Resumen de como desinstalar el agente Cortex en una Mac si no tienes el password de desinstalación.
Es necesario abrir un caso con el TAC de Palo Alto, (para consultar como revisar otro articulo en esta base de conocimiento).
O la otra opción es usar la experiencia de usar un desinstalador.
Por lo que sabemos que el sistema operativo de una MAC se asemeja a un unix, se usa un desinstalador de linux en una mac llamado el archivo uninstall.sh , que es un script para borrar ciertos archivos que no se puede con el uninstaller de la Mac porque no tenemos el password de desinstalación.
El procedimiento es el siguiente:
1. Se obtiene el archvo uninstall.sh otorgado por Palo Alto , (cabe aclarar que este metodo a pesar de ser ofrecido por ellos, no se hacen responsables).
2. Una vez obtenido se coloca en el directorio de donde se tiene el instalador original.
Pero antes tienes que validar que exista una carpeta con el siguiente path:
Library/Application Support/PaloAltoNetworks/Traps/bin.
Porque despues para validar que se desinstalo tenemos que validar que ya no tienes ese Traps/bin
3. Después al archivo le das permisos de ejecución con el comando chmod 777
4. Después le das con el comando sudo ./uninstall.sh
5.Te va a preguntar que si quieres desinstalar Traps le tecleas Y para decir que si.
6. Luego te pedirá username y password y solo les das enter y enter
7. Y listo ahí abra parado el demonio que corre Cortex XDR y desaparecerá el icono en la pantalla. Tienes que validar que la carpeta Library/Application Support/PaloAltoNetworks/Traps/bin ya no esté.
8. Con esto tienes que volver a hacer la instalación con el agente instalador bajado de la consola de Cortex XDR y ya se podrá instalar sin problemas si es que así se requiere. En caso de que solo se quiera desinstalar pues con eso es todo.
Esto es lo que el TAC de Palo Alto mando como instrucciones:
To summarize our session, you want to try to uninstall XDR but do not know the uninstall password.
Here is the instructions from chat:
From your macbook air, the folder you have created for XDR has the 7.1.1 installer and the uninstall.sh, you will need to copy to your CEO
2) Launch a Terminal
3) Makes sure the uninstall.sh has read/write/execute
4) run the script as "sudo ./uninstall.sh"
5) Let the script run as it might take a few minutes
6) After the uninstall.sh script finishes, is should return you back to command prompt.
7) Check the following directory to make sure XDR is uninistalled Library/Application Support/PaloAltoNetworks/Traps/bin. Noted on your test laptop, we did not see a Traps subdirectory.
8) Now you in run the installer for 7.1.1
Please let me know if it works.
Kevin Fangonilo | Endpoint Security Support Engineer | America's
Shift Time: 9:00 AM – 6:00 PM PDT | Mon - Fri
Support Contact: US: (866) 898-9087, Outside the US: +1-408-738-7799
Endpoint Knowledge Base : https://live.paloaltonetworks.com/t5/Endpoint/ct-p/Endpoint
Palo Alto Networks | 3000 Tannery Way | Santa Clara, CA 95054, USA
https://support.paloaltonetworks.com/
Y aquí unas pantallas del Proceso en Terminal de la Mac para correr el script de uninstall.sh:
Aquí se ve la imagen de como se valida el Path que no este la carpeta de Traps/bin y que despues de instalar otra vez vuelva a aparecer.
Los permisos que debe tener en Seguridad y Privacidad en Acceso Total al disco:
Y así es como debería verse al final al volver a instalar.
