Gestion et désinstallation des Tanium Clients

Les sections suivantes fournissent des informations sur les activités suivantes pour gérer le Tanium Client :

  • Informations relatives à la surveillance de l’intégrité des Tanium Clients déployés dans le service Client Management

  • Gestion du service Tanium Client sur chaque système d’exploitation

  • Gestion de certaines fonctionnalités du système d’exploitation liées au Tanium Client

  • Désinstallation du Tanium Client sur chaque système d’exploitation

Surveillance de l’intégrité du client dans le service Client Management.

Examinez les informations relatives à l’intégrité des Tanium Clients déployés dans Client Management.

Afficher un résumé des informations relatives à l’intégrité du client

  1. Dans le menu Client Management (Client Management), allez à Client Health (Intégrité des clients).

  2. Cliquez sur l’onglet qui contient les informations que vous souhaitez afficher.

    • Cliquez sur l’onglet Deployment (Déploiement) pour afficher un résumé des informations de déploiement du client, telles que les versions du client, les échecs de contrôle d’intégrité, les systèmes d’exploitation, les extensions client installées et les versions de durée d’exécution Python.

    • Cliquez sur l’onglet Settings (Paramètres) pour afficher un résumé des paramètres du client, tels que le niveau de verbosité des journaux, le nom du serveur, le port du serveur et diverses informations sur les composants. Cet aperçu peut aider à identifier les paramètres qui ont été modifiés par rapport aux paramètres par défaut.

  3. (Facultatif) Sélectionnez un Computer Group (Groupe d’ordinateurs) pour filtrer les informations récapitulatives.

  4. (Facultatif) Pour étudier davantage un ensemble de données à l’aide des résultats associés à la question, cliquez sur View question results in Interact (Afficher les résultats de la question dans Interact) . Pour plus d’informations sur l’utilisation des résultats de la question, consultez le Guide d’utilisation de Tanium Interact : Gestion des résultats de la question.

Afficher les informations détaillées sur l’intégrité du client pour un endpoint

Vous pouvez vous connecter directement à un endpoint Windows, Linux ou macOS pour afficher des informations plus détaillées sur l’intégrité du client.

  1. Dans le menu Client Management (Client Management), allez à Client Health (Intégrité des clients).
  2. Dans le champ de recherche Direct Connect (Connexion directe), saisissez, en partie ou intégralement, une adresse IP ou un nom d’ordinateur.

    Les résultats correspondants sont affichés après la fin de la recherche.

  3. Dans les résultats de la recherche, cliquez sur le nom de l’ordinateur pour vous connecter au endpoint. 
  4. Cliquez sur un onglet pour afficher les informations détaillées sur l’intégrité du client pour le endpoint.

    • Statut: Affichez les informations de statut du endpoint connecté, telles que l’ID de l’ordinateur, les horodatages de la première et de la dernière installation du client, la version du client installé, les informations d’adresse client et peer, et les informations d’extension client, y compris les échecs de contrôle d’intégrité.

    • Configuration: Affichez des informations sur les paramètres du client pour le endpoint connecté, telles que le niveau de verbosité des journaux, le nom du serveur, le port du serveur et divers paramètres pour les extensions client.

    • Logs: Affichez et téléchargez les journaux à partir du client connecté. Sélectionnez un journal à afficher ou à télécharger. Pour plus d’informations sur l’examen des journaux pour le dépannage, reportez-vous à la section Examiner le journal d’installation du Tanium Client pour résoudre les problèmes d’installation sur Windows et Examiner les journaux du Tanium Client pour résoudre les connexions et d’autres problèmes du client.

    • Actions: Affichez et téléchargez les journaux des actions à partir du client connecté. Sélectionnez une action précédemment exécutée pour laquelle vous souhaitez afficher ou télécharger le journal. Pour plus d’informations sur l’examen des journaux des actions pour le dépannage, reportez-vous à la section Examiner les journaux des actions et les fichiers associés pour résoudre les problèmes liés aux actions et packages.

    • Rassembler : Collectez un bundle de journaux et d’autres artefacts à partir d’un endpoint connecté pour aider à résoudre les problèmes.

      1. Pour filtrer les journaux et artefacts disponibles, cliquez sur un bouton dans la section Domain (Domaine). Cliquez sur Gather from Endpoint (Rassembler à partir du endpoint).

