Bitdefender终端安全工具 Linux快速入门指南
系统要求
有关 BEST Linux安装要求的更多信息,请参阅 Linux上的安全代理要求 .
硬件要求
配置您要部署的客户操作系统 BEST 如下:
通用
|
资源 |
最低 |
推荐 |
|---|---|---|
|
处理器 |
2个虚拟CPU |
4个虚拟CPU |
|
内存(RAM) |
4 GB内存 |
6 GB内存 |
|
空闲磁盘空间 |
2.5 GB(启用调试日志时最多需要4 GB磁盘空间) |
4 GB |
公有云
|
云服务提供商(CSP) |
最低(实例类型) |
推荐(实例类型) |
|---|---|---|
|
亚马逊网络服务(AWS) |
T2 medium |
任何实例≥4个虚拟CPU、4 GB内存、至少4 GB SSD |
|
微软Azure |
Standard B2s |
任何实例≥4个虚拟CPU、4 GB内存、至少4 GB SSD |
|
谷歌云平台(GCP) |
E2-medium或E2-standard-2 |
任何实例≥4个虚拟CPU、4 GB内存、至少4 GB SSD |
支持的发行版
完全支持的现代Linux发行版
|
发行版 |
架构 |
内核版本 |
|---|---|---|
|
基于RPM |
||
|
RHEL 7.x |
64位 |
3.10.0.x(从构建版本957开始) |
|
RHEL 8.x |
64位 |
4.18.0.x |
|
RHEL 9.x |
64位 |
5.14.0.x |
|
RHEL 10.x |
64位 |
6.12.0.x |
|
Oracle Linux 7.x UEK |
64位 |
4.18.0.x |
|
Oracle Linux 7.x RHCK |
64位 |
3.10.0.x(从构建版本957开始) |
|
Oracle Linux 8.x UEK |
64位 |
5.4.17.x / 5.15.0.x |
|
Oracle Linux 8.x RHCK |
64位 |
4.18.0.x |
|
Oracle Linux 9.x UEK |
64位 |
5.15.0.x |
|
Oracle Linux 9.x RHCK |
64位 |
5.14.0.x |
|
Oracle Linux 10.x UEK |
64位 |
6.12.0.x |
|
Oracle Linux 10.x RHCK |
64位 |
6.12.0.x |
|
CentOS 7.x |
32位, 64位 |
3.10.0.x(从构建版本957开始) |
|
CentOS 8 Stream |
64位 |
4.18.0.x |
|
CentOS 9 Stream |
64位 |
5.14.0.x |
|
CentOS 10 Stream |
64位 |
6.12.0.x |
|
Fedora 37 - 42 |
64位 |
支持至到期为止。 |
|
AlmaLinux 8.x |
64位 |
4.18.0.x |
|
AlmaLinux 9.x |
64位 |
5.14.0.x |
|
AlmaLinux 10.x |
64位 |
6.12.0.x |
|
Rocky Linux 8.x |
64位 |
4.18.0.x |
|
Rocky Linux 9.x |
64位 |
5.14.0.x |
|
Rocky Linux 10.x |
64位 |
6.12.0.x |
|
CloudLinux 7.x |
64位 |
3.10.0.x(从构建版本957开始) |
|
CloudLinux 8.x |
64位 |
4.18.0.x |
|
Miracle Linux 8.x |
64位 |
4.18.0.x |
|
麒麟v10 RHEL版 |
64位 |
4.19.90.x |
|
Microsoft Azure Linux 3 |
64位 |
6.6.64.x.azl3 |
|
openEuler 24.x |
64位 |
6.6.0.x |
|
基于Debian |
||
|
Debian 9 |
32位, 64位 |
4.9.0.x |
|
Debian 10 |
32位, 64位 |
4.19.x |
|
Debian 11 |
32位, 64位 |
5.10.x |
|
Debian 12 |
64位 |
6.1.0.x |
|
Ubuntu 16.04.x |
32位, 64位 |
4.8.x / 4.10.x / 4.13.x / 4.15.x |
|
Ubuntu 18.04.x |
64位 |
5.0.x / 5.3.x / 5.4.x |
|
Ubuntu 20.04.x |
64位 |
5.4.x / 5.8.x / 5.11.x / 5.13.x / 5.15.x |
|
Ubuntu 22.04.x |
64位 |
5.15.x / 5.19.x |
|
Ubuntu 23.04.x |
64位 |
6.2.0.x |
|
Ubuntu 24.04.x |
64位 |
6.8.0.x |
|
PopOS 22.04.x |
64位 |
6.2.6.x |
|
Pardus 21 |
