文書管理番号 :SND-SEC-MI Deep Security Agent 11.0 アップグレード手順書 (Linux) 2020 年 12 月 23 日 第 1.4 版 日本電気株式会社 1C NEC Corporation 2020

1Ⓒ NEC Corporation 2020

文書管理番号：SND-SEC-MI-19004-1.4

Deep Security Agent 11.0 アップグレード手順書

（Linux）

2020 年 12 月 23 日

【第 1.4 版】

日本電気株式会社

Deep Security Agent 11.0アップグレード手順書（Linux）

i

Ⓒ NEC Corporation 2020

更新履歴

項番 版数 更新日 更新内容 更新箇所 更新区分 備考

1 1.0 2019/10/10 ― ― 新規

2 1.1 2019/11/8

一 例 の キ ャ プ チ ャ の コ マ ン ド を”unzip -d”としていたが、誤り の為、”unzip”（オプション無し）

へ修正。

3.1

3.4 更新

3 〃 2019/11/8

コマンドのオプションが”rpm -

u”としていたが、誤りの為、”rpm

-U”へ修正。

3.4 更新

4 1.2 2020/02/21 不要なモジュール削除の対象を

変更 3.2 更新 削除対象に誤りがあった為

5 1.3 2020/07/29

必要なモ ジュール名が”Plugin- Update-*.dsp”ではなく”Plugin- UPDATE-*.dsp”の為、修正。

3.2 更新

6 〃 〃 注意事項を変更 3.4 更新

再起動、ネットワークの瞬断が発生 せず、Deep Security Agentのサービ スの再起動のみ発生の為、修正 7 〃 〃 プロキシの認証について追記 3.7 更新

8 1.4 2020/12/23 トラブルシューティングを追加 4 追加

Deep Security Agent 11.0アップグレード手順書（Linux）

ii

Ⓒ NEC Corporation 2020

目 次

1 はじめに ... 1-1 1.1 本資料に関して ... 1-1 1.2 動作環境 ... 1-2 2 事前準備 ... 2-1 2.1 事前準備 ... 2-1 2.2 ライセンス証書の確認 ... 2-2 2.3 管理サーバログイン ... 2-3 2.4 現行のご利用バージョンの確認 ... 2-4 2.5 アップグレード(Agent)モジュール・カーネルサポートパッケージ（KSP）の入手 ... 2-5 3 アップグレードする手順 ... 3-1 3.1 インストールパッケージの展開 ... 3-2 3.2 不要なモジュール削除 ... 3-3 3.3 カーネルサポートパッケージ（KSP）のインポート ... 3-5 3.4 アップグレードモジュールの実行 ... 3-6 3.5 アップグレードの確認 ... 3-7 3.6 セキュリティアップデートのダウンロード元の変更... 3-9 3.7 Relayへの接続に使用するプロキシの設定 ... 3-11 4 トラブルシューティング ... 4-1 4.1 Agentを11.0にアップグレード後、ネットワークに接続できない ... 4-1

Deep Security Agent 11.0アップグレード手順書（Linux）

1-1

Ⓒ NEC Corporation 2020

1 はじめに

1.1 本資料に関して

本資料は、Linux 環境において「Deep Security Agent 9.6 Sp1」をご利用のお客様が「Deep Security Agent 11.0」へのバージョンアップを行う方法を記載しています。

Deep Security Agent 11.0アップグレード手順書（Linux）

1-2

Ⓒ NEC Corporation 2020

1.2 動作環境

Deep Security Agent 11.0は、以下の動作環境を満たしている必要があります

メモリ 1GB

※仮想パッチ＋アンチウイルス使用時 : 2GBを推奨 ハードデ

ィスク

500MB以上の空き容量

※アンチウイルス機能も動作させる場合は1GB以上を推奨

OS

【Windows】

Windows Server 2008 (32/64bit) Windows Server 2008 R2 (64bit) Windows Server 2008 R2 Hyper-V Windows Server 2012 (64bit) Windows Server 2012 R2 (64bit) Windows Server 2012 R2 Hyper-V Windows Server Core 2012 (64bit) Windows Server Core 2012 R2 (64bit) Windows Server 2016 (64bit)

Windows Server 2016 R3 (64-bit) Windows Server 2016 Hyper-V

Windows Server 2019 バ ー ジ ョ ン 1809(64bit)

Windows 7 (32/64bit) Windows 8 (32/64bit) Windows 8.1 (32/64bit)

Windows 10、10 TH2 (32/64bit) Windows 10 RS2 (32/64bit) Windows 10 RS3 (32/64bit)

【Linux】

Red Hat Enterprise Linux 6 (32/64 bit) Red Hat Enterprise Linux 7 (64 bit) Red Hat Enterprise Linux 8 (64 bit)※11.0