        Les journaux et artefacts sélectionnés sont collectés à partir du endpoint. Le package apparaît dans la section Must Gathers (Doit rassembler), nommé avec son horodatage.

      2. Lorsque Finished (Terminé) apparaît dans la colonne Run State (État d’exécution), sélectionnez le package et cliquez sur Download (Télécharger) pour télécharger un fichier ZIP qui contient les informations de dépannage.

  5. Lorsque vous avez terminé d’examiner les informations d’intégrité du client pour le endpoint, cliquez sur Disconnect (Déconnecter) pour vous déconnecter du endpoint et revenir au résumé d’intégrité du client.

Si la connexion au endpoint expire, cliquez sur Reconnect (Reconnecter) pour rétablir la connexion.

Gérer le Tanium Client sur Windows

Sur les endpoints Windows, le Tanium Client est installé en tant que service avec un Startup Type (Type de démarrage) défini sur Automatic (Automatique). Le répertoire d’installation par défaut est C:\Program Files (x86)\ pour Windows 64 bits, ou C:\Program Files\ pour Windows 32 bits.

Gérer le service Tanium Client sur Windows

Sur les endpoints Windows, vous pouvez arrêter, démarrer ou redémarrer le service Tanium Client via l’application Services (Services) de Windows :

  1. Cliquez sur Start (Démarrer) > Run (Exécuter). Saisissez services.msc et cliquez sur OK (OK).

  2. Sélectionnez le service Tanium Client, puis sélectionnez une action dans le menu Action (Action) > All Tasks (Toutes les tâches).

F : Figure 1 :  Service Tanium Client

Désinstaller le Tanium Client sur Windows

Vous pouvez utiliser divers outils pour désinstaller le Tanium Client.

Utiliser un package Tanium pour déployer un programme de désinstallation

Vous pouvez utiliser la Tanium Core Platform pour supprimer le Tanium Client des endpoints ciblés. Le programme uninst.exe se trouve dans le répertoire d’installation du Tanium Client.

  1. Accès à Tanium Console.
  2. Dans le menu principal, allez dans Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux).
  3. Sélectionnez allow_process_group_flag_edit, cliquez sur Edit (Modifier), définissez la valeur sur 1, et enregistrez la modification.
  4. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Packages (Packages) et ajoutez un New Package (Nouveau package) qui émet la commande de désinstallation. L’exemple suivant illustre la commande permettant d’effectuer une désinstallation silencieuse :

    cmd.exe /C ..\..\uninst.exe /S

    Vous devez désactiver l’option pour Launch this package command in a process group (Lancer cette commande de package dans un groupe de processus).

  5. Créez une action planifiée pour distribuer le package aux ordinateurs ciblés : reportez-vous au Guide d’utilisation de Tanium Console : Déployer des actions.

Le programme de désinstallation arrête le service Tanium Client et supprime les fichiers d’application, de sorte que le Tanium Client ne sera plus présent pour écrire Completed (Terminé) dans le journal des actions respectif. Par conséquent, ne vous fiez pas au statut de l’action final rapporté dans la Tanium Console pour déterminer la réussite ou l’échec de l’action de désinstallation.

Utiliser Ajouter/Supprimer des programmes

Un utilisateur avec des droits d’administrateur local sur le endpoint peut supprimer le Tanium Client via l’applet Add/Remove Programs (Ajouter/Supprimer des programmes) ou Programs and Features (Programmes et fonctionnalités) du panneau de configuration Windows.

Programme de désinstallation

Double-cliquez sur l’icône du programme uninst.exe ou exécutez le programme à partir d’une invite de commandes.

L’exécutable de désinstallation prend en charge le paramètre de ligne de commande /S pour effectuer une désinstallation silencieuse à partir d’une invite de commandes, d’un script, d’un package ou d’un fichier BAT : uninst.exe /S

Gérer le Tanium Client sur macOS

Sur les endpoints macOS, le Tanium Client est installé en tant que service système. Les fichiers client sont situés dans le répertoire /Library/Tanium/TaniumClient.

Règles de pare-feu macOS

Le service Tanium Client est signé pour autoriser automatiquement la communication via le pare-feu macOS par défaut. Le processus d’installation du client ne modifie pas les pare-feux basés sur l’hôte qui pourraient être utilisés. Un administrateur de sécurité réseau doit s’assurer que les pare-feux hôte et réseau sont configurés pour autoriser le trafic TCP entrant et sortant sur le port que le client utilise pour le trafic Tanium (par défaut 17472).

