Risoluzione dei problemi di Sophos Protection for Linux

./SophosSetup.sh: Autorizzazione negata

Occorre aggiungere l’autorizzazione “execute” (esegui) a SophosSetup.sh. Eseguire il seguente comando:

chmod +x SophosSetup.sh

Please run this installer as root

Bisogna eseguire SophosSetup.sh con privilegi di root. Utilizzare il comando sudo o passare all’utente root.

Found an existing installation of SAV in /opt/sophos-av/. This product cannot be run alongside Sophos Anti-Virus

Prima di installare Sophos Protection per Linux, occorre rimuovere Sophos Anti-Virus per Linux.

SPL installation will fail, can not install to '<path>'.

L’installazione non verrà completata se è presente un riferimento a un collegamento simbolico. Bisogna eseguire di nuovo il programma di installazione con il comando --install-dir e utilizzare il percorso della directory verso la quale punta il collegamento simbolico.

Cannot connect to Sophos Central - please check your network connections

Prima di poter installare Sophos Protection Agent per Linux, il computer Linux deve essere in grado di connettersi a Internet e il traffico verso tutti i domini Sophos Central deve essere stato autorizzato. Vedere Domini e porte da autorizzare.

SPL installation will fail as a connection to Sophos Central could not be established

I controlli di preinstallazione di Sophos risulteranno non superati, se sul dispositivo Linux non è installato curl. Installare curl e riprovare. Potrebbero essere visualizzati anche i seguenti messaggi:

• SPL installation will fail as a connection to the SUS server could not be established
• SPL installation will fail as a connection to a CDN server could not be established

Failed to connect to repository: error:

I dispositivi Linux sono assegnati a un pacchetto software che è stato ritirato. Modificare il proprio criterio Gestione aggiornamenti e assegnare i dispositivi Linux a un pacchetto software corrente. Vedere Criterio server Gestione aggiornamenti.

Failed to install as setcap is not installed

Quando manca il pacchetto libcap sul server Linux, il plugin dell’antivirus Sophos Protection per Linux non viene installato e continua a ripetere l’installazione ogni ora. Il log di installazione mostra i seguenti errori:

497 [2021-08-31T10:51:09.950] INFO [2080044800] suldownloaderdata <> Installing product: ServerProtectionLinux-Plugin-AV version: 1.0.2.93
736 [2021-08-31T10:51:10.189] INFO [2080044800] suldownloaderdata <> which: no setcap in (/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin)
Failed to install as setcap is not installed, please see https://support.sophos.com/support/s/article/KBA-000007609

736 [2021-08-31T10:51:10.189] ERROR [2080044800] suldownloaderdata <> Installation failed
736 [2021-08-31T10:51:10.189] INFO [2080044800] suldownloaderdata <> Downloaded Product line: 'ServerProtectionLinux-Plugin-EDR' is up to date.
740 [2021-08-31T10:51:10.193] WARN [2080044800] suldownloaderdata <> Update failed, with code: 103
740 [2021-08-31T10:51:10.193] INFO [2080044800] suldownloaderdata <> Generating the report file in: /opt/sophos-spl/base/update/var/updatescheduler

Eseguire uno dei seguenti comandi, in base alla distribuzione Linux utilizzata:

• Distribuzione Linux basata su Debian: apt install libcap2-bin
• RHEL, CentOS, Amazon Linux: yum install libcap
• SLES: zypper install libcap-progs

Components not running or failing to install.

Se manca un prodotto, assicurarsi di avere la giusta licenza per il prodotto mancante.

Se il prodotto è installato ma non è in esecuzione, controllare i log dei componenti di tale prodotto. Per farlo, procedere come segue:

• Controllare il log del componente interessato, in /opt/sophos-spl/plugins/<plugin name>/log.
• Controllare il log di installazione del componente interessato, in /opt/sophos-spl/logs/installation/<component>_install.log.
• Controllare il log del watchdog (per verificare se un componente non è stato avviato), in /opt/sophos-spl/logs/base/watchdog.log.

