Установка macOS-агента

Примечание

Перед установкой ознакомьтесь с требованиями к рабочей станции.

Установка

  1. Скачайте агент:

  1. На целевой машине предоставьте терминалу универсальный доступ:

  • нажмите Cmd + пробел и найдите Системные настройки;

  • перейдите Конфиденциальность и безопасностьУниверсальный доступ;

  • поставьте галочку напротив Терминал.

  1. Разместите установочный файл на целевой машине.

Для этого в терминале из папки агента выполните команду:

sudo bash ./agent-macos.sh 10.0.0.1

Вместо 10.0.0.1 укажите IP-адрес своего сервера Staffcop. Начнется установка.

  1. Во время установки ваши действия зависят от версии операционной системы.

  1. В окне загрузчика введите пароль администратора, чтобы предоставить разрешение на изменение настроек:

../../_images/s1.png

  1. Выберите Перейти в системные настройки:

../../_images/s2.png

  1. Перейдите в Защиту и безопасностиКонфиденциальность и предоставьте разрешения:

  • Универсальный доступ для StaffAgent:

../../_images/monterey1.png

  • Запись экрана для StaffAgent:

../../_images/monterey2.png

  • Доступ к диску для StaffAgent и fmon_app:

../../_images/monterey3.png

fmon_app добавляется отдельно для контроля файловых операций. Для этого разрешите приложению /Library/Application Support/.AtomSec/fmon_app доступ к диску.

  • нажмите на значок плюс (+) внизу списка;

  • найдите и выберите папку /Library/Application Support/.AtomSec/fmon_app;

  • нажмите Открыть для добавления приложения в список.

или

  • нажмите одновременно Command (⌘) + пробел;

  • введите в строке поиска Терминал;

  • введите команду:

chmod 755 /Library/Application\ Support/.AtomSec/fmon_app

  • нажмите Enter и введите пароль администратора.

Установка агента из pkg-дистрибутива

  1. Скачайте pkg-дистрибутив

Примечание

Если в имени дистрибутива не указан адрес сервера Staffcop для отправки данных, укажите его. Для этого измените имя файла на agent-macos[server_address].pkg, где вместо server_address укажите IP-адрес сервера Staffcop.

  1. Запустите файл.

Ошибка Can’t be opened because apple cannot check it for malicious software
В ходе установки агента может возникнуть ошибка Can’t be opened because apple cannot check it for malicious software.
Эта ошибка возникает, когда macOS не может проверить производителя ПО. Решить эту проблему можно несколькими способами:

Способ 1. В разделе System PreferencesSecurity & Privacy выберите опцию Open Anyway.

Способ 2. Нажмите правой кнопкой мыши на значке приложения. Опция Open будет доступна, несмотря на предупреждение Can’t be opened because apple cannot check it for malicious software.

  1. Выполняйте указания мастера установки:

  • при запросе введите логин и пароль администратора системы,

  • предоставьте системе все разрешения.

  1. После завершения установки предоставьте приложению /Library/Application Support/.AtomSec/fmon_app доступ к диску для контроля файловых операций.

Внимание

Конкретные шаги могут незначительно отличаться в зависимости от версии macOS.

  • в разделе в Конфиденциальность и безопасность (в Monterey — Защита и безопасность) перейдите в КонфиденциальностьПолный доступ к диску (Универсальный доступ);

  • нажмите на значок блокировки в левом нижнем углу для внесения изменений и введите пароль администратора;

  • нажмите на значок плюс (+) внизу списка;

  • найдите и выберите папку /Library/Application Support/.AtomSec/fmon_app;

  • нажмите Открыть для добавления приложения в список.

или

  • нажмите одновременно Command (⌘) + пробел;

  • введите в строке поиска Терминал;

  • введите команду:

chmod 755 /Library/Application\ Support/.AtomSec/fmon_app

  • нажмите Enter и введите пароль администратора.

После завершения установки в веб-интерфейсе сервера Staffcop в Алертах и в разделе Панель управленияКомпьютеры появится информация об установленном агенте.

Установка через MDM

При установке агента через стандартный MDM Apple нельзя изменить настройки pkg-пакета напрямую или через название файла. Чтобы передать параметры, добавьте postinstall-скрипт в манифест установки.

Пример команд для настройки агента:

# Путь к исполняемому файлу агента
EXE="/Library/Application Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent"

# Переустановка компонентов агента:
# демоны, plist-файлы, PAM-модуль, служебные файлы
"$EXE" reinit

# Указание основного сервера
"$EXE" set_server <host> <port>

# Добавление резервного сервера
"$EXE" add_servers <host> <port>

# Перезапуск служб агента
"$EXE" restart

Дополнительные команды:

# Путь к исполняемому файлу агента
EXE="/Library/Application Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent"

# Полное удаление агента
"$EXE" uninstall

# Управление PAM-модулем (отвечает за блокировку входа в систему)
"$EXE" install_pam        # Установить PAM-модуль
"$EXE" uninstall_pam      # Удалить PAM-модуль
"$EXE" remove_pam         # Альтернативная команда для удаления PAM-модуля

# Управление службами агента
"$EXE" start              # Запустить службы агента
"$EXE" stop               # Остановить службы агента

Справка по командам:

"/Library/Application Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent" help

Удаление

Чтобы удалить агент, выполните команду:

bash ./agent-macos.sh uninstall

См.также

Проблема пустых скриншотов после удаления агента.

Логи агента

cat /Library/Caches/com.atomsec.staff/staff.log
cat /Library/Caches/com.atomsec.staff/staff_filemon.log
cat /tmp/staff.err.log
cat /var/log/system.log | grep com.atomsec.staff

Резервный сервер

Агенту macOS можно задать один или несколько резервных серверов для передачи событий или обновления самого агента.

При недоступности основного сервера агент автоматически переключится на резервный. Если недоступен первый резервный сервер, агент переключится на следующий в списке.

Задать резервные серверы можно двумя способами: через терминал и в конфигурационном файле.

Переключение на резервный сервер

Используйте команду:

sudo /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent set_server 1.1.1.1 555

Последнее обновление: 19.08.25