Pour plus d’informations sur les exigences de port et de pare-feu pour le Tanium Client, reportez-vous à la section Connectivité réseau, ports et pare-feu..

T :  Tableau 2 : Commandes de pare-feu pour OS X et macOS
Tâches Commands
Afficher le statut du port 17472 sudo /usr/libexec/ApplicationFirewall/socketfilterfw --listapps | awk '/TaniumClient/
{getline; print $0}'
Ajouter le Tanium Client au pare-feu sudo /usr/libexec/ApplicationFirewall/socketfilterfw --add /Library/Tanium/TaniumClient/TaniumClient
Débloquer le Tanium Client dans le pare-feu sudo /usr/libexec/ApplicationFirewall/socketfilterfw --unblockapp /Library/Tanium/TaniumClient/TaniumClient
Supprimer le Tanium Client du pare-feu sudo /usr/libexec/ApplicationFirewall/socketfilterfw --remove /Library/Tanium/TaniumClient/TaniumClient
Bloquer le Tanium Client dans le pare-feu sudo /usr/libexec/ApplicationFirewall/socketfilterfw --blockapp /Library/Tanium/TaniumClient/TaniumClient

Gérer les fenêtres contextuelles pour les mises à niveau du Tanium Client

Lorsque vous mettez à niveau le Tanium Client sur des endpoints qui ont un pare-feu activé sur macOS 10.14 (Mojave) ou version ultérieure, les utilisateurs finaux peuvent voir une fenêtre contextuelle les invitant à autoriser les connexions pour le Tanium Client. Pour empêcher la fenêtre contextuelle, configurez une règle de pare-feu (meilleure pratique) ou configurez les System Preferences (Préférences système) sur les endpoints. Vous pouvez effectuer cette tâche pour plusieurs endpoints en configurant une politique ou un profil via un outil de gestion des périphériques mobiles approuvé par l’utilisateur (UAMDM). Contactez l’assistance Tanium si vous avez besoin d’aide pour vous assurer qu’un environnement est prêt avant la mise à niveau du Tanium Client.

Pour une sécurité accrue, la configuration d’une règle de pare-feu pour empêcher les fenêtres contextuelles de connexions est préférable à la configuration des System Preferences (Préférences système). Toutefois, seuls les endpoints exécutant macOS 10.14.4 ou une version ultérieure prennent en charge cette méthode.

Configurer une politique ou un profil MDM pour plusieurs endpoints

Lorsque vous configurez une règle de pare-feu ou des System Preferences (Préférences système) via une politique ou un profil, les étapes spécifiques dépendent de votre UAMDM. Contactez l’assistance Tanium pour la procédure. Les étapes générales sont les suivantes :

  1. Créez la politique ou le profil.
  2. Ajoutez un pare-feu ou un paramètre de sécurité à la politique ou au profil.
  3. Ajoutez com.tanium.taniumclient.plist aux connexions autorisées.

Les utilisateurs ne peuvent pas voir que le Tanium Client est autorisé dans le pare-feu, à moins que vous ne fournissiez à ces utilisateurs l’accès au répertoire d’installation du Tanium Client. Pour afficher et gérer les permissions pour ce répertoire, reportez-vous à la section Renforcement du service client.

Configurer une règle de pare-feu sur un endpoint unique

Vous avez besoin d’un accès en lecture seule au répertoire /Library/Tanium/TaniumClient pour effectuer cette tâche.

  1. Allez à System Preferences (Préférences système) > Security & Privacy (Sécurité et confidentialité).
  2. Cliquez sur Unlock (Déverrouiller) Déverrouiller, saisissez les informations d’identification de l’administrateur et cliquez sur Unlock (Déverrouiller).
  3. Ajouter une règle de pare-feu : Cliquez sur Firewall Options (Options du pare-feu), cliquez sur Add (Ajouter) +, naviguez jusqu’au répertoire /Library/Tanium/TaniumClient/, sélectionnez taniumclient, et cliquez sur Add (Ajouter).
  4. Cliquez sur OK (OK) pour appliquer la règle.
Configurer les préférences système sur un endpoint unique

Tous les endpoints qui exécutent macOS 10.14.x ou une version ultérieure prennent en charge la configuration des préférences système pour empêcher les fenêtres contextuelles de connexions.