Utilizzo elevato della CPU dopo l’installazione di SPL

Verificare di avere fapolicyd sul proprio dispositivo Linux. L’esecuzione simultanea di fapolicyd e SPL è supportata, ma, in caso di configurazione errata, è nota per causare un utilizzo elevato della CPU e altri problemi. Procedere come segue per aggiungere una regola a fapolicyd, e consentirne il funzionamento insieme a SPL:

1. Arrestare l’agente di SPL.

2. Creare un nuovo file chiamato 22-sophos.rules in /etc/fapolicyd/rules.d/.

   Il nome del file è molto importante, in quanto deve seguire la convenzione di denominazione, affinché le regole possano eludere fapolicyd per le attività di sistema critiche. Vedere Configurazione del daemon per il criterio di accesso ai file.

3. Aggiungere il seguente contenuto al file:

   allow dir=/opt/sophos-spl/ all : ftype=application/x-sharedlib
   allow dir=/opt/sophos-spl/ all : ftype=application/x-executable
   allow dir=/opt/sophos-spl/ all : ftype=text/x-python
   allow perm=execute dir=/opt/sophos-spl/ : all
   

4. Riavviare fapolicyd.

5. Avviare l’agente di SPL.

L’installazione in una directory personalizzata non viene completata.

L’installazione di SPL non viene completata quando si utilizza --install-dir per modificare la directory di installazione se la directory /sophos-spl esiste già in tale posizione o se SPL è installato in un’altra posizione nel dispositivo Linux. Per risolvere il problema, eliminare la directory /sophos-spl o disinstallare SPL e riprovare.

Se si esegue SELinux in modalità di applicazione e si installa SPL in una directory personalizzata diversa da /opt, potrebbe venire visualizzato il seguente errore quando si cerca di installare SPL in una directory personalizzata:

sophos-spl.service: Failed to execute command: Permission denied

Per aggiungere un record della nuova directory al criterio SELinux che include le stesse regole esistenti per /opt, occorre procedere come segue:

1. Creare la directory di installazione che si desidera utilizzare.
2. Eseguire il seguente comando, sostituendo <path_to_new_directory> con il percorso della nuova directory di installazione.

semanage fcontext -a -e /opt <path_to_new_directory>

Non avviato: Sophos Linux Runtime Detection

Questo messaggio di errore potrebbe essere visualizzato con uno stato di integrità rosso sui dispositivi Linux. È causato da uno dei seguenti scenari:

• Il plugin Rilevamento di runtime (RTD) non è in esecuzione. Questo può succedere per vari motivi, ad esempio quando è installato su un server che esegue un kernel con una versione precedente o non supportata.
• Il plugin RTD ha riscontrato un problema con una regola o un set di regole. In questo caso, il plugin RTD è ancora in esecuzione e tutte le altre regole sono attive, ma Sophos Central mostra uno stato di integrità rosso per segnalare il problema all’utente, in modo che possa svolgere indagini.

Non avviato: Pianificazione degli aggiornamenti

All’avvio dell’agente di SPL, la pianificazione degli aggiornamenti cerca di scaricare il criterio da Sophos Central. Se l’agente di SPL non è in grado di contattare Sophos Central o se il download del criterio non riesce, verrà visualizzato questo messaggio di errore con uno stato di integrità rosso in Sophos Central.

Le query sugli endpoint di Live Discover restituiscono dati solo per un periodo di tempo breve

Per impostazione predefinita, le dimensioni dei journal degli eventi sui dispositivi consentono di memorizzare circa 90 giorni di attività. Se le query sugli endpoint di Live Discover restituiscono una quantità inferiore di dati, potrebbe essere necessario incrementare le dimensioni dei journal degli eventi sui dispositivi. Vedere Journal degli eventi.