【牧云】牧云（CloudWalker）主机安全管理平台探针安装常见问题处理

1. 网络问题

执行安装脚本后，很长时间都没有反应，并且输出类似这样的报错

context deadline exceeded
error while requesting identity

这种情况一般都是网络问题，如果是在线安装，那么探针到管理端 http(80) 端口通讯应该是没有问题的，需要排查一下到 grpc(50051) 端口是否能通。比如通过 chrome 访问管理端 [ip]:50051 看看是否会有如下报错：

或者通过 curl 访问看是否会输出如下的日志（如果机器上ssl库有问题可能不会输出这些提示，可以综合响应时间来判断，正常情况会立刻输出这个提示）

$ curl -k https://172.21.151.129:50051
curl: (35) gnutls_handshake() failed: Error in protocol version

2. 身份申请问题

探针在安装过程中，会通过安装脚本内置的 CA 证书和安装时提供的 token，向服务端申请探针身份。

如果 CA 证书不匹配，会输出 installing from another ca 的错误提示，请检查使用的安装脚本是不是从这个服务端下载的

如果 Token 过期或者无效，会输出 error while requesting identity，此时安装命令加 -v 会看到日志末尾有 check token failed 的日志 ，如图所示

3. Linux 环境常见问题

探针安装模式选择失败，输出 $NAME cannot be installed under auto mode

检查是否没有 which 命令，手动安装一下

部分用户的机器可能做过加固（包括但不限于配置、其它安全软件），可能会拦截探针安装时对系统的更改，比如

拦截创建用户/组（e.g.: chattr +i passwd shadow group gshadow）
拦截向 /usr/bin 写入文件
此时需要解除相关限制，或让用户在其它产品的策略对下列操作加白名单

探针端运行：
- /usr/bin/ 读、写、执行
- /etc/cloudwalker-agent/ 读、写、执行
 
探针端安装：
- /usr/bin/ 读、写、执行
- /etc/cloudwalker-agent/ 读、写、执行
- /tmp 读、写
- /run 读、写
- /etc/passwd (其他命令间接修改，需要有写入权限)

另外也需要确保探针运行时对其他文件（包括恶意文件）的读取不被拦截，避免样本无法上传检测

由于其他安全软件拦截，导致探针文件安装不完整，使用reinstall命令重装时报错：Error: open /etc/cloudwalker-agent/config.yml: no such file or directory 解决办法：需要删除不完整的牧云探针文件即可，如

/etc/cloudwalker-agent
/usr/bin/cloudwalker-upgrader
/run/.cloudwalker*
/var/run/cloudwalker-agent*

探针安装时报错open /proc/XXXX/stat: no such file or directory

用户的 procfs 加了 hidepid=2导致的，遇到类似情况可以选择用 service-root 模式安装，在部署命令后面加-m service-root

curl -kfsSL http://$ip/api/agent/script | sh -s -- --token 96cd9d5dcae1997a632ddeebef109dcf -m service-root

探针安装时报错 Error: readlink /proc/self/exe: permission denied

还是权限不够使用-m service-root进行部署

4. Windows 环境常见问题

管理端生成的POWERSHELL安装命令在CMD中执行会报错，改为CMD中执行即可

POWERSHELL运行安装命令，提示“在此系统上禁止运行脚本”，需要修改系统脚本执行策略

输入get-executionpolicy,获取当前执行策略
输入set-executionpolicy remotesigned选“Y”修改当前执行策略

• Restricted 执行策略不允许任何脚本运行。 > - AllSigned 和 RemoteSigned 执行策略可防止 Windows PowerShell 运行没有数字签名的脚本。 >

Windows 探针如果之前没有安装成功，重装时可能会存在残留，导致安装失败，需要手动删除安装目录：

%ProgramData%\Chaitin\CloudWalker
%ProgramFiles%\Chaitin\CloudWalker

Windows 机器上安装了其它杀毒软件，探针下载完 upgrader 改名时可能会碰到文件被杀毒软件占用，改名不成功导致安装失败。

安装命令 & 的前半句是下载脚本，后半句是安装，先执行前半句下载安装脚本到本地
然后用记事本打开，找到大概 310 行位置有一个 MOVE 的改名命令，将 MOVE 改为 COPY

保存之后，执行后半句命令重装即可

Windows 2016/2019 使用cmd安装命令时被defender拦截

使用 Powershell 命令进行安装

如果 powershell 拒绝执行安装脚本，提示脚本没有签名，那么需要在 .\Chaitin-CloudWalker.ps1 前面加上 powershell -ep bypass

Windows server 2003 不支持命令安装，只能通过安装包安装，如果安装包安装报错可以尝试将安装包解压后执行install.bat 注：需注意系统架构，如果是32位的系统需要使用高级模式选择i386

Windows server 2008 安装提示系统找不到指定路径 查看报错为%TEMP%路径没有找到，核对环境变量没有异常，但是脚本安装的过程中报错为%TEMP%/2/这个路径，实际不存在所以报错 临时解决方法，手动指定%TEMP%路径，或者在%TEMP%下创建名为2的目录，应该是用户配置了组策略，系统给%TEMP%加了\2，后面脚本兼容下

客户使用 administrator 的域账户安装探针提示需要 administrator 特权

解决方法：使用 powershell 进行安装即可

windows 系统连接数用完导致无法下载探针