  1. Allez à System Preferences (Préférences système) > Security & Privacy (Sécurité et confidentialité).
  2. Cliquez sur Unlock (Déverrouiller) Déverrouiller, saisissez les informations d’identification de l’administrateur et cliquez sur Unlock (Déverrouiller).
  3. Cliquez sur Firewall Options (Options du pare-feu), sélectionnez Automatically allow downloaded signed software to receive incoming connections (Autoriser automatiquement le logiciel signé téléchargé à recevoir les connexions entrantes), et cliquez sur OK (OK).

Gérer le service Tanium Client sur MacOS

Sur le endpoint macOS, ouvrez Terminal (Terminal) et utilisez les commandes launchctl répertoriées pour effectuer les actions suivantes :

  • Démarrer le service Tanium Client :

    sudo launchctl load /Library/LaunchDaemons/com.tanium.taniumclient.plist

  • Arrêter le service Tanium Client :

    sudo launchctl unload /Library/LaunchDaemons/com.tanium.taniumclient.plist

  • Supprimer le Tanium Client de la liste de lancement :

    sudo launchctl remove com.tanium.taniumclient

Gérer les étiquettes personnalisées dans le fichier CustomTags.txt

Vous pouvez ajouter un fichier qui contient des étiquettes personnalisées au répertoire d’installation de Tanium Client pour activer l’utilisation des balises afin d’identifier le endpoint dans les workflows Tanium. Par exemple, vous pouvez utiliser la balise Labo pour identifier les endpoints utilisés dans un laboratoire de test. Vous pouvez ensuite poser une question qui utilise le sensor des étiquettes personnalisées et spécifie la balise Labo, ou vous pouvez créer un groupe d’ordinateurs qui sélectionne les ordinateurs en fonction de la balise.

Ajouter des balises au fichier CustomTags.txt

  1. Créez une fichier nommé CustomTags.txt dans le répertoire /Library/Tanium/TaniumClient/Tools le sous-répertoire .

  2. Ouvrez le fichier dans un éditeur de texte et ajoutez des balises sous forme de chaînes. Saisissez une chaîne par ligne et n’utilisez pas d’espaces.
  3. Enregistrer le fichier. Un redémarrage du endpoint ou du service Tanium Client n’est pas requis.

    L’exemple suivant montre un répertoire d’installation de Tanium Client qui inclut une étiquette personnalisée nommée Labo :

Exemple : Utiliser des étiquettes personnalisées pour créer un groupe d’ordinateurs

Après avoir ajouté des étiquettes personnalisées, vous pouvez les utiliser pour créer un groupe d’ordinateurs comme suit.

  1. Dans le menu principal, allez à Administration (Administration) > Management (Gestion) > Computer Groups (Groupes d’ordinateurs) et cliquez sur New Group (Nouveau groupe).
  2. Saisissez un nom pour identifier le groupe.

    Dans Filter Bar (Barre de filtre), utilisez le sensor Custom Tags (Étiquettes personnalisées) pour définir l’appartenance à un groupe, comme illustré à la F : Figure 3.

    F : Figure 3 :  Utilisation de étiquettes personnalisées pour sélectionner un groupe d’ordinateurs
  3. Enregistrez vos modifications.

Vous pouvez utiliser les packages Tanium nommés Custom Tagging - Add Tags (Balises personnalisées - Ajouter des balises) Custom Tagging - Add Tags (Non-Windows) (Balises personnalisées - Ajouter des balises (non-Windows)) pour déployer des balises à l’échelle. Les résultats sont exactement les mêmes que pour la procédure manuelle indiquée ici. Pour plus d’informations, consultez l’article de la Tanium Support Knowledge Base sur les balises personnalisées (compte requis).

Désinstaller le Tanium Client sur macOS

Désinstaller sans utiliser de script
  1. Sur le endpoint macOS, ouvrez Terminal (Terminal).
  2. Exécutez la commande suivante pour arrêter le Tanium Client et le supprimer de la liste de lancement :

    sudo launchctl remove com.tanium.taniumclient

  3. Supprimez les fichiers et répertoires suivants :

    • /Library/LaunchDaemons/com.tanium.taniumclient.plist
    • /Library/LaunchDaemons/com.tanium.trace.recorder.plist
    • /Library/Tanium/TaniumClient/ (directory)
    • /var/db/receipts/com.tanium.taniumclient.TaniumClient.pkg.bom
    • /var/db/receipts/com.tanium.taniumclient.TaniumClient.pkg.plist
    • /var/db/receipts/com.tanium.tanium.client.bom*
    • /var/db/receipts/com.tanium.tanium.client.plist*

    * Ces fichiers apparaissent uniquement si une version du Tanium Client antérieure à la version 7.2.314.3608 a été installée sur le endpoint.

