  

• в веб-интерфейсе сервера Staffcop в Алертах и в разделе Панель управления — Компьютеры появится информация об установленном агенте.

Установка через MDM

При установке агента через стандартный MDM Apple изменить настройки pkg-пакета напрямую или через название файла нельзя. Чтобы передать параметры, добавьте postinstall-скрипт в манифест установки.

Пример команд для настройки агента:

# Путь к исполняемому файлу агента
EXE="/Library/Application Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent"

# Переустановка компонентов агента:
# демоны, plist-файлы, PAM-модуль, служебные файлы
"$EXE" reinit

# Указание основного сервера
"$EXE" set_server <host> <port>

# Добавление резервного сервера
"$EXE" add_servers <host> <port>

# Перезапуск служб агента
"$EXE" restart

Дополнительные команды:

# Путь к исполняемому файлу агента
EXE="/Library/Application Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent"

# Полное удаление агента
"$EXE" uninstall

# Управление PAM-модулем (отвечает за блокировку входа в систему)
"$EXE" install_pam        # Установить PAM-модуль
"$EXE" uninstall_pam      # Удалить PAM-модуль
"$EXE" remove_pam         # Альтернативная команда для удаления PAM-модуля

# Управление службами агента
"$EXE" start              # Запустить службы агента
"$EXE" stop               # Остановить службы агента

Справка по всем доступным командам:

"/Library/Application Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent" help

Удаление

Чтобы удалить агент, выполните команду:

bash ./agent-macos.sh uninstall

См.также

Проблема пустых скриншотов после удаления агента.

Логи агента

cat /Library/Caches/com.atomsec.staff/staff.log
cat /Library/Caches/com.atomsec.staff/staff_filemon.log
cat /tmp/staff.err.log
cat /var/log/system.log | grep com.atomsec.staff

Задание резервного сервера

macOS-агенту можно задать один или несколько резервных серверов для передачи событий или обновления самого агента.

Задать резервные серверы можно двумя способами:

1. Через терминал:

   sudo /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent add_servers 1.1.1.1 555 https://2.2.2.2:888
   

   Здесь приведён пример добавления двух резервных серверов: 1.1.1.1 с портом связи 555 и 2.2.2.2 с портом 888.

   После добавления новых серверов перезапустите агент, чтобы обновлённая конфигурация вступила в силу:

   sudo /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent restart
   

2. Вручную в конфигурационном файле:

   2.1 Откройте конфигурационный файл /Library/Caches/com.atomsec.staff/config.

   2.2 Добавьте адрес нового сервера и порт для подключения к нему в формате:

   server2 = 1.1.1.1
   port2 = 555
   

При недоступности основного сервера агент автоматически переключится на резервный. Если недоступен первый резервный сервер, агент переключится на следующий, указанный в списке.

Чтобы изменить сервер для передачи данных от агента, используйте команду:

sudo /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent set_server 1.1.1.1 555