64位 |
5.10.0.x |
|
Mint 20.x |
64位 |
5.4.0.x |
|
Mint 21.x |
64位 |
5.15.0.x |
|
Mint 22.x |
64位 |
6.8.0.x |
|
Zorin OS |
64位 |
6.5.x |
|
Linux Mint Debian Edition 6 |
64位 |
6.1.x |
|
基于SUSE |
||
|
SLES 12 SP4 |
64位 |
4.12.14-x |
|
SLES 12 SP5 |
64位 |
4.12.14-x |
|
SLES 15 SP1 |
64位 |
4.12.14-x |
|
SLES 15 SP2 |
64位 |
5.3.18-x |
|
SLES 15 SP3 |
64位 |
5.3.18-x |
|
SLES 15 SP4 |
64位 |
5.14.21.x |
|
SLES 15 SP5 |
64位 |
5.14.21.x |
|
SLES 15 SP6 |
64位 |
6.4.x |
|
SLES 15 SP7 |
64位 |
6.4.x |
|
SLED 15 SP4 |
64位 |
5.14.21.x |
|
openSUSE Leap 15.4和15.5 |
64位 |
5.14.21.x |
|
基于云 |
||
|
AWS Bottlerocket 2020.03 |
64位 |
5.4.x / 5.10.x |
|
Amazon Linux v2 |
64位 |
4.14.x / 4.19.x / 5.10 |
|
Amazon Linux 2023 |
64位 |
6.1.0.x |
|
Google COS 里程碑版本 77、81、85 |
64位 |
4.19.112 / 5.4.49 |
|
Azure Mariner 2 |
64位 |
5.15.x |
ARM架构全面支持的现代Linux发行版
|
发行版 |
内核版本 |
云平台可用性 |
|---|---|---|
|
基于RPM |
||
|
RHEL 8.x |
4.18.0-x |
AZURE |
|
RHEL 9.x |
5.14.x |
GCP, AZURE, AWS |
|
AlmaLinux 9.x |
5.14.x |
AZURE |
|
Rocky Linux 9.x |
5.14.x |
GCP, AZURE, AWS |
|
基于Debian |
||
|
Debian 11 |
5.10.x/6.1.x |
GCP, AZURE, AWS |
|
Debian 12 |
6.1.0.x |
|
|
Ubuntu 20.04.x |
5.15.x |
GCP, AZURE, AWS |
|
Ubuntu 22.04.x |
5.15.x/5.19.x |
GCP, AZURE, AWS |
|
Ubuntu 24.04.x |
6.8.0.x |
GCP, AZURE, AWS |
|
基于SUSE |
||
|
SLES 15 SP4 |
5.14.21-x |
GCP, AZURE, AWS |
|
openSUSE Leap 15.4 - 15.5 |
5.14.21-x |
AZURE |
|
仅限云端 |
||
|
Amazon Linux v2 |
5.10.x |
AWS |
|
Amazon Linux 2023 |
6.1.x |
AWS |
支持的Linux传统发行版
|
发行版 |
架构 |
内核版本 |
|---|---|---|
|
基于RPM |
||
|
RHEL 6.10 |
32位, 64位 |
2.6.32-754 |
|
CentOS 6.10 |
32位, 64位 |
2.6.32-754 |
|
Oracle Linux 6.10 UEK |
64位 |
4.1.12-124 |
|
Amazon Linux v1 2018.03 |
64位 |
4.14.x |
|
基于Debian |
||
|
Ubuntu 14.04 LTS |
32位, 64位 |
4.4 |
|
Ubuntu 16.04.x |
32位, 64位 |
4.15 |
软件要求
GravityZone 要求
BEST for Linux与 GravityZone 云及 GravityZone 本地部署 版本6.13.1-1或更高。
其他软件要求
-
实时扫描功能在以下受支持的操作系统中可用:
-
内核2.6.38或更高版本 - 支持所有Linux发行版。必须启用fanotify内核选项。
-
内核2.6.32至2.6.37 - CentOS 6.x Red Hat Enterprise Linux 6.x - Bitdefender 通过预构建内核模块的DazukoFS提供支持。
-
-
如果内核版本不支持kProbes,您需要auditd作为备用机制。
授权许可
Linux操作系统被 Bitdefender 代理视为服务器操作系统,并将从您的许可证池中使用服务器许可证席位。
虽然部署软件没有直接的许可证要求,但根据您的许可证,某些功能可能不可用。有关保护层可用性,请参阅 按终端类型划分的功能 .