Désinstaller à l’aide d’un script

Pour désinstaller silencieusement le Tanium Client d’une ligne de commande, vous pouvez utiliser un script shell tel que le suivant :

#!/bin/bash

if [[ $(/usr/bin/id -u) -ne 0 ]]; then
     echo "Not running as root or using sudo"
     exit
fi

launchctl unload /Library/LaunchDaemons/com.tanium.taniumclient.plist
launchctl remove com.tanium.taniumclient > /dev/null 2>&1
rm /Library/LaunchDaemons/com.tanium.taniumclient.plist
rm /Library/LaunchDaemons/com.tanium.trace.recorder.plist
rm -rf /Library/Tanium/
rm /var/db/receipts/com.tanium.taniumclient.TaniumClient.pkg.bom
rm /var/db/receipts/com.tanium.taniumclient.TaniumClient.pkg.plist
rm /var/db/receipts/com.tanium.tanium.client.bom
rm /var/db/receipts/com.tanium.tanium.client.plist

Gérer le Tanium Client sur Linux

Sur les endpoints Linux, le Tanium Client est installé en tant que service système. Le répertoire d’installation par défaut pour les fichiers de Tanium Client est /opt/Tanium/TaniumClient.

Règles de pare-feu Linux

Le processus d’installation ne modifie pas les pare-feux basés sur l’hôte qui pourraient être utilisés. Un administrateur de sécurité réseau doit s’assurer que les pare-feux hôte et réseau sont configurés pour autoriser le trafic TCP entrant et sortant sur le port que le client utilise pour le trafic Tanium (par défaut 17472).

Pour plus d’informations sur les exigences de port et de pare-feu pour le Tanium Client, reportez-vous à la section Connectivité réseau, ports et pare-feu..

Les sous-sections suivantes répertorient des exemples de commandes pour gérer les pare-feu Linux en fonction des distributions par défaut de Linux.

Amazon Linux

Par défaut, l’utilitaire IPTables pour la gestion du pare-feu n’est pas configuré sur l’AMI Amazon Linux (2016.09, 2017.09, 2018.3) ou Amazon Linux 2 LTS (2017.12). Pour ajouter, supprimer, refuser ou afficher le statut des ports que le Tanium Client utilise, vérifiez plutôt votre groupe de sécurité Amazon Web Services (AWS).

Debian

Par défaut, l’utilitaire IPTables pour la gestion du pare-feu n’est pas configuré sur Debian 6.x, 7.x, 8.x ou 9.x. Pour ajouter, supprimer, refuser ou afficher le statut des ports que le Tanium Client utilise, vérifiez plutôt votre groupe de sécurité Amazon Web Services (AWS).

CentOS, Oracle Linux, Red Hat Linux

Versions 5.x et 6.x

Le tableau suivant répertorie les commandes de gestion des règles de pare-feu pour les versions 5.x et 6.x de CentOS, Oracle Linux et Red Hat Linux.

La commande iptables est pour IPv4. Pour IPv6, utilisez la commande ip6tables. Le TaaS ne prend pas en charge IPv6.

T :  Tableau 4 : Commandes de pare-feu pour CentOS, Oracle Linux, Red Hat Linux 5.x et 6.x
Tâches Commands
Vérifier le statut du pare-feu

iptables -L -n --line-numbers | egrep -i "^Chain|REJECT *all"

Le pare-feu est activé lorsqu’une règle REJET *all est présente.

