檢視次數:
在安裝代理程式之前,請檢查軟體 .zip 套件和安裝程式檔案上的數位簽章。正確的數位簽章表示該軟體確實來自趨勢科技,且未被損壞或篡改。
您也可以驗證軟體的校驗和和數位簽章,以確保安全更新和代理模組的安全性。請參閱 如何Server & Workload Security保護驗證更新完整性
相關資訊

檢查軟體 .zip 套件上的簽章

趨勢科技 提供 Deep Security Agent 和線上說明的 .zip 套件。這些套件是數位簽章的。您可以通過以下方式檢查 .zip 文件上的數位簽章:

從管理器匯出 .zip

步驟

  • 按照匯出代理程式安裝程式中的說明匯出 .zip 檔案。
    在匯出時,Server & Workload Security保護 會檢查 .zip 檔案上的數位簽章。
    • 如果簽章有效,Server & Workload Security保護 允許繼續匯出。
    • 如果簽章不正確或不存在,Server & Workload Security保護 將禁止該操作、刪除該檔案並記錄事件。

查看 .zip 檔案的屬性

步驟

  1. 登入Server & Workload Security保護
  2. 點選 Administration 在頂部。
  3. 選擇Updates Software Local
  4. 找到並雙擊您想要檢查其數位簽章的 .zip 套件。
    Properties 的 .zip 檔案打開,管理員檢查數位簽章。
    如果簽章有效,您會在簽章中看到綠色勾號。
    如果簽章不正確或不存在,管理員將刪除 .zip 並記錄事件。

使用 jarsigner

當您無法通過管理器檢查簽章時,請使用 jarsigner Java 工具檢查 .zip 檔案上的簽章。例如,您想從 Deep Security 軟體 頁面手動安裝代理程式 .zip 套件。在這種情況下,您將使用 jarsigner 工具,因為管理器未參與其中。

步驟

  1. 安裝最新的Java 開發工具包 (JDK)
  2. 使用 JDK 中的 jarsigner 工具 來檢查簽章。命令是:
    jarsigner -verify -verbose -certs -strict <.zip_file>
    jarsigner -verify -verbose -certs -strict Agent-RedHat_EL7-11.2.0-124.x86_64.zip
  3. 檢查任何錯誤以及憑證的內容,以確定是否信任該簽章。

檢查安裝程式檔案(.exe、.msi、.rpm 或 .deb)上的簽章

趨勢科技 使用 Rivest–Shamir–Adleman (RSA) 公鑰加密系統來對 Deep Security Agent 和 Deep Security Notifier 的安裝程式進行數位簽名。安裝程式在 Windows 上是 .exe 或 .msi 檔案,在 Linux 作業系統 (Amazon、CloudLinux、Oracle、Red Hat 和 SUSE) 上是 .rpm 檔案,或在 Debian 和 Ubuntu 上是 .deb 檔案。
以下程序描述了如何手動檢查安裝程式檔案上的數位簽章。要自動執行此檢查,請將其包含在您的代理部署腳本中。
請按照與您要檢查的安裝程式檔案類型相對應的指示進行操作。