安装
有关安装 BEST for Linux的更多信息,请参阅 安装安全代理 - 标准流程 .
在Linux机器上安装 BEST 有几种方法:
-
通过 GravityZone 控制中心 > 网络清单 部分。
-
通过从 控制中心 .
示例:
-
前往 网络 > 软件包 并选择要下载的安装包。
-
选择 发送下载链接 以展开提供的链接。
-
复制Linux字符串并粘贴到目标端点的shell中以下载安装包。
-
解压安装文件:
# tar -xvf setup_downloader.tar
-
更改安装文件的权限以便执行:
# chmod +x installer
-
运行安装文件:
# ./installer
-
要检查代理是否已安装在端点上,请运行以下命令:
$ systemctl status bdsec*
扫描
Bitdefender终端安全工具 为Linux提供对多个预配置系统目录的实时扫描功能。
要查看此列表或添加其他需扫描的目录,请按以下步骤操作:
-
从 控制中心 策略 页面中选择一个策略。
-
前往 反恶意软件 > 实时防护 部分。
-
在 实时扫描 旁,点击 设置 .
-
点击 高级 .
-
配置代理应持续扫描的文件夹。
此外,您还可以通过以下步骤安排 完整 / 自定义 / 快速扫描 任务:
-
从 控制中心 策略 页面中选择一个策略。
-
前往 反恶意软件 > 按需扫描 部分。
-
点击 +添加 按钮。
-
选择扫描类型。使用 自定义扫描 类型可详细配置扫描选项及待扫描文件夹。
-
根据需要配置扫描任务调度选项。
-
根据需要配置扫描选项与目标。
-
点击 保存 按钮。
手动扫描Linux终端的方法:
-
通过 控制中心 网络 资产清单右键点击目标机器并选择 任务 > 扫描 .
-
使用命令行界面本地启动扫描任务。详情请参阅 恶意软件扫描 .
故障排查
可通过以下命令检查 Bitdefender终端安全工具 服务状态:
检查服务状态:
bd status
启动服务
bd 启动
停止服务:
bd 停止
重启 bd:
bd 重启
其他命令:
检测系统代理:
/opt/bitdefender-security-tools/bin/bdconfigure getsystemproxy
要检查机器上所有历史安装版本及当前版本,请打开
vhist.dat
:
/opt/bitdefender-security-tools/etc/vhist.dat
部署 EDR 使用 Linux AuditD
注意
建议仅在无法使用 KProbes 或 eBPF 方法时采用此方式。AuditD 子系统并非为此设计,可能导致 CPU 使用率升高。
当通过 Linux AuditD 部署 EDR 时, BEST for Linux 会自动修改若干特定文件。这些调整可确保 AuditD 达到与先前方法同等的性能。具体变更如下:
注意
部署 EDR 模块前,请确保终端已安装 AuditD。
-
/etc/audit/rules.d/-
BEST 将备份
/etc/audit/rules.d/目录下所有文件(例如,/etc/audit/rules.d/audit.rules将变为/etc/audit/rules.d/audit.rules.bak). -
BEST 将创建一个规则文件:
/etc/audit/rules.d/bd_ausecd.rules. -
BEST 将重启auditd服务,该操作包括重新生成
/etc/audit/audit.rules,其内容来源于/etc/audit/rules.d/*.rules. -
当 EDR 被禁用或 BEST 停止时,
/etc/audit/rules.d/bd_ausecd.rules将被删除,且备份文件会被恢复。
-
-
/etc/default/auditd注意
这些修改仅针对特定操作系统生效。更多信息请参阅 此表 。
-
BEST 将备份
/etc/default/auditd至/etc/default/auditd.bdsec-bak以便保留原始文件内容的副本。 -
BEST 将修改
/etc/default/auditd. -
