手动安装安全代理 - Amazon GuardDuty
内存不足错误正在验证 GuardDuty安全代理安装状态

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

手动安装安全代理

GuardDuty 提供了以下两种在您的 Amazon EC2 实例上安装 GuardDuty 安全代理的方法。在继续操作之前,请务必完成先决条件-手动创建 Amazon VPC 终端节点下的步骤。

选择首选访问方法,在您的 Amazon EC2 资源中安装安全代理。

要使用此方法,请确保您的 Amazon EC2 实例处于 AWS Systems Manager 托管状态,然后安装代理。

AWS Systems Manager 托管的 Amazon EC2 实例

使用以下步骤 AWS Systems Manager 管理您的 Amazon EC2 实例。

  • AWS Systems Manager帮助您管理 AWS 应用程序和资源 end-to-end并实现大规模的安全运营。

    要使用管理您的亚马逊EC2实例 AWS Systems Manager,请参阅AWS Systems Manager 用户指南中的为亚马逊EC2实例设置 Systems Manager

  • 下表显示了新的 GuardDuty 托管 AWS Systems Manager 文档:

    文档名称 文档类型 用途

    AmazonGuardDuty-RuntimeMonitoringSsmPlugin

    分销商

    打包 GuardDuty 安全客户端。

    AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin

    Command

    运行安装/卸载脚本来安装安全客户端。 GuardDuty

    有关更多信息 AWS Systems Manager,请参阅《AWS Systems Manager 用户指南》中的 Amazon EC2 Systems Manager 文档

对于 Debian Server

提供的适用于 Debian 服务器的 Amazon 机器映像 (AMIs) AWS 要求您安装 AWS Systems Manager 代理(代SSM理)。您需要执行额外的步骤来安装SSM代理,以便SSM管理您的 Amazon EC2 Debian 服务器实例。有关您需要采取的步骤的信息,请参阅《AWS Systems Manager 用户指南》中的 “在 Debian Server 实例上手动安装SSM代理”。

使用以下方法为 Amazon EC2 实例安装 GuardDuty 代理 AWS Systems Manager

  1. 打开 AWS Systems Manager 控制台,网址为https://console.aws.amazon.com/systems-manager/

  2. 在导航窗格中,选择文档

  3. 由 Amazon 所有中,选择 AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin

  4. 选择 Run Command

  5. 输入以下 Run 命令参数

    • 操作:选择安装

    • 安装类型:选择安装或卸载

    • 名称: AmazonGuardDuty-RuntimeMonitoringSsmPlugin

    • 版本:如果此处仍为空,您将获得最新版本 GuardDuty 的安全客户端。有关发行版本的更多信息,请参阅GuardDuty Amazon EC2 实例的安全代理

  6. 选择目标的 Amazon EC2 实例。您可以选择一个或多个 Amazon EC2 实例。有关更多信息,请参阅《AWS Systems Manager 用户指南》中的从控制台运行AWS Systems Manager 命令

  7. 验证 GuardDuty 代理安装是否正常。有关更多信息,请参阅 正在验证 GuardDuty安全代理安装状态

使用此方法,您可以通过运行RPM脚本或 Debian 脚本来安装 GuardDuty 安全代理。您可以根据操作系统来选择一种偏好的方法:

  • 使用RPM脚本在操作系统发行版AL2、AL2 023、、CentOS 或 Fedor RedHat a 上安装安全代理。

  • 使用 Debian 脚本在 Ubuntu 或 Debian 操作系统发行版上安装安全代理。有关支持的 Ubuntu 和 Debian 操作系统发行版的信息,请参阅 验证架构要求

RPM installation
重要

我们建议先验证 GuardDuty 安全代理RPM签名,然后再将其安装到您的计算机上。

  1. 验证 GuardDuty 安全代理RPM签名

    1. 准备模板

      使用适当的公钥、x86_64 的签名、arm6 RPM RPM 4 的签名以及指向 Amazon S3 存储桶中托管的RPM脚本的相应访问链接来准备命令。替换 AWS 区域、 AWS 账户 ID 和 GuardDuty 代理版本的值以访问RPM脚本。

      • 公有密钥

        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/publickey.pem

      • GuardDuty 安全代理RPM签名

        x86_64 的签名 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/x86_64/amazon-guardduty-agent-1.5.0.x86_64.sig
        arm64 的签名 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/arm64/amazon-guardduty-agent-1.5.0.arm64.sig