Afficher les règles pour le port 17472 sudo iptables -L -n | grep 17472
Ajouter ou autoriser le port 17472
  1. Vérifiez le statut du pare-feu.

    sudo iptables -L -n --line-numbers | egrep -i "^Chain|REJECT *all"

  2. Pour chaque <chain_name> avec une règle REJECT all, exécutez la commande suivante, où <line> est le numéro de ligne de la règle.

    sudo iptables -I <chain_name> <line> -p tcp -m state --state NEW --dport 17472 -j ACCEPT

    Par exemple, si la chaîne est RH-Firewall-1-INPUT et que la règle REJECT all est sur la ligne 10, exécutez :

    sudo iptables -I RH-Firewall-1-INPUT 10 -p tcp -m state --state NEW --dport 17472 -j ACCEPT

  3. Enregistrez vos modifications et redémarrez le service iptables.

    sudo service iptables save

    sudo service iptables restart

Retirer ou refuser le port 17472
  1. Répertoriez les chaînes.

    sudo iptables -L -n | egrep -i "^Chain|17472"

  2. Pour chaque <chain_name>, exécutez :

    sudo iptables -D <chain_name> -p tcp -m state --state NEW --dport 17472 -j ACCEPT

  3. Enregistrez vos modifications et redémarrez le service iptables.

    sudo service iptables save

    sudo service iptables restart

Versions 7.x et 8.x

Le tableau suivant répertorie les commandes de gestion des règles de pare-feu pour les versions 7.x et 8.x de CentOS, Oracle Linux et Red Hat Linux.

T :  Tableau 5 : Commandes de pare-feu pour CentOS, Oracle Linux, Red Hat Linux 7.x et 8.x
Tâches Commands
Afficher les règles pour le port 17472 sudo firewall-cmd --list-all-zones | grep 17472
Ajouter ou autoriser le port 17472
  1. Répertoriez les zones.

    sudo firewall-cmd --list-all-zones

  2. Pour chaque <zone_name> pertinent (par exemple, par défaut et là où ssh est présent), exécutez :

    sudo firewall-cmd --permanent --zone=<zone_name> --add-port=17472/tcp

  3. Redémarrez le pare-feu.

    sudo systemctl restart firewalld

Retirer ou refuser le port 17472
  1. Répertoriez les zones.

    sudo firewall-cmd --list-all-zones

  2. Pour chaque <zone_name> pertinent où le port 17472 est présent, exécutez :

    sudo firewall-cmd --permanent --zone=<zone_name> --remove-port=17472/tcp

  3. Redémarrez le pare-feu.

    sudo systemctl restart firewalld

OpenSUSE et SLES

Version 15.x

Le tableau suivant répertorie les commandes de gestion des règles de pare-feu pour les versions 15.x d’OpenSUSE et SUSE Linux Enterprise Server (SLES) :

T :  Tableau 6 : Commandes de pare-feu pour OpenSUSE et SLES 15.x
Tâches Commands
Afficher les règles pour le port 17472 sudo firewall-cmd --list-all-zones | grep 17472
Ajouter ou autoriser le port 17472
  1. Répertoriez les zones.

    sudo firewall-cmd --list-all-zones

  2. Pour chaque <zone_name> pertinent (par exemple, par défaut et là où ssh est présent), exécutez :

    sudo firewall-cmd --permanent --zone=<zone_name> --add-port=17472/tcp

  3. Redémarrez le pare-feu.

    sudo systemctl restart firewalld

Retirer ou refuser le port 17472
  1. Répertoriez les zones.

    sudo firewall-cmd --list-all-zones

  2. Pour chaque <zone_name> pertinent où le port 17472 est présent, exécutez :

    sudo firewall-cmd --permanent --zone=<zone_name> --remove-port=17472/tcp

  3. Redémarrez le pare-feu.

    sudo systemctl restart firewalld

Versions 11.x et 12.x

Le tableau suivant répertorie les commandes de gestion des règles de pare-feu pour les versions 11.x et 12.x d’OpenSUSE et SUSE Linux Enterprise Server (SLES) :

T :  Tableau 7 : Commandes de pare-feu pour OpenSUSE et SLES 11.x et 12.x
Tâches Commands
Afficher les règles pour le port 17472 sudo grep "FW_SERVICES_EXT_TCP=" /etc/sysconfig/SuSEfirewall2 | egrep "[ \"]17472[ \"]"
Ajouter ou autoriser le port 17472
  1. Ouvrez le fichier /etc/sysconfig/SuSEfirewall2 pour l’édition, ajoutez le port 17472 à la ligne FW_SERVICES_EXT_TCP= et enregistrez vos modifications.
  2. Redémarrez le pare-feu.