当 EDR 被禁用或 BEST 停止时,文件内容将恢复至先前状态。
-
-
/etc/sysconfig/auditd注意
这些修改仅针对特定操作系统生效。更多信息请参阅 此表 。
-
BEST 将备份
/etc/sysconfig/auditd至/etc/sysconfig/auditd.bdsec-bak以便保留原始文件内容的副本。 -
BEST 将修改
/etc/sysconfig/auditd. -
当 EDR 被禁用或 BEST 停止时,文件内容将恢复到之前的状态。
-
-
/etc/audit/auditd.conf注意
这些修改仅针对特定操作系统生效。详情请参阅 此表 获取更多信息。
-
BEST 将备份
/etc/audit/auditd.conf至/etc/audit/auditd.conf.bdsec-bak以保留原始文件内容的副本。 -
BEST 将修改
/etc/audit/auditd.conf. -
当 EDR 被禁用(或 BEST 停止时),文件内容将恢复到之前的状态。
-
-
/lib/systemd/system/auditd.service注意
这些修改仅针对特定操作系统生效。详情请参阅 此表 获取更多信息。
-
BEST 将备份
/lib/systemd/system/auditd.service至/lib/systemd/system/auditd.service.bdsec-bak以便保留原始文件内容的副本。 -
BEST 将修改
/lib/systemd/system/auditd.service. -
当 EDR 被禁用或 BEST 停止时,文件内容将恢复至先前状态。
-
-
/usr/lib/systemd/system/auditd.service注意
这些修改仅针对特定操作系统生效。详情请参阅 此表 。
-
BEST 将备份
/usr/lib/systemd/system/auditd.service至/usr/lib/systemd/system/auditd.service.bdsec-bak以便保留原始文件内容的副本。 -
BEST 将修改
/usr/lib/systemd/system/auditd.service. -
当 EDR 被禁用或 BEST 停止时,文件内容将恢复至先前状态。
-
-
/etc/systemd/system/auditd.service注意
这些修改仅针对特定操作系统生效。详情请参阅 此表 。
-
当 BEST 首次启用审计后端时,会备份
/etc/systemd/system/auditd.service至/etc/systemd/system/auditd.service.bdsec-bak以保留原始文件内容的副本。 -
若文件不存在,将创建空备份文件:
/etc/systemd/system/auditd.service.bak-missing. -
若文件存在,其内容将被复制到
/etc/systemd/system/auditd.service.bak. -
BEST 会将修改后的文件
/lib/systemd/system/auditd.service(或/usr/lib/systemd/system/auditd.service,具体取决于下表中的发行版)复制到/etc/systemd/system/auditd.service. -
当 EDR 被禁用或 BEST 停止时,文件内容将从
/etc/systemd/system/auditd.service.bak恢复至先前状态(若仅存在auditd.service.bak-missing则删除)。
-
|
操作系统 |
版本 |
执行变更 |
|---|---|---|
|
Alma Linux 8 |
X86架构 |
不适用 |
|
X64架构 |
编辑
确保
|
|
|
Alma Linux v1 |
X86架构 |
不适用 |
|
X64 |
编辑
编辑/etc/audit/auditd.conf文件并将log_format设置为RAW。 |
|
|
Alma Linux v2 |
X86 |
N/A |
|
X64 |
编辑
确保
