Resolución de problemas de Sophos Protection para Linux

./SophosSetup.sh: Permiso denegado

Debe añadir el permiso de ejecución a SophosSetup.sh. Ejecute el siguiente comando:

chmod +x SophosSetup.sh

Ejecute este instalador con derechos de root

Debe ejecutar SophosSetup.sh con derechos de root. Utilice el comando sudo o cambie al usuario raíz.

Se ha encontrado una instalación existente de SAV en /opt/sophos-av/. Este producto no se puede utilizar junto con Sophos Anti-Virus

Debe eliminar Sophos Anti-Virus para Linux antes de instalar SPL.

La instalación de SPL fallará; no se puede instalar en '<path>'.

La instalación fallará si hace referencia a un enlace simbólico. Debe volver a ejecutar el instalador con el comando --install-dir y usar la ruta al directorio donde apunta el enlace simbólico.

No se puede establecer la conexión con Sophos Central. Compruebe su conexión de red.

Su equipo Linux debe poder conectarse a Internet y debe permitirse el tráfico a todos los dominios de Sophos Central para poder instalar Sophos Protection Agent para Linux. Consulte Dominios y puertos que permitir.

La instalación de SPL fallará porque no se pudo establecer una conexión con Sophos Central

Las comprobaciones previas a la instalación de Sophos fallarán si curl no está instalado en el dispositivo Linux. Instale curl e inténtelo de nuevo. Es posible que también vea los siguientes mensajes:

• La instalación de SPL fallará porque no se pudo establecer una conexión con el servidor SUS
• La instalación de SPL fallará porque no se pudo establecer una conexión con un servidor CDN

No se ha podido conectar con el repositorio: error:

Sus dispositivos Linux están asignados a un paquete de software que ha sido retirado. Cambie su política Gestión de actualizaciones y asigne sus dispositivos Linux a un paquete de software actual. Consulte Política Gestión de actualizaciones de servidores.

Error de instalación porque setcap no está instalado

Cuando falta el paquete libcap en el servidor Linux, el complemento antivirus de Sophos Protection para Linux no se instala y cada hora sigue intentando la instalación. El registro de instalación muestra los siguientes errores:

497 [2021-08-31T10:51:09.950] INFO [2080044800] suldownloaderdata <> Installing product: ServerProtectionLinux-Plugin-AV version: 1.0.2.93
736 [2021-08-31T10:51:10.189] INFO [2080044800] suldownloaderdata <> which: no setcap in (/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin)
Failed to install as setcap is not installed, please see https://support.sophos.com/support/s/article/KBA-000007609

736 [2021-08-31T10:51:10.189] ERROR [2080044800] suldownloaderdata <> Installation failed
736 [2021-08-31T10:51:10.189] INFO [2080044800] suldownloaderdata <> Downloaded Product line: 'ServerProtectionLinux-Plugin-EDR' is up to date.
740 [2021-08-31T10:51:10.193] WARN [2080044800] suldownloaderdata <> Update failed, with code: 103
740 [2021-08-31T10:51:10.193] INFO [2080044800] suldownloaderdata <> Generating the report file in: /opt/sophos-spl/base/update/var/updatescheduler

Ejecute uno de los siguientes comandos en función de su distribución de Linux:

• Linux basado en Debian: apt install libcap2-bin
• RHEL, CentOS, Amazon Linux: yum install libcap
• SLES: zypper install libcap-progs

Componentes que no se ejecutan o no se instalan.

Si falta un producto, asegúrese de tener la licencia correcta para el producto que falta.

Si el producto está instalado pero no se está ejecutando, compruebe los registros de los componentes pertinentes. Para ello, haga lo siguiente:

• Compruebe el registro para el componente afectado en /opt/sophos-spl/plugins/<plugin name>/log.
• Compruebe el registro de instalación para el componente relevante en /opt/sophos-spl/logs/installation/<component>_install.log.
• Compruebe el registro del guardián para ver si un componente no se ha podido iniciar en /opt/sophos-spl/logs/base/watchdog.log.

Uso de CPU elevado después de instalar SPL

Compruebe si tiene fapolicyd en su dispositivo Linux. Se admite la ejecución de fapolicyd y SPL juntos, pero se sabe que provoca un uso elevado de CPU y otros problemas si no se configura correctamente. Haga lo siguiente para añadir una regla a fapolicyd para permitir que funcione junto con SPL:

1. Detenga el agente SPL.

2. Cree un nuevo archivo en /etc/fapolicyd/rules.d/ con el nombre 22-sophos.rules.

   El nombre del archivo es muy importante, ya que debe seguir la convención de nomenclatura para que las reglas funcionen con fapolicyd para la actividad crítica del sistema. Consulte Configurar el daemon de la política de acceso a los archivos.

3. Añada el siguiente contenido al archivo:

   allow dir=/opt/sophos-spl/ all : ftype=application/x-sharedlib
   allow dir=/opt/sophos-spl/ all : ftype=application/x-executable
   allow dir=/opt/sophos-spl/ all : ftype=text/x-python
   allow perm=execute dir=/opt/sophos-spl/ : all
   

4. Reinicie fapolicyd.

5. Inicie el agente SPL.

Falla la instalación en un directorio personalizado.

La instalación de SPL falla cuando se usa --install-dir para cambiar el directorio de instalación si el directorio /sophos-spl ya existe en esa ubicación o SPL está instalado en otra ubicación en el dispositivo Linux. Para resolver el problema, elimine el directorio /sophos-spl o desinstale SPL y vuelva a intentarlo.

Si está ejecutando SELinux en modo forzado (enforcing) e instala SPL en un directorio personalizado distinto de /opt, es posible que vea el siguiente error al intentar instalar SPL en un directorio personalizado:

sophos-spl.service: No se ha podido ejecutar el comando: Permiso denegado

Debe realizar los siguientes pasos para añadir un registro del nuevo directorio a la política SELinux que incluya las mismas reglas que existen para /opt:

1. Cree el directorio de instalación que desea utilizar.
2. Ejecute el siguiente comando reemplazando <path_to_new_directory> con la ruta de acceso al nuevo directorio de instalación.

semanage fcontext -a -e /opt <ruta_a_nuevo_directorio>

No iniciado: Sophos Linux Runtime Detections

Puede ver este mensaje de error con un estado de seguridad en rojo en sus dispositivos Linux debido a uno de los siguientes escenarios:

• El complemento Runtime Detections (RTD) no se está ejecutando. Esto puede suceder por muchas razones, como cuando está instalado en un servidor que ejecuta un kernel antiguo o no compatible.
• El complemento RTD ha detectado un problema con una regla o un conjunto de reglas. En este caso, el complemento RTD sigue ejecutándose y todas las demás reglas están activas, pero Sophos Central muestra un estado de seguridad en rojo para alertarle del problema y así poder investigar.

No iniciado: Programador de actualizaciones

Cuando se inicia el agente SPL, el programador de actualizaciones intenta descargar la política desde Sophos Central. Si el agente SPL no puede establecer contacto con Sophos Central o la descarga de la política falla, verá este mensaje de error con el estado de seguridad en rojo en Sophos Central.

Las consultas de endpoint de Live Discover solo devuelven datos durante un breve periodo.

De forma predeterminada, el tamaño de los diarios de eventos en sus dispositivos les permite almacenar unos 90 días de actividad. Si las consultas de endpoint de Live Discover devuelven menos datos, es posible que deba aumentar el tamaño de los diarios de eventos de sus dispositivos. Consulte Diarios de eventos.