Résolution des problèmes de Sophos Protection for Linux
Cette page explique comment résoudre les problèmes usuels dans Sophos Protection for Linux (SPL).
Remarque
Vous pouvez utiliser Sophos Diagnostic Utility (SDU) pour obtenir des informations supplémentaires sur les événements lors du dépannage. Lorsque vous l’exécutez, le SDU collecte tous les journaux SPL, les informations système et les journaux système. Pour que le SDU puisse collecter les journaux système, nous vous recommandons de configurer vos appareils Linux de manière à les conserver après un redémarrage. Certaines plates-formes configurent cette configuration par défaut.
Résolution des problèmes d’installation
Conseil
Si vous avez besoin de plus d’informations sur une erreur, activez le niveau de journalisation Déboguer et exécutez à nouveau le programme d’installation. Voir Déboguer le programme d’installation léger.
./SophosSetup.sh : Autorisation refusée
Vous devez ajouter l’autorisation « execute » à SophosSetup.sh. Exécutez la commande suivante :
chmod +x SophosSetup.sh
Veuillez exécuter ce programme d’installation en tant que root
Vous devez exécuter SophosSetup.sh avec des privilèges root. Utilisez la commande sudo
ou passez à l’utilisateur root.
Installation existante de SAV dans /opt/sophos-av/. Ce produit ne peut pas être exécuté avec Sophos Anti-Virus
Vous devez supprimer Sophos Anti-Virus for Linux avant d’installer Sophos Protection for Linux.
L’installation de SPL va échouer : impossible d’installer '<path>'.
L'installation ne pourra pas être effectuée si vous référencez un lien symbolique. Réexécutez programme d’installation avec la commande --install-dir
et utilisez le chemin d'accès au répertoire vers lequel pointe le lien symbolique.
Impossible de se connecter à Sophos Central - vérifiez vos connexions réseau
Votre machine Linux doit pouvoir se connecter à Internet et le trafic vers tous les domaines Sophos Central doit être autorisé avant que vous puissiez installer l’agent Sophos Protection for Linux. Voir Domaines et ports à autoriser.
L’installation de SPL est impossible car une connexion à Sophos Central n’a pas pu être établie
Les vérifications préalables à l’installation effectuées par Sophos seront impossibles si curl
n’est pas installé sur l’appareil Linux. Installez curl
et réessayez. Vous pouvez également voir les messages suivants :
- L’installation de SPL est impossible car la connexion au serveur SUS n’a pas pu être établie
- L’installation de SPL est impossible car une connexion à un serveur CDN n’a pas pu être établie
Échec de connexion au répertoire : erreur :
Vos appareils Linux sont assignés à un package logiciel qui a été retiré du marché. Modifiez votre stratégie de gestion des mises à jour et assignez vos appareils Linux à un package logiciel valide. Voir Stratégie de gestion des mises à jour serveurs.
Installation impossible car « setcap n’est pas installé
Lorsque le package libcap n’est pas installé sur le serveur Linux, l’installation du plugin Sophos Protection for Linux Anti-Virus échoue et est retentée toutes les heures. Le journal d’installation affiche les erreurs suivantes :
497 [2021-08-31T10:51:09.950] INFO [2080044800] suldownloaderdata <> Installing product: ServerProtectionLinux-Plugin-AV version: 1.0.2.93
736 [2021-08-31T10:51:10.189] INFO [2080044800] suldownloaderdata <> which: no setcap in (/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin)
Failed to install as setcap is not installed, please see https://support.sophos.com/support/s/article/KBA-000007609
736 [2021-08-31T10:51:10.189] ERROR [2080044800] suldownloaderdata <> Installation failed
736 [2021-08-31T10:51:10.189] INFO [2080044800] suldownloaderdata <> Downloaded Product line: 'ServerProtectionLinux-Plugin-EDR' is up to date.
740 [2021-08-31T10:51:10.193] WARN [2080044800] suldownloaderdata <> Update failed, with code: 103
740 [2021-08-31T10:51:10.193] INFO [2080044800] suldownloaderdata <> Generating the report file in: /opt/sophos-spl/base/update/var/updatescheduler
Exécutez l’une des commandes suivantes selon la distribution Linux utilisée :
- Linux sous Debian :
apt install libcap2-bin
- RHEL, CentOS, Amazon Linux :
yum install libcap
- SLES :
zypper install libcap-progs
Composants non exécutés ou dont l’installation a échoué.
Si un produit est manquant, assurez-vous tout d’abord d’avoir la licence le concernant.
