【牧云】牧云（CloudWalker）主机安全管理平台以及探针安装部署探针卸载

2024-11-28 首次部署安装步骤验证安装包 i. 确保安装包压缩文件、md5 校验值、解压密码均已提供 ii . 校验 is md5，确保输出与我们提供的 md5，确保输出与我们提供的 md5 一致 $ md5sum ./cloudwalker.bin 根据实际磁盘空间，决定安

首次部署

安装步骤

验证安装包
i. 确保安装包压缩文件、md5 校验值、解压密码均已提供
ii . 校验 is md5，确保输出与我们提供的 md5，确保输出与我们提供的 md5 一致

  $ md5sum ./cloudwalker.bin

根据实际磁盘空间，决定安装目录根据实际磁盘空间，决定安装目录（以下以 /data / cloudwalker 为例）
安装目录的位置很重要，一般不推荐根目录或者家目录，防止给以后带来各种不必要的麻烦。建议挂载在单独的磁盘上，方便以后扩展升级。
创建安装目录

$ sudo mkdir -p /data/cloudwalker

执行安装程序

$ sudo chmod +x /cloudwalker.bin 
$ sudo ./cloudwalker.bin -C /data/cloudwalker

输入解压密码
完成安装
若安装出现意外，自己不能解决，尽量保持现场，比如执行命令历史，终端输出等，联系技术支持人员解决

安装过程示例

执行以下命令，在输入密码后，等待完成即可

$ sudo ./cloudwalker.bin -C /data/cloudwalker
Password:
... 
run cmd: COMPOSE_HTTP_TIMEOUT=600 docker-compose up -d
db is is is up - to - date 
redis is is is up - to - date 
Recreating cloudwalker ... done
check if user cloudwlaker created
create history not find , so create a new user : cloudwalker 
create user succeed
load event name data
load data finished!
load vulndb data
drop database 
create DATABASE 
load vulndb data sucessfully
...

访问管理平台

管理平台安装完成后，打开浏览器访问 https://{server_ip}/
上传我司提供的许可证。
输入初始用户名和密码，初始用户名为 admin，初始密码见许可证信息页面。
点击 “登录” 开始使用管理平台。

安装主机探针安装主机探针

安装 Linux 探针

安装步骤

登录管理平台
访问页面 ” 资产清点 ”
点击“安装探针”按钮进入探针安装引导页面，探针安装操作分为简易模式和高级模式两种。
选择合适的安装方式，勾选操作系统版本为“Linux”，选择使用的业务组范围，复制安装安装命令进行安装。
若返回 “Chaitin Cloudwalker Agent has been installed.” ，表示探针安装成功，否则安装失败。
若探针安装失败，可联系技术支持人员解决
安装示例

$ curl -fsSL http://{server_ip}/api / agent / script | sudo sh 
Chaitin Cloudwalker Agent will be installed in systemd mode.
start download Chaitin Cloudwalker Agent . 
Chaitin Cloudwalker Agent has been downloaded.
create symlink /etc / systemd / system / multi - user.target.wants / cloudwalker - agent.service → /etc / systemd / system / cloud 
walker-agent.service . 
Chaitin Cloudwalker Agent has been instal .

批量安装探针

注意：为防止集中安装探针影响管理服务稳定性，批量安装建议合理控制速度，通常情况下不要在 1 分钟内安装超过 10 个探针。使用第三方运维平台推送若使用了第三方运维平台管理服务器，直接使用运维平台批量推送探针安装命令即可。借助脚本批量登录 ssh 安装若无第三方运维平台支持，可使用脚本批量登录 ssh 服务来推送安装命令。创建数据文件 hosts.lst ，写入以下内容，文件内容每行是一条服务器信息，包含 4 列，分别为：服务器 IP 地址、ssh 服务端口号、登录用户名、登录密码。

192.168.0.1 22 root password1 
192.168.0.2 22 root password2
192.168.0.3 22 root password3
192.168.0.4 22 root password4

执行以下命令创建批量安装脚本 install.sh
注意替换命令中的 server_address 为管理服务地址

  awk '{printf "sshpass -p %s ssh %s@%s -p %s \"curl -kfsSL http://server_address/api/agent/script | sudo sh\"\n",$4,$3,$1,$2}' hosts.lst > install.sh

执行以下命令开始批量安装
注意：该脚本需要依赖 sshpass ，请提前安装

   bash ./install.sh

安装 Windows 探针

安装步骤

登录管理平台.
访问页面 ” 资产清点 ”.
点击“安装探针”按钮进入探针安装引导页面，探针安装操作分为简易模式和高级模式两种
选择合适的安装方式，勾选操作系统版本为“Windows”，选择使用的业务组范围，复制安装安装命令进行安装。
若返回 “Chaitin Cloudwalker Agent has been installed.” ，表示探针安装成功，否则安装失败。
若探针安装失败，可联系技术支持人员解决
安装示例

