Résolution de problèmes dans Sophos Protection for Linux
Cette page explique comment résoudre les problèmes usuels dans Sophos Protection for Linux (SPL).
Erreurs d’installation
Conseil
Si vous avez besoin de plus d’informations sur une erreur, activez le niveau de journalisation Déboguer et exécutez à nouveau le programme d’installation. Voir Déboguer le programme d’installation léger.
./SophosSetup.sh : Autorisation refusée
Vous devez ajouter l’autorisation « execute » à SophosSetup.sh. Exécutez la commande suivante :
chmod +x SophosSetup.sh
Veuillez exécuter ce programme d’installation en tant que root
Vous devez exécuter SophosSetup.sh avec des privilèges root. Utilisez la commande sudo
ou passez à l’utilisateur root.
Installation existante de SAV dans /opt/sophos-av/. Ce produit ne peut pas être exécuté avec Sophos Anti-Virus
Veuillez exécuter SophosSetup.sh avec --uninstall-sav
pour supprimer Sophos Anti-Virus for Linux pendant l’installation de l’agent Sophos Protection for Linux.
L'installation de SPL va échouer : impossible d’installer 'path>'.
L'installation ne pourra pas être effectuée si vous référencez un lien symbolique. Réexécutez programme d’installation avec la commande --install-dir
et utilisez le chemin d'accès au répertoire vers lequel pointe le lien symbolique.
Impossible de se connecter à Sophos Central - vérifiez vos connexions réseau
Votre machine Linux doit pouvoir se connecter à Internet et le trafic vers tous les domaines Sophos Central doit être autorisé avant que vous puissiez installer l’agent Sophos Protection for Linux. Voir Domaines et ports à autoriser.
L’installation de SPL est impossible car une connexion à Sophos Central n’a pas pu être établie
Les vérifications préalables à l’installation effectuées par Sophos seront impossibles si curl
n’est pas installé sur l’appareil Linux. Installez curl
et réessayez. Vous pouvez également voir les messages suivants :
- L’installation de SPL est impossible car la connexion au serveur SUS n’a pas pu être établie
- L’installation de SPL est impossible car une connexion à un serveur CDN n’a pas pu être établie
Échec de connexion au répertoire : erreur :
Vos appareils Linux sont assignés à un package logiciel qui a été retiré du marché. Modifiez votre stratégie de gestion des mises à jour et assignez vos appareils Linux à un package logiciel valide. Voir Stratégie de gestion des mises à jour serveurs.
Composants non exécutés ou dont l’installation a échoué.
Si un produit est manquant, assurez-vous tout d’abord d’avoir la licence le concernant.
Si le produit a été installé mais ne fonctionne pas, vérifiez les journaux des éléments en question. Procédez comme suit :
- Consultez le journal du composant concerné ici :
/opt/sophos-spl/plugins/<plugin name>/log
. - Vérifiez le journal d'installation du composant concerné ici :
/opt/sophos-spl/logs/installation/<component>_install.log
. - Vérifiez le journal de surveillance pour voir si un composant n'a pas pu démarrer ici :
/opt/sophos-spl/logs/base/watchdog.log
.
Résolution des problèmes relatifs aux contrôles en temps réel
Le contrôle en temps réel ne fonctionne pas.
Dans Sophos Central, vérifiez les paramètres suivants dans la stratégie de protection contre les menaces de votre serveur :
- Assurez-vous que la fonction Contrôle en temps réel - Fichiers locaux et partages réseau est activée.
- Assurez-vous que la fonction Activer le contrôle pour Server Protection for Linux Agent est activée.
Sur votre appareil Linux, vérifiez les éléments suivants :
- Les valeurs de
onRead
et deonWrite
dans/opt/sophos-spl/base/mcs/policy/CORC_policy.xml
sont définies surtrue
. - Les valeurs de
onOpen
et deonClose
dans/opt/sophos-spl/plugins/av/var/on_access_policy.json
sont définies surtrue
. -
Vérifiez
/opt/sophos-spl/plugins/av/log/soapd.log
. Si l’un des messages suivants apparaît, le contrôle associé est désactivé :soapd_bootstrap <> Scanning on-open disabled
soapd_bootstrap <> Scanning on-close disabled
av.log
shows "av
SPL a détecté une menace mais n’a pas réussi à mettre le fichier en quarantaine. Vérifiez /opt/sophos-spl/plugins/av/log/safestore.log
pour la détection. Le message suivant indique que SPL ne peut pas mettre le fichier en quarantaine :
safestore <> File at location: [PATH_TO_DETECTION] is immutable. Will not quarantine.
Les fichiers immuables ont un groupe de drapeaux indiquant que le fichier ne peut pas être modifié, déplacé, supprimé ou remplacé, même pas par l’utilisateur racine.
Résolution des problèmes de détections runtime
Les détections runtime ne fonctionnent pas
Allez dans Mes produits > Server > Stratégies et procédez comme suit :
- Vérifiez la stratégie de Protection contre les menaces de votre appareil Linux et assurez-vous que la fonction Détections runtime Linux est activée. Voir Protection runtime.
- Vérifiez la stratégie de détection runtime Linux de votre appareil Linux et assurez-vous que l’option Activer la Détection runtime Linux est activée.
Allez dans Mes produits* > Cloud Native Security > Profils et vérifiez les points suivants :
- Assurez-vous que le profil de détection runtime Linux de la stratégie Linux correspondante contient une règle s’appliquant aux détections manquées. Voir Configuration avancée du profil de détection runtime Linux.
- Assurez-vous que la règle dans votre profil de détection runtime Linux est activée. Voir Détails de la règle.
La Version de contenu dans Sophos Central a un numéro de compilation différent de celui de la version rtd_content_version
affichée sur un appareil Linux.
Il est possible que la Version du contenu soit toujours à jour, même si le numéro de compilation est différent. Voir Version de contenu.
Dépannage du plug-in AV
La commande systemctl status sophos-spl
retourne /opt/sophos-spl/plugins/av/sbin/sophos_Threat_Detector_Launcher mort avec 64
.
SPL affiche également un état d’intégrité rouge dans Sophos Central accompagné du message « Non démarré : Sophos Linux AntiVirus ».
SPL est installé sur une distribution Linux ou un noyau qui ne supporte pas les fonctionnalités ambiantes. Retrouvez plus de renseignements sur la configuration système requise dans les Notes de publication de Sophos Protection pour Linux.
av.log
shows "av
SPL affiche également un état d’intégrité rouge dans Sophos Central accompagné du message « Non démarré : Sophos Linux AntiVirus ».
SPL ne prend pas en charge l’exécution avec hidepid=1
ou hidepid=2
sur Ubuntu 20.04 et Ubuntu 22.04. Modifiez /etc/vfstab
et supprimez l’option hidepid
de la ligne de montage.
Résolution des problèmes d’isolement de l’appareil
Comment accéder à un appareil Linux isolé ?
Nous vous conseillons d’activer Autoriser les connexions Live Response aux serveurs. Cette option vous permet d’utiliser Live Response pour vous connecter à tous les serveurs pris en charge sur votre réseau. Voir Activer Live Response pour serveurs. Les super administrateurs Sophos Central ou les rôles qui incluent la fonction « Démarrer des sessions Live Response sur les serveurs » peuvent démarrer des sessions Live Response avec des appareils Linux isolés.
Si vous avez besoin d’accéder à un appareil Linux isolé par un moyen autre que Sophos Central, vous devrez utiliser des exclusions pour autoriser les services nécessaires à accéder à l’appareil. Voir Exclusions de l’isolement de l’appareil.