将
运行
重启
|
|
|
Centos 6 |
X86 |
编辑
编辑
|
|
X64 |
编辑
编辑
|
|
|
Centos 7 |
X86 |
编辑
|
|
X64 |
编辑
|
|
|
Centos 8 |
X86 |
不适用 |
|
X64 |
编辑
|
|
|
云Linux 7 |
X86架构 |
不适用 |
|
X64架构 |
编辑
确保
|
|
|
云Linux 8 |
X86架构 |
不适用 |
|
X64架构 |
编辑
确保
|
|
|
Debian 9 |
X86 |
编辑
编辑
确保
|
|
X64 |
编辑
编辑
确保
|
|
|
Debian 10 |
x86 |
编辑
编辑
确保
|
|
X64架构 |
编辑
编辑
确保
|
|
|
Debian 11系统 |
X86架构 |
编辑
编辑
确保
|
|
X64 |
编辑
编辑
确保
|
|
|
Fedora 31 |
X86 |
不适用 |
|
X64 |
编辑
确保
|
|
|
Fedora 34 |
X86 |
不适用 |
|
X64 |
编辑
确保
|
|
|
Linux Mint 20.3 |
X86 |
不适用 |
|
X64 |
编辑
编辑
确保
|
|
|
Miracle Linux 8.4 |
X86 |
不适用 |
|
X64 |
编辑
确保
|
|
|
OpenSUSE 15.2 |
X86 |
不适用 |
|
X86 |
编辑
确保
复制
运行
重启
|
|
|
Oracle 6 |
X86 |
不适用 |
|
X64 |
编辑
编辑
|
|
|
Oracle 7 |
X86架构 |
不适用 |
|
X64架构 |
编辑
|
|
|
Oracle 8 |
X86架构 |
不适用 |
|
X64架构 |
编辑
|
|
|
Pardus 21 |
X86架构 |
不适用 |
|
X64架构 |
编辑
编辑
确保
|
|
|
RHEL 6 |
X86 |
编辑
编辑
|
|
X64 |
编辑
编辑
|
|
|
RHEL 7 |
X86 |
N/A |
|
X64 |
编辑
|
|
|
RHEL 8 |
X86 |
不适用 |
|
X64 |
编辑
|
|
|
Rocky Linux 8 |
X86 |
不适用 |
|
X64 |
编辑
|
|
|
SLES 12 SP4 |
X86 |
不适用 |
|
X64 |
编辑
确保
复制
运行
重启
|
|
|
SLES 12 SP5 |
X86架构 |
不适用 |
|
X64架构 |
编辑
确保
将
运行
重启
|
|
|
SLES 15 SP2 |
X86 |
不适用 |
|
X64 |
编辑
确保
将
运行
重启
|
|
|
SLES 15 SP2 |
X86 |
不适用 |
|
X64 |
编辑
确保
复制
运行
重启
|
|
|
SLES 15 SP3 |
X86 |
N/A |
|
X64 |
编辑
确保
复制
运行
重启
|
|
|
SLES 12 SP4 |
X86架构 |
不适用 |
|
X64架构 |
编辑
确保
复制
运行
重启
|
|
|
SLES 12 SP5 |
X86架构 |
不适用 |
|
X64架构 |
编辑
确保
复制
运行
重启
|
|
|
Ubuntu 14.04 |
X86 |
编辑
编辑
在
将
运行
重启
|
|
X64 |
编辑
编辑
设置
复制
运行
重启
|
|
|
Ubuntu 16.04 |
X86 |
编辑
编辑
设置
复制
运行
重启
|
|
X64 |
编辑
编辑
设置
复制
运行
重启
|
|
|
Ubuntu 18.04 |
X86架构 |
不适用 |
|
X64架构 |
编辑
编辑
确保
|
|
|
Ubuntu 20.04 |
X86架构 |
不适用 |
|
X64架构 |
编辑
编辑
确保
|
|
|
Ubuntu 21.04 |
X86 |
不适用 |
|
X64 |
编辑
编辑
确保
|
|
|
Ubuntu 21.10 |
X86 |
不适用 |
|
X64 |
编辑
编辑
确保
|
警告
EDR 从操作系统请求的信息无法通过AuditD子系统获取。预计检测率会降低。