LTS Update12 以降対応

CentOS 6 (32/64 bit) CentOS 7 (64 bit)

SUSE 11 SP1, SP2, SP3, SP4 (32/64bit) SUSE 12 (64bit)

Ubuntu Linux 16.04, 18.04 (64bit)

Oracle Linux 6 RedHat/Unbreakable Kernel (32/64 bit)

Oracle Linux 7 RedHat/Unbreakable Kernel (64 bit)

CloudLinux 7.1 (64bit) Debian 7 (64bit) Debian 8 (64bit) Debian 9 (64bit)

※ Deep Security Agentについては、ベンダー各社のOSのライフサイクルに依存せず、基本的

にDeep Security のサポート終了日まで、この製品がサポート対象とする OS 上での利用を

サポートします。

※ エディションが指定されていない Windows 製品は、エディションに関係なく動作を保証い たします。

※ システム要件に記載されていないService Pack 等でも、要件に記載されているものより新し いバージョンはサポート対象となります。

※ Linux 版Agent では、ご利用のカーネルもサポート対象である必要があります。サポートす るカーネルバージョンについては、以下の製品Q&A をご参照ください。

（https://success.trendmicro.com/jp/solution/1098600）

Deep Security Agent 11.0アップグレード手順書（Linux）

1-3

Ⓒ NEC Corporation 2020

本製品の利用には下記の要件を満たす必要があります。

 インターネット接続が可能

 TCP443で通信が可能

 プロキシ経由する場合は、プロキシの認証無し、もしくはBasic認証で通信が可能

（Digest認証とNTLM認証は未サポート。）

 保護対象サーバが以下のURLにアクセスできる必要があります。

URL 用途 補足

serversecurity-nec.jp:443 管理コンソールURL

保護対象サーバ上で管理コンソー ルにアクセスしない場合は不要で す。

hb.serversecurity-nec.jp:443 管理サーバとの疎通確認、イ

ベントログの送信等 reray.serversecurity-

nec.jp:443 セキュリティアップデート

iaus.trendmicro.com:443

セキュリティアップデート

Trend Micro社 Active Update サ ーバ。

アクセス可能にすることで可用性 が向上します。

iaus.activeupdate.trendmicro.

com:443

ipv6-iaus.trendmicro.com:443

ipv6-

iaus.activeupdate.trendmicro.

com:443

Deep Security Agent 11.0アップグレード手順書（Linux）

2-1

Ⓒ NEC Corporation 2020

2 事前準備 2.1 事前準備

Agent導入前に管理コンソール上で、Agentインストールの事前準備を行います。

【注意事項】

・事前準備作業は、保護対象サーバ以外のお客様のクライアントPCや端末機でも実施可能です。

ライセンス証書

の確認 管理サーバ

ログイン

アップグレード モジュールの準備 現行のご利用

バージョン確認

Deep Security Agent 11.0アップグレード手順書（Linux）

2-2

Ⓒ NEC Corporation 2020

2.2 ライセンス証書の確認

別途送付したライセンス証書より、アカウント情報（赤枠部分）を確認してください。

【注意事項】

・この情報は、管理サーバログイン等に使用します。

・外部に公開しない様、慎重にお取り扱いください。

Deep Security Agent 11.0アップグレード手順書（Linux）

2-3

Ⓒ NEC Corporation 2020

2.3 管理サーバログイン

ライセンス証書の[アカウント情報] > [URL] に記載してあるURLにアクセス ライセンス証書の[アカウント情報] > [アカウント名/ユーザ名/パスワード]を 入力してログイン

Deep Security Agent 11.0アップグレード手順書（Linux）

2-4

Ⓒ NEC Corporation 2020

2.4 現行のご利用バージョンの確認

[コンピュータ] > [列]を選択

[バージョン」にチェックボックスを入れ、「OK」ボタンをクリック

[バージョン]列の情報を確認し、9.6以前であることを確認

⇒11.0以降になっている場合はバージョンアップ作業は不要です。

Deep Security Agent 11.0アップグレード手順書（Linux）

2-5

Ⓒ NEC Corporation 2020

2.5 アップグレード(Agent)モジュール・カーネルサポートパッケージ（KSP）

の入手

管理コンソールにログイン

[管理] > [アップデート] > [ソフトウェア] > [ローカル]を選択

「バージョン」でグループ化

グループの中からご利用の環境のプラットフォームのアップグレード（Agent）モジュール（フ ァイル名の先頭が”Agent”から始まるもので、ファイル名に含まれる[11.0.0-]に続く 3-4 桁 の数値が一番大きなファイル）、カーネルサポートパッケージ（KSP）（ファイル名の先頭が”

