Résolution des problèmes de Sophos Protection for Linux

./SophosSetup.sh : Autorisation refusée

Vous devez ajouter l’autorisation « execute » à SophosSetup.sh. Exécutez la commande suivante :

chmod +x SophosSetup.sh

Veuillez exécuter ce programme d’installation en tant que root

Vous devez exécuter SophosSetup.sh avec des privilèges root. Utilisez la commande sudo ou passez à l’utilisateur root.

Installation existante de SAV dans /opt/sophos-av/. Ce produit ne peut pas être exécuté avec Sophos Anti-Virus

Vous devez supprimer Sophos Anti-Virus for Linux avant d’installer Sophos Protection for Linux.

L’installation de SPL va échouer : impossible d’installer '<path>'.

L'installation ne pourra pas être effectuée si vous référencez un lien symbolique. Réexécutez programme d’installation avec la commande --install-dir et utilisez le chemin d'accès au répertoire vers lequel pointe le lien symbolique.

Impossible de se connecter à Sophos Central - vérifiez vos connexions réseau

Votre machine Linux doit pouvoir se connecter à Internet et le trafic vers tous les domaines Sophos Central doit être autorisé avant que vous puissiez installer l’agent Sophos Protection for Linux. Voir Domaines et ports à autoriser.

L’installation de SPL est impossible car une connexion à Sophos Central n’a pas pu être établie

Les vérifications préalables à l’installation effectuées par Sophos seront impossibles si curl n’est pas installé sur l’appareil Linux. Installez curl et réessayez. Vous pouvez également voir les messages suivants :

• L’installation de SPL est impossible car la connexion au serveur SUS n’a pas pu être établie
• L’installation de SPL est impossible car une connexion à un serveur CDN n’a pas pu être établie

Échec de connexion au répertoire : erreur :

Vos appareils Linux sont assignés à un package logiciel qui a été retiré du marché. Modifiez votre stratégie de gestion des mises à jour et assignez vos appareils Linux à un package logiciel valide. Voir Stratégie de gestion des mises à jour serveurs.

Installation impossible car « setcap n’est pas installé

Lorsque le package libcap n’est pas installé sur le serveur Linux, l’installation du plugin Sophos Protection for Linux Anti-Virus échoue et est retentée toutes les heures. Le journal d’installation affiche les erreurs suivantes :

497 [2021-08-31T10:51:09.950] INFO [2080044800] suldownloaderdata <> Installing product: ServerProtectionLinux-Plugin-AV version: 1.0.2.93
736 [2021-08-31T10:51:10.189] INFO [2080044800] suldownloaderdata <> which: no setcap in (/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin)
Failed to install as setcap is not installed, please see https://support.sophos.com/support/s/article/KBA-000007609

736 [2021-08-31T10:51:10.189] ERROR [2080044800] suldownloaderdata <> Installation failed
736 [2021-08-31T10:51:10.189] INFO [2080044800] suldownloaderdata <> Downloaded Product line: 'ServerProtectionLinux-Plugin-EDR' is up to date.
740 [2021-08-31T10:51:10.193] WARN [2080044800] suldownloaderdata <> Update failed, with code: 103
740 [2021-08-31T10:51:10.193] INFO [2080044800] suldownloaderdata <> Generating the report file in: /opt/sophos-spl/base/update/var/updatescheduler

Exécutez l’une des commandes suivantes selon la distribution Linux utilisée :

• Linux sous Debian : apt install libcap2-bin
• RHEL, CentOS, Amazon Linux : yum install libcap
• SLES : zypper install libcap-progs

Composants non exécutés ou dont l’installation a échoué.

Si un produit est manquant, assurez-vous tout d’abord d’avoir la licence le concernant.

Si le produit a été installé mais ne fonctionne pas, vérifiez les journaux des éléments en question. Procédez comme suit :

• Consultez le journal du composant concerné ici : /opt/sophos-spl/plugins/<plugin name>/log.
• Vérifiez le journal d'installation du composant concerné ici : /opt/sophos-spl/logs/installation/<component>_install.log.
• Vérifiez le journal de surveillance pour voir si un composant n'a pas pu démarrer ici : /opt/sophos-spl/logs/base/watchdog.log.

