Problembehebung zu Sophos Protection for Linux

./SophosSetup.sh: Erlaubnis verweigert

Sie müssen die Berechtigung „Execute“ zu SophosSetup.sh hinzufügen. Geben Sie folgendes Kommando ein:

chmod +x SophosSetup.sh

Führen Sie dieses Installationsprogramm als root aus

Sie müssen SophosSetup.sh mit root-Berechtigungen ausführen. Verwenden Sie den sudo-Befehl oder wechseln Sie zum root-Benutzer.

Es wurde eine vorhandene Installation von SAV in /opt/sophos-av/ gefunden. Dieses Produkt kann nicht zusammen mit Sophos Anti-Virus verwendet werden

Sie müssen Sophos Anti-Virus for Linux entfernen, bevor Sie SPL installieren.

SPL-Installation schlägt fehl, Installation in '<path>' kann nicht durchgeführt werden.

Die Installation schlägt fehl, wenn Sie einen Symlink referenzieren. Sie müssen das Installationsprogramm mit dem --install-dir-Befehl erneut ausführen und den Pfad zu dem Verzeichnis verwenden, auf das der Symlink verweist.

Verbindung zu Sophos Central kann nicht hergestellt werden – bitte überprüfen Sie Ihre Netzwerkverbindungen

Ihre Linux-Maschine muss in der Lage sein, eine Verbindung zum Internet herzustellen und Datenverkehr zu allen Sophos Central-Domänen muss zugelassen sein, bevor Sie SPL installieren können. Siehe Zuzulassende Domänen und Ports.

SPL-Installation schlägt fehl, da keine Verbindung zu Sophos Central hergestellt werden konnte

Die Überprüfung der Installationsvoraussetzungen von Sophos schlagen fehl, wenn curl nicht auf dem Linux-Gerät installiert sind. Installieren Sie curl und versuchen Sie es erneut. Unter Umständen sehen Sie zudem die folgenden Nachrichten:

• Die SPL-Installation schlägt fehl, da keine Verbindung zum SUS-Server hergestellt werden konnte
• Die SPL-Installation schlägt fehl, da keine Verbindung zu einem CDN-Server hergestellt werden konnte

Verbindung zum Repository konnte nicht hergestellt werden: Fehler:

Ihre Linux-Geräte sind einem Softwarepaket zugewiesen, das eingestellt wurde. Ändern Sie Ihre Update-Management-Richtlinie und weisen Sie Ihre Linux-Geräte einem aktuellen Softwarepaket zu. Siehe Server-Update-Management-Richtlinie.

Installation fehlgeschlagen, da setcap nicht installiert ist

Wenn das libcap-Paket auf dem Linux-Server fehlt, kann das Sophos Protection for Linux-Antivirus-Plugin nicht installiert werden und versucht die Installation stündlich erneut. Das Installationsprotokoll zeigt die folgenden Fehler an:

497 [2021-08-31T10:51:09.950] INFO [2080044800] suldownloaderdata <> Installing product: ServerProtectionLinux-Plugin-AV version: 1.0.2.93
736 [2021-08-31T10:51:10.189] INFO [2080044800] suldownloaderdata <> which: no setcap in (/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin)
Failed to install as setcap is not installed, please see https://support.sophos.com/support/s/article/KBA-000007609

736 [2021-08-31T10:51:10.189] ERROR [2080044800] suldownloaderdata <> Installation failed
736 [2021-08-31T10:51:10.189] INFO [2080044800] suldownloaderdata <> Downloaded Product line: „ServerProtectionLinux-Plugin-EDR“ ist auf dem neuesten Stand.
740 [2021-08-31T10:51:10.193] WARN [2080044800] suldownloaderdata <> Update failed, with code: 103
740 [2021-08-31T10:51:10.193] INFO [2080044800] suldownloaderdata <> Generating the report file in: /opt/sophos-spl/base/update/var/updatescheduler

Führen Sie einen der folgenden Befehle basierend auf Ihrer Linux-Distribution aus:

• Debian-basiertes Linux: apt install libcap2-bin
• RHEL, CentOS, Amazon Linux: yum install libcap
• SLES: zypper install libcap-progs

Komponenten werden nicht ausgeführt oder können nicht installiert werden.

Wenn ein Produkt fehlt, stellen Sie sicher, dass Sie über die richtige Lizenz für das fehlende Produkt verfügen.

Wenn das Produkt installiert, aber nicht ausgeführt wird, prüfen Sie die Protokolle für die entsprechenden Komponenten. Gehen Sie dazu wie folgt vor:

• Prüfen Sie das Protokoll für die betroffene Komponente unter /opt/sophos-spl/plugins/<plugin name>/log.
• Prüfen Sie das Installationsprotokoll für die entsprechende Komponente unter /opt/sophos-spl/logs/installation/<component>_install.log.
• Prüfen Sie das Watchdog-Protokoll, um festzustellen, ob eine Komponente unter /opt/sophos-spl/logs/base/watchdog.log nicht gestartet werden konnte.