    sudo SuSEfirewall2 start

Retirer ou refuser le port 17472
  1. Ouvrez le fichier /etc/sysconfig/SuSEfirewall2 pour l’édition, supprimez le port 17472 de la ligne FW_SERVICES_EXT_TCP= et enregistrez vos modifications.
  2. Redémarrez le pare-feu.

    sudo SuSEfirewall2 start

Ubuntu

Le tableau suivant répertorie les commandes de gestion des règles de pare-feu pour Ubuntu 10.04, 14.04, 16.04 et 18.04 LTS :

T :  Tableau 8 : Commandes de pare-feu pour Ubuntu
Tâches Commands
Afficher le statut du port 17472 sudo ufw status | grep 17472

ou

sudo iptables -L -n | grep 17472

Autoriser le port 17472 sudo ufw allow 17472/tcp
Retirer le port 17472 sudo ufw delete allow 17472/tcp
Refuser le port 17472 sudo ufw deny 17472/tcp

Gérer le service Tanium Client sur Linux

Les commandes de service Linux varient en fonction de la distribution Linux. Cette documentation fournit des exemples, mais n’est pas une référence pour chaque distribution Linux. Si vous n’êtes pas déjà familiarisé avec l’installation et la gestion des services sur votre distribution Linux cible, consultez la documentation du système d’exploitation Linux spécifique avant de commencer.

Distributions et versions de Linux Commandes typiques

Versions qui utilisent le Daemon systemd

  • Amazon Linux (toutes les versions prises en charge)

  • Debian (toutes les versions prises en charge)

  • Oracle Linux (version 7 et ultérieures)

  • Red Hat/CentOS (version 7 et ultérieures)

  • SUSE/OpenSUSE (version 12 et ultérieures)

  • Ubuntu (version 16 et ultérieures)

systemctl start taniumclient
systemctl stop taniumclient
systemctl status taniumclient

Versions qui utilisent le Daemon init

  • Oracle Linux (versions 5, 6)

  • Red Hat/CentOS (versions 5, 6)

  • SUSE/OpenSUSE (versions 11.3, 11.4)

  • Ubuntu (version 14)

service taniumclient start
service taniumclient stop
service taniumclient status

Déplacer une installation existante du Tanium Client sous Linux

Le Tanium Client doit stocker les données dans le répertoire d’installation par défaut. Pour cette raison, dans certains environnements, la taille du répertoire /opt/Tanium peut dépasser l’espace autorisé dans le répertoire /opt. S’il n’y a pas suffisamment d’espace dans le répertoire par défaut, utilisez un lien symbolique pour déplacer le client et les données vers un autre répertoire.

  1. Connectez-vous au endpoint à l’aide d’un compte qui dispose de privilèges administratifs, ou qui est répertorié dans le fichier sudoers pour autoriser le compte auquel vous avez recours pour utiliser sudo.
  2. Arrêtez le service Tanium Client. Pour plus d’informations, reportez-vous à la section Gérer le service Tanium Client sur Linux.
  3. Déplacez le Tanium Client vers un nouveau répertoire. Par exemple, pour déplacer le Tanium Client du répertoire d’installation par défaut vers le répertoire /appbin/Tanium, exécutez la commande suivante :

    mv /opt/Tanium /appbin

  4. Créez un lien symbolique. Par exemple, si vous souhaitez utiliser le répertoire /appbin/Tanium, exécutez la commande suivante :

    ln -s /appbin/Tanium /opt/Tanium

  5. Démarrez le service Tanium Client. Pour plus d’informations, reportez-vous à la section Gérer le service Tanium Client sur Linux.

Gérer les étiquettes personnalisées dans le fichier CustomTags.txt

Vous pouvez ajouter un fichier qui contient des étiquettes personnalisées au répertoire d’installation de Tanium Client pour activer l’utilisation des balises afin d’identifier le endpoint dans les workflows Tanium. Par exemple, vous pouvez utiliser la balise Labo pour identifier les endpoints utilisés dans un laboratoire de test. Vous pouvez ensuite poser une question qui utilise le sensor des étiquettes personnalisées et spécifie la balise Labo, ou vous pouvez créer un groupe d’ordinateurs qui sélectionne les ordinateurs en fonction de la balise.

Ajouter des balises au fichier CustomTags.txt

  1. Créez une fichier nommé CustomTags.txt dans le répertoire Tools du répertoire d’installation.

    Lors de l’utilisation du répertoire d’installation par défaut, le chemin est /opt/Tanium/TaniumClient/Tools/CustomTags.txt.

