【備忘】LinuxへのMcAfeeインストール作業

LinuxサーバにMcAfeeを導入したため、備忘として確認項目を含めた手順を記載する

インストールするバージョン Trellix Agent:Trellix Agent for LINUX Standalone Install (5.8.2 RTW) Version 5.8.2.929 Endpoint Security for Linux:Trellix Endpoint Security for Linux Threat Prevention 10.7.18 Build 211 Standalone Install Package Version 10.7.18.211

1.サーバのバックアップを取得

AWS Backupを利用してサーバのバックアップを取得しておく

2.インストーラーをサーバに配置

(今回の場合の資材) Agent： ・install_upd.sh Threat Prevention モジュール： ・McAfeeTP-10.6.7-118-standalone.linux.tar.gz(このファイルを置かないとnstall-mfetp.shが実行不可だった) ・install-mfetp.sh

3.McAfeeをインストール

(rootで実施)

cd <Agent資材が配置されたディレクトリ>
chmod +x install_upd.sh
./install_upd.sh -i

cd <モジュールが配置されたディレクトリ>
chmod +x ./install-mfetp.sh
./install-mfetp.sh

利用規約が表示されるので"accept"を入力しEnter

4.動作確認

内容を記載したテスト用のファイルを配置し、削除されることを確認する

vi EICAR-Test-File

ファイルに記載する内容：

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

llコマンドでファイル削除確認後、mfeoasmgr.logを確認し、テストファイルを作成した時間にInfrection caughtの記載があること ※ウィルスを検知した場合、/var/McAfee/ens/log/tp/mfeoasmgr.logにログが残るため。

ll

cat /var/McAfee/ens/log/tp/mfeoasmgr.log    

5.自動起動設定を確認

以下コマンドでmfeespdとmfetpdの自動起動設定を確認し、enabled(有効化されている)であることを確認する

systemctl list-unit-files --type=service |grep mfe*

6.毎日指定した時刻にウイルス定義ファイルの自動更新(DAT更新タスク)を実行するようスケジュールを設定

(ここでは0:00(JST)) TimezoneがUTCであることを確認する。

timedatectl

以下コマンドでウイルス定義ファイルの自動更新時刻を0:00(JST)(15:00(UTC))に設定する。

cd /opt/McAfee/ens/tp/bin
./mfetpcli --scheduletask --index 3 --daily --starttime 15:00

上記の実施時間を過ぎた後、 以下コマンドでタスクリストを確認し、インデックス3のLast Run時刻を確認する。

cd /opt/McAfee/ens/tp/bin
./mfetpcli --listtasks

出力例

 -----------------------------------------------------------------------------------------------------------------------           ----------------     
|Index  Task Name                                  Task Type                     Task Status     Last Run                                         |     
 -----------------------------------------------------------------------------------------------------------------------           ----------------     
|1      quick scan                                 ODS                           Not Started     Not Applicable                                   |     
|2      full scan                                  ODS                           Not Started     Not Applicable                                   |     
|3      Default Client Update task                 DAT and Engine Update         Completed       Tue 14 Jan 2025 12:08:0           2 PM UTC       |     
 -----------------------------------------------------------------------------------------------------------------------           ----------------     

7.毎日指定した時刻にクイックスキャンを実行するようにスケジュールを設定

(ここでは4:30(JST)) 以下コマンドでクイックスキャンの時刻を4:30(JST)(19:30(UTC))に設定する。

cd /opt/McAfee/ens/tp/bin
./mfetpcli --scheduletask --index 1 --daily --starttime 19:30

上記の実施時間を過ぎた後、 以下コマンドでタスクリストを確認し、インデックス1のLast Run時刻を確認する。

cd /opt/McAfee/ens/tp/bin
./mfetpcli --listtasks

8.確認観点まとめ

ウィルス検知動作確認

→内容を記載したテスト用ファイルを配置し、テストファイルを作成した時間にInfrection caughtの記載があることをmfeoasmgr.logから確認する (見出し4参照)

自動起動設定を確認

コマンドでmfeespdとmfetpdの自動起動設定を確認し、有効化されていることを確認する (見出し5参照)

クイックスキャン、定義ファイル自動更新設定の確認

コマンドで実行時間を定義し、指定した実行時間を過ぎた後にタスクリストで指定時刻に実行されていることを確認する (見出し6,7参照)