Hohe CPU-Auslastung nach Installation von SPL

Überprüfen Sie, ob Sie fapolicyd auf Ihrem Linux-Gerät installiert haben. Die gemeinsame Ausführung von fapolicyd und SPL wird unterstützt, aber es ist bekannt, dass dies bei nicht ordnungsgemäßer Konfiguration zu hoher CPU-Auslastung und anderen Problemen führt. Gehen Sie wie folgt vor, um eine Regel zu fapolicyd hinzuzufügen, damit sie mit SPL zusammenarbeiten kann:

1. Stoppen Sie den SPL-Agent.

2. Erstellen Sie eine neue Datei unter /etc/fapolicyd/rules.d/ mit dem Namen 22-sophos.rules.

   Der Dateiname ist sehr wichtig, da er die Benennungsregeln befolgen muss, damit Regeln fapolicyd für systemkritische Aktivitäten umgehen können. Siehe File Access Policy Daemon konfigurieren.

3. Fügen Sie der Datei den folgenden Inhalt hinzu:

   allow dir=/opt/sophos-spl/ all : ftype=application/x-sharedlib
   allow dir=/opt/sophos-spl/ all : ftype=application/x-executable
   allow dir=/opt/sophos-spl/ all : ftype=text/x-python
   allow perm=execute dir=/opt/sophos-spl/ : all
   

4. Starten Sie fapolicyd neu.

5. Starten Sie den SPL-Agent.

Die Installation in ein benutzerdefiniertes Verzeichnis schlägt fehl.

Die SPL-Installation schlägt fehl, wenn Sie anhand von --install-dir das Installationsverzeichnis ändern möchten. Dies geschieht, wenn das /sophos-spl-Verzeichnis bereits an diesem Speicherort vorhanden ist oder SPL an einem anderen Speicherort auf dem Linux-Gerät installiert ist. Um dieses Problem zu beheben, löschen Sie das /sophos-spl-Verzeichnis oder deinstallieren Sie SPL. Versuchen Sie es dann erneut.

Wenn Sie SELinux im Durchsetzungsmodus ausführen und SPL in einem anderen benutzerdefinierten Verzeichnis als /opt installieren, wird möglicherweise der folgende Fehler angezeigt, wenn Sie versuchen, SPL in einem benutzerdefinierten Verzeichnis zu installieren:

sophos-spl.service: Befehl konnte nicht ausgeführt werden: Erlaubnis verweigert

Führen Sie die folgenden Schritte aus, um einen Datensatz des neuen Verzeichnisses zur SELinux-Richtlinie hinzuzufügen, der die gleichen Regeln enthält wie für /opt:

1. Erstellen Sie das Installationsverzeichnis, das Sie verwenden möchten.
2. Führen Sie den folgenden Befehl aus und ersetzen <path_to_new_directory> durch den Pfad zum neuen Installationsverzeichnis.

semanage fcontext -a -e /opt <path_to_new_directory>

Nicht gestartet: Sophos Linux Runtime Detections

Diese Fehlermeldung wird möglicherweise mit einem roten Integritätsstatus auf Ihren Linux-Geräten angezeigt, wenn eines der folgenden Szenarien vorliegt:

• Das RTD-Plug-in (Runtime Detections) wird nicht ausgeführt. Dies kann aus vielen Gründen geschehen, z. B. wenn es auf einem Server installiert ist, auf dem ein älterer oder nicht unterstützter Kernel ausgeführt wird.
• Das RTD-Plug-in hat ein Problem mit einer Regel oder einem Regelsatz festgestellt. In diesem Fall wird das RTD-Plug-in noch ausgeführt und alle anderen Regeln sind aktiv, aber Sophos Central zeigt einen roten Integritätsstatus an, um Sie auf das Problem aufmerksam zu machen, damit Sie es untersuchen können.

Nicht gestartet: Update-Planer

Wenn der SPL-Agent startet, versucht der Update-Planer, die Richtlinie von Sophos Central herunterzuladen. Wenn der SPL-Agent Sophos Central nicht kontaktieren kann oder der Richtlinien-Download fehlschlägt, wird diese Fehlermeldung mit rotem Integritätsstatus in Sophos Central angezeigt.

Live Discover Endpoint-Abfragen geben nur für kurze Zeit Daten zurück

Standardmäßig ermöglicht die Größe der Ereignisprotokolle auf Ihren Geräten die Speicherung von ca. 90 Tagen Aktivität. Wenn Live Discover-Endpoint-Abfragen weniger Daten zurückgeben, müssen Sie möglicherweise die Event Journals auf Ihren Geräten vergrößern. Siehe Event Journals.