Utilisation élevée du processeur après l'installation de SPL

Vérifiez si vous avez fapolicyd sur votre appareil Linux. L'exécution simultanée de fapolicyd et de SPL est prise en charge mais cause, entre autres, des problèmes d’utilisation élevée du processeur si elle n’est pas configurée correctement. Procédez de la manière suivante pour ajouter une règle à fapolicyd afin de lui permettre de fonctionner avec SPL :

1. Désactivez l'agent SPL.

2. Créez un nouveau fichier du nom de /etc/fapolicyd/rules.d/ à l'emplacement suivant : 22-sophos.rules.

   Le nom du fichier est très important. Si celui-ci ne respecte pas les conventions d’appellation, les règles ne pourront pas passer outre fapolicyd et effectuer des tâches critiques au système. Pour plus d’informations, reportez-vous à Configuring the File Access Policy Daemon.

3. Ajoutez le contenu suivant au fichier :

   allow dir=/opt/sophos-spl/ all : ftype=application/x-sharedlib
   allow dir=/opt/sophos-spl/ all : ftype=application/x-executable
   allow dir=/opt/sophos-spl/ all : ftype=text/x-python
   allow perm=execute dir=/opt/sophos-spl/ : all
   

4. Redémarrez fapolicyd.

5. Démarrez l'agent SPL.

Installation impossible dans un répertoire personnalisé.

L’installation de la SPL échoue lorsque vous utilisez --install-dir pour modifier le répertoire d'installation si le répertoire /sophos-spl existe déjà à cet emplacement ou si la SPL est installée à un autre emplacement sur l'appareil Linux. Pour résoudre ce problème, supprimez le répertoire /sophos-spl ou désinstallez SPL, puis réessayez.

Si vous exécutez SELinux en mode d'application et installez SPL dans un répertoire personnalisé autre que /opt, vous verrez peut-être s’afficher l'erreur suivante en essayant d'installer SPL dans un répertoire personnalisé :

sophos-spl.service : Impossible d’exécuter la commande : Autorisation refusée

Effectuez les étapes suivantes pour ajouter un enregistrement du nouveau répertoire à la stratégie SELinux qui inclut les mêmes règles que celles existant pour /opt :

1. Créez le répertoire d'installation que vous souhaitez utiliser.
2. Exécutez la commande suivante en remplaçant <path_to_new_directory> par le chemin d'accès à votre nouveau répertoire d'installation.

semanage fcontext -a -e /opt <chemin_du_nouveau_répertoire>

Non démarré : Runtime Detections sur Sophos Linux

Ce message d’erreur peut s’afficher accompagné d’un état de sécurité rouge sur vos appareils Linux pour l’une des raisons suivantes :

• L'exécution du plugin Runtime Detections (RTD) ne fonctionne pas. Il y a plusieurs explications possibles à cela : ceci peut arriver lorsqu'il est installé sur un serveur exécutant un noyau plus ancien ou non pris en charge.
• Le plug-in RTD a rencontré un problème avec une règle ou un ensemble de règles. Dans ce cas, le plug-in RTD fonctionne toujours et toutes les autres règles sont actives, mais Sophos Central affiche un état de sécurité rouge pour vous alerter du problème et vous permettre de l'examiner.

Non démarré : dispositif de planification des mises à jour

Lorsque l'agent SPL démarre, le dispositif de planification des mises à jour tente de télécharger la stratégie depuis Sophos Central. Si l’agent SPL ne parvient pas à contacter Sophos Central ou si le téléchargement de la stratégie échoue, le message d’erreur ci-dessus s’affiche dans Sophos Central accompagné d’un état de sécurité rouge.

Les requêtes Live Discover sur les terminaux ne renvoient des données que pendant une courte période

La capacité des journaux d’événements sur vos appareils leur permet de stocker environ 90 jours d’activité par défaut. Si les requêtes Live Discover renvoient des données correspondant à une période plus courte, envisagez d’augmenter la capacité des journaux d’événements sur vos appareils. Voir Journaux d’événements.