Si le produit a été installé mais ne fonctionne pas, vérifiez les journaux des éléments en question. Procédez comme suit :
- Consultez le journal du composant concerné ici :
/opt/sophos-spl/plugins/<plugin name>/log
. - Vérifiez le journal d'installation du composant concerné ici :
/opt/sophos-spl/logs/installation/<component>_install.log
. - Vérifiez le journal de surveillance pour voir si un composant n'a pas pu démarrer ici :
/opt/sophos-spl/logs/base/watchdog.log
.
Utilisation élevée du processeur après l'installation de SPL
Vérifiez si vous avez fapolicyd
sur votre appareil Linux. L'exécution simultanée de fapolicyd
et de SPL est prise en charge mais cause, entre autres, des problèmes d’utilisation élevée du processeur si elle n’est pas configurée correctement. Procédez de la manière suivante pour ajouter une règle à fapolicyd
afin de lui permettre de fonctionner avec SPL :
- Désactivez l'agent SPL.
-
Créez un nouveau fichier du nom de
/etc/fapolicyd/rules.d/
à l'emplacement suivant :22-sophos.rules
.Le nom du fichier est très important. Si celui-ci ne respecte pas les conventions d’appellation, les règles ne pourront pas passer outre
fapolicyd
et effectuer des tâches critiques au système. Pour plus d’informations, reportez-vous à Configuring the File Access Policy Daemon. -
Ajoutez le contenu suivant au fichier :
allow dir=/opt/sophos-spl/ all : ftype=application/x-sharedlib allow dir=/opt/sophos-spl/ all : ftype=application/x-executable allow dir=/opt/sophos-spl/ all : ftype=text/x-python allow perm=execute dir=/opt/sophos-spl/ : all
-
Redémarrez
fapolicyd
. - Démarrez l'agent SPL.
Installation impossible dans un répertoire personnalisé.
L’installation de la SPL échoue lorsque vous utilisez --install-dir
pour modifier le répertoire d'installation si le répertoire /sophos-spl
existe déjà à cet emplacement ou si la SPL est installée à un autre emplacement sur l'appareil Linux. Pour résoudre ce problème, supprimez le répertoire /sophos-spl
ou désinstallez SPL, puis réessayez.
Si vous exécutez SELinux en mode d'application et installez SPL dans un répertoire personnalisé autre que /opt
, vous verrez peut-être s’afficher l'erreur suivante en essayant d'installer SPL dans un répertoire personnalisé :
sophos-spl.service : Impossible d’exécuter la commande : Autorisation refusée
Effectuez les étapes suivantes pour ajouter un enregistrement du nouveau répertoire à la stratégie SELinux qui inclut les mêmes règles que celles existant pour /opt
:
- Créez le répertoire d'installation que vous souhaitez utiliser.
- Exécutez la commande suivante en remplaçant
<path_to_new_directory>
par le chemin d'accès à votre nouveau répertoire d'installation.
semanage fcontext -a -e /opt <chemin_du_nouveau_répertoire>
Résolution des problèmes dans Sophos Central
Non démarré : Runtime Detections sur Sophos Linux
Ce message d’erreur peut s’afficher accompagné d’un état de sécurité rouge sur vos appareils Linux pour l’une des raisons suivantes :
- L'exécution du plugin Runtime Detections (RTD) ne fonctionne pas. Il y a plusieurs explications possibles à cela : ceci peut arriver lorsqu'il est installé sur un serveur exécutant un noyau plus ancien ou non pris en charge.
- Le plug-in RTD a rencontré un problème avec une règle ou un ensemble de règles. Dans ce cas, le plug-in RTD fonctionne toujours et toutes les autres règles sont actives, mais Sophos Central affiche un état de sécurité rouge pour vous alerter du problème et vous permettre de l'examiner.
Non démarré : dispositif de planification des mises à jour
Lorsque l'agent SPL démarre, le dispositif de planification des mises à jour tente de télécharger la stratégie depuis Sophos Central. Si l’agent SPL ne parvient pas à contacter Sophos Central ou si le téléchargement de la stratégie échoue, le message d’erreur ci-dessus s’affiche dans Sophos Central accompagné d’un état de sécurité rouge.
Les requêtes Live Discover sur les terminaux ne renvoient des données que pendant une courte période
La capacité des journaux d’événements sur vos appareils leur permet de stocker environ 90 jours d’activité par défaut. Si les requêtes Live Discover renvoient des données correspondant à une période plus courte, envisagez d’augmenter la capacité des journaux d’événements sur vos appareils. Voir Journaux d’événements.
Plus de ressources