KernelSuport”から始まるもので、ファイル名に含まれる[11.0.0-]に続く3-4桁の数値が一番

大きなファイル）を選択。

※該当プラットフォームが見つからない場合は(参考)を参照してください [エクスポート] > [パッケージのエクスポート]を選択し、媒体をダウンロード AAgentの場合

Deep Security Agent 11.0アップグレード手順書（Linux）

2-6

Ⓒ NEC Corporation 2020

KSPの場合

Deep Security Agent 11.0アップグレード手順書（Linux）

2-7

Ⓒ NEC Corporation 2020

Ver.11.0のグループ/対象のプラットフォームが見つからない場合

複数のコンポーネントがインポートされているため、複数のページに分かれています 以下キャプチャに従い2ページ目を参照してください。

Deep Security Agent 11.0アップグレード手順書（Linux）

3-1

Ⓒ NEC Corporation 2020

3 アップグレードする手順

アップグレードモジュールをVer.9.6 がインストールされたホストで実行をし、アップグレード を行います。

事前にお客様環境に合わせてアップグレードモジュール内の不要なモジュールを削除する必要 があります。

（注）Ver.9.6の手順書と、本手順書ではモジュールを削除する手順に変更があります。

OS のファイアウォールを使用している場合は「4.1 OS のファイアウォールを使用している場 合」も実施してください

アップグレードモ

ジュール実行 アップグレードの確認 不要なモジュール

削除

Deep Security Agent 11.0アップグレード手順書（Linux）

3-2

Ⓒ NEC Corporation 2020

3.1 インストールパッケージの展開

インストールパッケージ、カーネルサポートパッケージ（KSP）をインストールするホストの 任意の場所に配置

例：/opt/ds_agent/

※本手順書では例として上記へ格納する。

インストールパッケージ、カーネルサポートパッケージを展開

※上書きを確認された場合はA（ALL-すべて上書き）を選択

※ 下記キャプチャは一例です

【注意事項】

手順は管理者権限、もしくは「sudo」コマンドで実施してください。

Deep Security Agent 11.0アップグレード手順書（Linux）

3-3

Ⓒ NEC Corporation 2020

3.2 不要なモジュール削除

「仮想パッチ（侵入防御）ライセンス」の場合

（A）仮想パッチのみをご利用(アンチウイルスを利用しない)のお客様は、以下の必要なモジュ ールを残し、その他の拡張子.dspのファイルを削除してください

※削除しない場合、予期せぬ問題が発生する事例が確認されております

（B）侵入防御機能

 Feature-DPI-*.dsp

 Plugin-FWDPI-*.dsp

 Plugin-Filter*.dsp

※ *にはバージョンに応じた英数字文字列が入ります

【注意事項】※侵入防御のみ※

仮想パッチ（侵入防御）ライセンスでご購入のお客様は、こちらをご参照ください

※仮想パッチ＆アンチウイルスライセンスでご購入のお客様は次頁をご参照ください

Deep Security Agent 11.0アップグレード手順書（Linux）

3-4

Ⓒ NEC Corporation 2020

「仮想パッチ＆アンチウイルスライセンス」の場合

（A）仮想パッチ＆アンチウイルスをご利用のお客様は、以下の必要なモジュールを残し、その 他の拡張子.dspのファイルを削除してください。

※削除しない場合、予期せぬ問題が発生する事例が確認されております

（B）不正プログラム対策機能

 Feature-AM-*.dsp

 Plugin-UPDATE-*.dsp

 Plugin-TMUFE-*.dsp

 Plugin-VFS_Filter*.dsp

※ *にはバージョンに応じた英数字文字列が入ります

（C）侵入防御機能

 Feature-DPI-*.dsp

 Plugin-FWDPI-*.dsp

 Plugin-Filter*.dsp

※ *にはバージョンに応じた英数字文字列が入ります

【注意事項】※アンチウイルスあり※

仮想パッチ＆アンチウイルスライセンスでご購入のお客様は、こちらをご参照ください

※仮想パッチライセンスでご購入のお客様は前頁をご参照ください

Deep Security Agent 11.0アップグレード手順書（Linux）

3-5

Ⓒ NEC Corporation 2020

3.3 カーネルサポートパッケージ（KSP）のインポート

以下のディレクトリを作成（既に作成済みの場合、本手順をスキップします）

3.1でインストールパッケージの展開を処理したディレクトリ以下のファイルをdownloadsデ ィレクトリにコピー

# cp -r /opt/ds_agent/* /var/opt/ds_agent/downloads

# mkdir -p /var/opt/ds_agent/downloads

Deep Security Agent 11.0アップグレード手順書（Linux）

3-6

Ⓒ NEC Corporation 2020

3.4 アップグレードモジュールの実行

3.1で展開したインストールパッケージと同じディレクトリ（ここでは”/opt/ds_agent/”）で 以下のコマンドでインストールを実行

※ 利用するAgentによって、ファイル名が異なります。異なる部分は「xxxxxxx」と記載し

ています (Red Hat系)