檢查 .exe 或 .msi 檔案上的簽章

步驟

  1. 右鍵點選 .exe 或 .msi 檔案,然後選擇 Properties
  2. 點選Digital Signatures以檢查簽章。

檢查 .rpm 檔案上的簽章

與其手動檢查 .rpm 檔案上的簽章,不如考慮使用部署程式檔。否則,請繼續以下步驟。

步驟

  1. 在您打算檢查簽章的代理電腦上安裝 GnuPG (GPG)。此工具包含用於匯入簽署金鑰和檢查數位簽章的 GPG 命令行工具。GPG 在大多數 Linux 發行版中預設安裝。
  2. 在 .zip 檔案的根目錄中找到 3trend_public.asc 檔案。該 .asc 檔案包含用於驗證數位簽章的 GPG 公開簽署金鑰。
  3. 使用雜湊工具驗證 .asc 檔案的 SHA-256 雜湊摘要。
    • 代理版本 20.0.0-2971 或更高版本的哈希值為:
      bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae
    • 代理版本 20.0.0-2593 或更早版本的哈希值為:
      c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7
  4. 匯入 .asc 檔案:
    gpg --import 3trend_public.asc
    出現類似以下的訊息:
    gpg: directory '/home/build/.gnupg' created
gpg: new configuration file '/home/build/.gnupg/gpg.conf' created
gpg: WARNING: options in '/home/build/.gnupg/gpg.conf' are not yet active during this run
gpg: keyring '/home/build/.gnupg/secring.gpg' created
gpg: keyring '/home/build/.gnupg/pubring.gpg' created
gpg: /home/build/.gnupg/trustdb.gpg: trustdb created
gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
  5. 從 ASC 檔案匯出 GPG 公開簽名金鑰:
    gpg --export -a '趨勢科技' > .rpm-GPG-KEY-CodeSign
  6. 將 GPG 公開簽名金鑰匯入 .rpm 資料庫:
    sudo rpm --import .rpm-GPG-KEY-CodeSign
  7. 驗證導入 GPG 公共簽名密鑰:
    rpm -qa gpg-pubkey*
    已匯入的 GPG 公鑰指紋顯示。您已匯入簽署金鑰,並可用來檢查代理 .rpm 檔案上的數位簽章。
    • 趨勢科技代理版本 20.0.0-3180 或更高版本的密鑰是 gpg-pubkey-e1051cbd-659d0a3e
    • 代理程式版本 20.0.0-2593 或更早版本的趨勢科技金鑰是 gpg-pubkey-e1051cbd-5b59ac99
  8. Agent-**PGP**Core-<...>.rpm 上執行此命令。
    rpm -K Agent-PGPCore-<OS agent version>.rpm
    rpm -K Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm
    如果 Agent-PGPCore-<...>.rpm 不在代理 .zip 檔案中,請取得以下其中一個 .zip 檔案:
    • Deep Security Agent 11.0 更新 15 或更高版本
    • Deep Security Agent 12 更新 2 或更高版本
    • Deep Security Agent 20 或更高版本
    成功的簽章驗證會顯示以下訊息:
    Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm:rsa sha1 (md5) pgp md5 正常

檢查 DEB 檔案上的簽章

與其手動檢查 .deb 檔案上的簽章,不如考慮使用部署程式檔。否則,請繼續以下步驟。

步驟

  1. 安裝 dpkg-sig 工具。此工具包含 GPG 命令行工具,用於導入簽署密鑰和檢查數位簽章。
  2. 在 .zip 檔案的根目錄中找到 3trend_public.asc。該 .asc 檔案包含用於驗證數位簽章的 GPG 公開簽名金鑰。
  3. 使用雜湊工具驗證 .asc 檔案的 SHA-256 雜湊摘要。
    • 代理版本 20.0.0-2593 或更早版本的哈希值為:
      c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7
    • 代理版本 20.0.0-2971 或更高版本的哈希值為:
      bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae
  4. 將 .asc 檔案匯入 GPG 金鑰環:
    gpg --import 3trend_public.asc
    出現類似以下的訊息:
    gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
  5. 顯示趨勢科技的關鍵資訊:
    gpg --list-keys
    出現類似以下的訊息:
    /home/user01/.gnupg/pubring.gpg
-------------------------------
pub 2048R/E1051CBD 2018-07-26 [expires: 2021-07-25]
uid Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>
sub 2048R/202C302E 2018-07-26 [expires: 2021-07-25]
  6. 驗證 .deb 檔案上的簽章:
    dpkg-sig --verify <agent_deb_file>
    其中 <agent_deb_file> 是代理 .deb 文件的名稱和路徑
    dpkg-sig --verify Agent-Core-Ubuntu_16.04-12.0.0-563.x86_64.deb
    出現類似以下的處理訊息:
    正在處理 Agent-Core-Ubuntu_16.04-12.0.0-563.x86_64.deb...
    如果簽章已驗證,將顯示以下訊息:
    GOODSIG _gpgbuilder CF5EBBC17D8178A7776C1D365B09AD42E1051CBD 1568153778