  2. Ouvrez le fichier dans un éditeur de texte et ajoutez des balises sous forme de chaînes. Saisissez une chaîne par ligne et n’utilisez pas d’espaces.
  3. Enregistrer le fichier. Un redémarrage du endpoint ou du service Tanium Client n’est pas requis.

    L’exemple suivant montre un répertoire d’installation de Tanium Client qui inclut une étiquette personnalisée nommée Labo :

Exemple : Utiliser des étiquettes personnalisées pour créer un groupe d’ordinateurs

Après avoir ajouté des étiquettes personnalisées, vous pouvez les utiliser pour créer un groupe d’ordinateurs comme suit.

  1. Dans le menu principal, allez à Administration (Administration) > Management (Gestion) > Computer Groups (Groupes d’ordinateurs) et cliquez sur New Group (Nouveau groupe).
  2. Saisissez un nom pour identifier le groupe.

    Dans Filter Bar (Barre de filtre), utilisez le sensor Custom Tags (Étiquettes personnalisées) pour définir l’appartenance à un groupe, comme illustré à la F : Figure 3.

    F : Figure 9 :  Utilisation de étiquettes personnalisées pour sélectionner un groupe d’ordinateurs
  3. Enregistrez vos modifications.

Vous pouvez utiliser les packages Tanium nommés Custom Tagging - Add Tags (Balises personnalisées - Ajouter des balises) Custom Tagging - Add Tags (Non-Windows) (Balises personnalisées - Ajouter des balises (non-Windows)) pour déployer des balises à l’échelle. Les résultats sont exactement les mêmes que pour la procédure manuelle indiquée ici. Pour plus d’informations, consultez l’article de la Tanium Support Knowledge Base sur les balises personnalisées (compte requis).

Désinstaller le Tanium Client sur Linux

Pour désinstaller le Tanium Client, exécutez l’une des commandes CLI suivantes, en fonction du type de distribution :

  • Distributions Linux basées sur RPM telles que Red Hat ou SUSE :

    rpm -e $(rpm -qa --queryformat "%{NAME}\n"| grep -e '[Tt]anium[Cc]lient')

    Cette commande peut nécessiter sudo, en fonction de l’environnement.

  • Distributions Linux basées sur Debian :

    dpkg -P taniumclient

Gérer le Tanium Client sur Solaris

Sur les endpoints Solaris, le Tanium Client est installé en tant que service système. Les fichiers Tanium Client sont installés par défaut dans le répertoire /opt/Tanium/TaniumClient.

Gérer le service Tanium Client sur Solaris

Pour exécuter des commandes svcadm, vous devez vous connecter au endpoint en tant qu’utilisateur racine ou en tant qu’utilisateur pouvant utiliser l’utilitaire sudo pour exécuter des commandes avec des permissions racines.

Exécutez les commandes répertoriées pour effectuer les actions suivantes :

  • Démarrer le service Tanium Client : svcadm enable taniumclient
  • Arrêter le service Tanium Client : svcadm disable taniumclient
  • Redémarrer le service Tanium Client : svcadm restart taniumclient
  • Afficher le statut du service Tanium Client : svcs taniumclient

Désinstaller le Tanium Client sur Solaris

Pour désinstaller le Tanium Client sur Solaris, exécutez la commande suivante, où l’indicateur -A demande à pkgrm de procéder à la désinstallation dans la zone actuelle uniquement : pkgrm -A TaniumClient

Gérer le Tanium Client sur AIX

Sur les endpoints AIX, le Tanium Client est installé en tant que service système. Le répertoire d’installation par défaut pour les fichiers de Tanium Client est /opt/Tanium/TaniumClient.

Gérer le service Tanium Client sur AIX

Le Tanium Client sur AIX utilise le contrôleur de ressources système (SRC) IBM AIX pour gérer le service client :

  • Démarrer le service Tanium Client : startsrc -s taniumclient
  • Arrêter le service Tanium Client : stopsrc -s taniumclient
  • Vérifier que le service Tanium Client est disponible : lssrc -s taniumclient

Désinstaller le Tanium Client sur AIX

Pour désinstaller le Tanium Client sur AIX, exécutez la commande suivante : installp -u TaniumClient