      • 访问 Amazon S3 存储桶中RPM脚本的链接

        x86_64 的访问链接 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/x86_64/amazon-guardduty-agent-1.5.0.x86_64.rpm
        arm64 的访问链接 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/arm64/amazon-guardduty-agent-1.5.0.arm64.rpm
      AWS 区域 区域名称 AWS 账号
      eu-west-1 欧洲地区(爱尔兰) 694911143906
      us-east-1 美国东部(弗吉尼亚州北部) 593207742271
      us-west-2 美国西部(俄勒冈州) 733349766148
      eu-west-3 欧洲地区(巴黎) 665651866788
      us-east-2 美国东部(俄亥俄州) 307168627858
      eu-central-1 欧洲地区(法兰克福) 323658145986
      ap-northeast-2 亚太地区(首尔) 914738172881
      eu-north-1 欧洲地区(斯德哥尔摩) 591436053604
      ap-east-1 亚太地区(香港) 258348409381
      me-south-1 中东(巴林) 536382113932
      eu-west-2 欧洲地区(伦敦) 892757235363
      ap-northeast-1 Asia Pacific (Tokyo) 533107202818
      ap-southeast-1 亚太地区(新加坡) 174946120834
      ap-south-1 亚太地区(孟买) 251508486986
      ap-southeast-3 亚太地区(雅加达) 510637619217
      sa-east-1 南美洲(圣保罗) 758426053663
      ap-northeast-3 亚太地区(大阪) 273192626886
      eu-south-1 欧洲地区(米兰) 266869475730
      af-south-1 非洲(开普敦) 197869348890
      ap-southeast-2 亚太地区(悉尼) 005257825471
      me-central-1 中东 (UAE) 000014521398
      us-west-1 美国西部(加利福尼亚北部) 684579721401
      ca-central-1 加拿大(中部) 354763396469
      ca-west-1 加拿大西部(卡尔加里) 339712888787
      ap-south-2 亚太地区(海得拉巴) 950823858135
      eu-south-2 欧洲(西班牙) 919611009337
      eu-central-2 欧洲(苏黎世) 529164026651
      ap-southeast-4 亚太地区(墨尔本) 251357961535
      il-central-1 以色列(特拉维夫) 870907303882
    2. 下载模板

      在以下命令中,要下载相应的公钥、x86_64 的签名RPM、arm6 RPM 4 的签名以及 Amazon S3 存储桶中托管的RPM脚本的相应访问链接,请务必将账户 ID 替换为相应 AWS 账户 的 ID,将区域替换为您当前的区域。

      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/x86_64/amazon-guardduty-agent-1.5.0.x86_64.rpm ./amazon-guardduty-agent-1.5.0.x86_64.rpm
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/x86_64/amazon-guardduty-agent-1.5.0.x86_64.sig ./amazon-guardduty-agent-1.5.0.x86_64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/publickey.pem ./publickey.pem
    3. 导入公有密钥

      使用以下命令将公有密钥导入到数据库:

      gpg --import publickey.pem

      gpg 显示导入成功

      gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
    4. 验证签名

      使用以下命令验证签名

      gpg --verify amazon-guardduty-agent-1.5.0.x86_64.sig amazon-guardduty-agent-1.5.0.x86_64.rpm

      如果通过验证,您将看到类似于以下结果的消息。现在,您可以使用继续安装 GuardDuty 安全客户端RPM。

      输出示例:

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D

      如果验证失败,则意味着签名可能RPM已被篡改。您必须从数据库中移除该公有密钥并重试验证过程。

      示例:

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"

      使用以下命令从数据库中移除公有密钥:

      gpg --delete-keys AwsGuardDuty

      现在,再次尝试验证过程。

  2. SSH从 Linux 或 macOS 上连接

  3. 使用以下命令安装 GuardDuty 安全代理:

    sudo rpm -ivh amazon-guardduty-agent-1.5.0.x86_64.rpm

  4. 验证 GuardDuty 代理安装是否正常。有关这些步骤的更多信息,请参阅正在验证 GuardDuty安全代理安装状态

Debian installation
重要

我们建议先验证 GuardDuty 安全代理 Debian 签名,然后再将其安装到您的计算机上。

  1. 验证 GuardDuty 安全代理 Debian 签名

    1. 为相应的公有密钥、amd64 Debian 软件包签名、arm64 Debian 软件包签名以及 Amazon S3 存储桶中所托管 Debian 脚本的相应访问链接准备模板

      在以下模板中,替换 AWS 账户 ID 和 GuardDuty代理版本的值以访问 Debian 软件包脚本。 AWS 区域

      • 公有密钥

        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/publickey.pem

      • GuardDuty 安全代理 Debian 签名

        amd64 签名
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/amd64/amazon-guardduty-agent-1.5.0.amd64.sig
        arm64 签名
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/arm64/amazon-guardduty-agent-1.5.0.arm64.sig