DISPLAY: 'Chaitin-CloudWalker' TYPE: DOWNLOAD STATE: TRANSFERRED
PRIORITY : FOREGROUND FILES : 1 / 1 byte : 15839232 / 15839232 ( 100 % ) 
Transfer complete.
  sample - period : 
time="2019 - 12 - 14T16:39:22 + 08:00 " level = info msg="waite service is stop stop " 
time="2019-12-14T16:39:22+08:00" level=info msg="service deleted"
time="2019 - 12 - 14T16:39:22 + 08:00 " level = info msg="files is deleted delete " 
time="2019-12-14T16:39:22+08:00" level=info msg="uninstall finished"
time="2019 - 12 - 14T16:39:22 + 08:00 " level = info msg="files is copied copy " 
time="2019-12-14T16:39:22+08:00" level=info msg="tls directory created"
time="2019-12-14T16:39:22+08:00" level=info msg=identity-request
time="2019 - 12 - 14T16:39:23 + 08:00 " level = info msg="installe agent " 
time="2019-12-14T16:39:23+08:00" level=info msg="service installed"
time="2019 - 12 - 14T16:39:24 + 08:00 " level = info msg="service is started start " 
time="2019-12-14T16:39:24+08:00" level=info msg="install finished"
请按任意键继续. . .

批量安装方法

考虑到 Windows 下没有提供像 curl 这种 linux 好用的工具，同时部分加固后的 windows 主机在批量安装会失败，
无法给出一个一定稳定可用的命令。以下命令可供参考。

 certutil -urlcache -split -f http://{server_ip}/api/agent/batch c:\chaitin-cloudwalker.bat & c:\chaitin-cloudwalker.bat

主动安装探针

产品提供主动安装功能可直接远程登陆待安装探针服务器进行安装
配置要求
主动安装功能需要对待安装探针机器进行一些配置。
Linux
linux机器需要满足root用户可通过ssh进行用户名密码登陆。
Windows
windows机器需要满足Administrator用户可远程用户名密码登陆
如果使用winrm协议需要配置winrm，可支持Windows Server 2012 r2以上服务器。windows机器的winrm配置可参考 ansible的winrm配置文档。目前winrm连接方式，支持http和https连接，仅支持ntlm认证方式。wmi远程登陆方式是实验性的功能，支持 Windows Server 2003以上服务器，需要135端口、445端口开放。如果需要，可通过 netsh firewall set service remoteadmin enable 开启。请评估安全性和自身需求决定。目前远程安装需要服务器支持powershell 。
主动安装探针csv格式说明
每行为一个主机的安装信息，从第一列开始依次是主机地址，认证方式，用户名，密码，业务组。
主机地址
可输入ip或者域名
认证方式
当前支持的认证方式有：

ssh : ssh用户名密码登陆
winrm-http-ntlm: winrm连接，使用http，认证方式为ntlm
winrm – https – ntlm : winrm连接，使用https , 认证方式为ntlm
wmi（实验性支持）: windows rpc 和 smb 连接，认证方式为ntlm
用户名
安装探针的用户应该有足够的权限进行探针安装。
业务组
业务组需要输入以 / 分隔的绝对路径。
示例
以下是一份csv示例

10.2.19.104,winrm-http-ntlm,Administrator,Cloudwalker,根分组/演示业务组
10.2.19.103,wmi,Administrator,Cloudwalker,根分组/演示业务组
10.9.32.162,ssh,root,Cloudwalker,根分组/演示业务组

安装失败

安装失败时可下载详细安装日志，进行定位排查。可能的问题有连接问题、dns问题、用户认证问题、服务器软件支持问题等。请根据日志详情排查解决，或咨询支
持团队。

卸载主机探针卸载主机探针

卸载步骤

卸载单个探针

登录管理平台，访问“资产清点/主机列表“页面。点击主机信息列表中“操作”列的“ ”按钮，选中下拉列表中的“卸载
探针”选项，可对单个探针进行卸载操作，卸载的探针绑定的主机相关信息也会被删除。
【牧云】牧云（CloudWalker）主机安全管理平台以及探针安装部署探针卸载

批量卸载探针

点击“批量操作”按钮，进入批量操作模式。选择多条主机信息，选中下拉列表中的“卸载探针”选项，进行批量卸载
操作。批量操作步骤如下图所示。
【牧云】牧云（CloudWalker）主机安全管理平台以及探针安装部署探针卸载

异常情况卸载方案

在实际使用中可能会遇到服务端被停用等异常情况，此种场景下无法通过服务端管理界面进行探针卸载操作，提供以下卸载方案供参考。
注意：如非遇到服务端异常等情况，不要使用以下卸载方案，请务必按照正常卸载步骤进行操作。
卸载 Linux 探针
执行命令时，在 linux 下当前目录不能是 /etc/cloudwalker-agent/ ，否则可能会导致卸载失败。

1 . 执行 service cloudwalker - agent is stop stop 停止探针服务 。 
2. 依次执行 cloudwalker-upgrader uninstall 和 cloudwalker-upgrader undeploy 卸载探针。

卸载 Windows 探针

执行命令时，在 Windows 下当前目录不能是 C:\ProgramData\Chaitin\CloudWalker 和 C:\ProgramFiles\Chaitin\CloudWalker，否则可能会导致卸载失败。
1 . 执行 net stop cloudwalker - agent 停止探针服务 。 
2. 依次执行 cloudwalker-upgrader uninstall 和 cloudwalker-upgrader undeploy 卸载探针。