# rpm -U Agent-Core-xxxxxxx.rpm (Debian系)

# dpkg -i Agent-Core-xxxxxxx.deb

( 実行例 )

インストールパッケージは「3.1インストールパ ッケージを展開」で展開したファイルに含まれま す。

Deep Security Agent 11.0アップグレード手順書（Linux）

3-7

Ⓒ NEC Corporation 2020

3.5 アップグレードの確認

管理コンソールにログイン [コンピュータ]タブを選択

アップグレードを行ったサーバのバージョンが[11.0.0-]に更新されていることを確認

対象サーバのステータスで「コンピュータの再起動が必要」と表示された場合は、対象サーバ の再起動を実施

対象サーバの再起動後、管理コンソール上で対象サーバのステータスが「管理対象（オンライ ン）」と表示されていることを確認

Deep Security Agent 11.0アップグレード手順書（Linux）

3-8

Ⓒ NEC Corporation 2020

（参考）モジュールのインストール失敗のエラーが発生した場合

アップグレード処理時、一時的に「ソフトウェアアップデート：○○モジュールのインストー ル失敗」のエラーが発生することが確認されています。

当該エラーはアップグレード処理における一時的なものですので、警告/エラーのクリアを押下 し、しばらく後に状況をご確認ください。

Deep Security Agent 11.0アップグレード手順書（Linux）

3-9

Ⓒ NEC Corporation 2020

3.6 セキュリティアップデートのダウンロード元の変更

管理コンソールにログイン [コンピュータ]タブを選択

対象のコンピュータの詳細画面を表示し、[概要]の[一般]タブで、[セキュリティアップデートの ダウンロード元:]に、”プライマリテナントの Relay グループ”以外が設定されていることを確 認する。

※”プライマリテナントのRelayグループ”が設定されている場合は以降の手順は不要です。

【注意事項】

※プロキシを経由しない環境の場合、本手順は不要です

Deep Security Agent 11.0アップグレード手順書（Linux）

3-10

Ⓒ NEC Corporation 2020

[セキュリティアップデートのダウンロード元:]のプルダウンリストから”プライマリテナントの

Relayグループ”を選択し、[保存]をクリックする。

Deep Security Agent 11.0アップグレード手順書（Linux）

3-11

Ⓒ NEC Corporation 2020

3.7 Relay への接続に使用するプロキシの設定

Agent を イ ン ス ト ー ル し た ホ ス ト で 管 理 者 権 限 、 も し く は 「sudo」 コ マ ン ド で 「cd

[DeepSecurityAgentをインストールしたフォルダ]」を実行する。

以下のコマンドを実行し、Relayへ接続するためのプロキシを設定する。

dsa_control –y relay_proxy://プロキシサーバのURL:ポート//

【参考】

デフォルト設定の場合は、下記のフォルダ移動コマンドを入力ください。

# cd /opt/ds_agent/

プロキシで認証（基本認証のみ対応）を行う場合、

「/opt/ds_agent/dsa_control -y relay_proxy://プロキシサーバのURL:ポート/」行の次行に、

「/opt/ds_agent/dsa_control –w ユーザ名:パスワード」 と入力してください。

例）「ユーザ名：root、パスワード：Password」の場合、以下のように入力 /opt/ds_agent/dsa_control –w root:Password

Deep Security Agent 11.0アップグレード手順書（Linux）

4-1

Ⓒ NEC Corporation 2020

4 トラブルシューティング

4.1 Agent を 11.0 にアップグレード後、ネットワークに接続できない

アップグレード完了後、お客様ご利用の環境でネットワーク接続できない場合、こちらを参考に してください。

Deep Security Agent（以下DSA）9.6ではDSAサービスの起動中にファイアウォールとの競合

を防ぐ為、iptables（firewalld）のルールが無効化されます（設定は一時的に保存され、DSA9.6ア ンインストール時に有効化されます）。DSA 11.0ではiptables（firewalld）に関連する動作が変更 されており、DSAによりiptables（firewalld）が無効化されません。

よって、iptables（firewalld）を有効にしている環境にDSA9.6をインストールされていた場合は、

iptables（firewalld）のルールが無効化されていた影響により全ての通信が許可されておりました が、DSA11.0にアップグレードすることによりiptables（firewalld）が有効になり、許可されてい ない通信は疎通不可となります。

DSA をアップグレード後、お客様がご利用のサービスがネットワークに接続できなくなった場 合、以下の対策を行ってください。

 iptables（firewalld）を無効化する。

 iptables（firewalld）に適切な接続許可設定する。

【参考情報】

■Deep Security Agent と iptables について

＜https://success.trendmicro.com/jp/solution/1112382＞