      • Amazon S3 存储桶中 Debian 脚本的访问链接

        amd64 访问链接
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/amd64/amazon-guardduty-agent-1.5.0.amd64.deb
        arm64 访问链接
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/arm64/amazon-guardduty-agent-1.5.0.arm64.deb
      AWS 区域 区域名称 AWS 账号
      eu-west-1 欧洲地区(爱尔兰) 694911143906
      us-east-1 美国东部(弗吉尼亚州北部) 593207742271
      us-west-2 美国西部(俄勒冈州) 733349766148
      eu-west-3 欧洲地区(巴黎) 665651866788
      us-east-2 美国东部(俄亥俄州) 307168627858
      eu-central-1 欧洲地区(法兰克福) 323658145986
      ap-northeast-2 亚太地区(首尔) 914738172881
      eu-north-1 欧洲地区(斯德哥尔摩) 591436053604
      ap-east-1 亚太地区(香港) 258348409381
      me-south-1 中东(巴林) 536382113932
      eu-west-2 欧洲地区(伦敦) 892757235363
      ap-northeast-1 Asia Pacific (Tokyo) 533107202818
      ap-southeast-1 亚太地区(新加坡) 174946120834
      ap-south-1 亚太地区(孟买) 251508486986
      ap-southeast-3 亚太地区(雅加达) 510637619217
      sa-east-1 南美洲(圣保罗) 758426053663
      ap-northeast-3 亚太地区(大阪) 273192626886
      eu-south-1 欧洲地区(米兰) 266869475730
      af-south-1 非洲(开普敦) 197869348890
      ap-southeast-2 亚太地区(悉尼) 005257825471
      me-central-1 中东 (UAE) 000014521398
      us-west-1 美国西部(加利福尼亚北部) 684579721401
      ca-central-1 加拿大(中部) 354763396469
      ca-west-1 加拿大西部(卡尔加里) 339712888787
      ap-south-2 亚太地区(海得拉巴) 950823858135
      eu-south-2 欧洲(西班牙) 919611009337
      eu-central-2 欧洲(苏黎世) 529164026651
      ap-southeast-4 亚太地区(墨尔本) 251357961535
      il-central-1 以色列(特拉维夫) 870907303882
    2. 下载相应的公有密钥、amd64 签名、arm64 签名以及 Amazon S3 存储桶中所托管 Debian 脚本的相应访问链接

      在以下命令中,将账户 ID 替换为相应的 AWS 账户 ID,将地区替换为您当前的区域。

      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/amd64/amazon-guardduty-agent-1.5.0.amd64.deb ./amazon-guardduty-agent-1.5.0.amd64.deb
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/amd64/amazon-guardduty-agent-1.5.0.amd64.sig ./amazon-guardduty-agent-1.5.0.amd64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/publickey.pem ./publickey.pem

    3. 将公有密钥导入数据库中

      gpg --import publickey.pem

      gpg 显示导入成功

      gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

    4. 验证签名

      gpg --verify amazon-guardduty-agent-1.5.0.amd64.sig amazon-guardduty-agent-1.5.0.amd64.deb

      如果验证成功,您将看到与以下结果类似的消息:

      输出示例:

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D

      现在,您可以继续使用 Debian 安装 GuardDuty 安全代理。

      但如果验证失败,则意味着 Debian 软件包中的签名可能已被篡改。

      示例:

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"

      使用以下命令从数据库中移除公有密钥:

      gpg --delete-keys AwsGuardDuty

      现在,重新尝试验证过程。

  2. SSH从 Linux 或 macOS 上连接

  3. 使用以下命令安装 GuardDuty 安全代理:

    sudo dpkg -i amazon-guardduty-agent-1.5.0.amd64.deb

  4. 验证 GuardDuty 代理安装是否正常。有关这些步骤的更多信息,请参阅正在验证 GuardDuty安全代理安装状态

内存不足错误

如果您在EC2手动安装或更新 Amazon GuardDuty 安全代理时out-of-memory遇到错误,请参阅内存不足问题的故障排除

正在验证 GuardDuty安全代理安装状态

执行安装 GuardDuty 安全代理的步骤后,请使用以下步骤验证代理的状态:

验证 GuardDuty 安全代理是否正常

  1. SSH从 Linux 或 macOS 上连接

  2. 运行以下命令以检查 GuardDuty 安全代理的状态:

    sudo systemctl status amazon-guardduty-agent

要查看安全代理安装日志,可通过路径 /var/log/amzn-guardduty-agent/ 获取。

要查看日志,请运行 sudo journalctl -u amazon-guardduty-agent