Solução de problemas do Sophos Protection for Linux

./SophosSetup.sh: Permissão negada

Você deve adicionar a permissão ‘execute’ ao SophosSetup.sh. Execute o seguinte comando:

chmod +x SophosSetup.sh

Execute este instalador como raiz

Você deve executar o SophosSetup.sh com privilégios raiz. Use o comando sudo ou alterne para o usuário raiz.

Encontrada uma instalação existente do SAV em /opt/sophos-av/. Este produto não pode ser executado em conjunto com o Sophos Anti-Virus

Você deve remover o Sophos Anti-Virus for Linux antes de instalar o SPL.

A instalação do SPL falhará, não é possível instalar em '<path>'.

A instalação falhará se você fizer referência a um link simbólico. Você deve executar novamente o programa de instalação com o comando --install-dir e usar o caminho para o diretório aonde o link simbólico aponta.

Não é possível se conectar ao Sophos Central - verifique suas conexões de rede

Sua máquina Linux deve ser capaz de se conectar à Internet e o tráfego para todos os domínios do Sophos Central deve ser permitido antes que você possa instalar o SPL. Consulte Domínios e portas a serem permitidos.

A instalação do SPL falhará porque não foi possível estabelecer uma conexão com o Sophos Central

As verificações de pré-instalação do Sophos falharão se curl não estiver instalado no dispositivo Linux. Instale curl e tente novamente. Você também poderá ver as seguintes mensagens:

• A instalação do SPL falhará porque não foi possível estabelecer uma conexão com o servidor SUS
• A instalação do SPL falhará porque não foi possível estabelecer uma conexão com um servidor CDN

Falha ao conectar ao repositório: erro:

Seus dispositivos Linux são atribuídos a um pacote de software que foi descontinuado. Altere sua política de Gerenciamento de Atualizações e atribua seus dispositivos Linux a um pacote de software atual. Consulte Política de Gerenciamento de Atualizações de servidor.

Falha ao instalar, pois setcap não está instalado

Quando o pacote libcap está faltando no servidor Linux, o plug-in Sophos Protection for Linux Anti-Virus falha na instalação e continua a tentar novamente a instalação a cada hora. Os logs do apresentam o seguinte erro:

497 [2021-08-31T10:51:09.950] INFO [2080044800] suldownloaderdata <> Installing product: ServerProtectionLinux-Plugin-AV version: 1.0.2.93
736 [2021-08-31T10:51:10.189] INFO [2080044800] suldownloaderdata <> which: no setcap in (/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin)
Falha ao instalar, pois o setcap não está instalado; consulte https://support.sophos.com/support/s/article/KBA-000007609

736 [2021-08-31T10:51:10.189] ERROR [2080044800] suldownloaderdata <> Installation failed
736 [2021-08-31T10:51:10.189] INFO [2080044800] suldownloaderdata <> Downloaded Product line: 'ServerProtectionLinux-Plugin-EDR' is up to date.
740 [2021-08-31T10:51:10.193] WARN [2080044800] suldownloaderdata <> Update failed, with code: 103
740 [2021-08-31T10:51:10.193] INFO [2080044800] suldownloaderdata <> Generating the report file in: /opt/sophos-spl/base/update/var/updatescheduler

Execute um dos seguintes comandos com base na sua distribuição Linux:

• Linux baseado em Debian: apt install libcap2-bin
• RHEL, CentOS, Amazon Linux: yum install libcap
• SLES: zypper install libcap-progs

Componentes que não estão em execução ou apresentam falha na instalação.

Se um produto estiver faltando, certifique-se de que você tem a licença correta para o produto que falta.

Se o produto estiver instalado, mas não estiver em execução, verifique os logs dos componentes relevantes. Para isso, siga este procedimento:

• Verifique o log do componente afetado em /opt/sophos-spl/plugins/<plugin name>/log.
• Verifique o log de instalação do componente relevante em /opt/sophos-spl/logs/installation/<component>_install.log.
• Verifique o log do watchdog para ver se um componente apresentou falha na inicialização em /opt/sophos-spl/logs/base/watchdog.log.

Alto uso de CPU após a instalação do SPL

Verifique se você tem fapolicyd no seu dispositivo Linux. Executar fapolicyd e SPL juntos é suportado, mas é conhecido por causar alto uso da CPU e outros problemas se não estiver configurado corretamente. Faça o seguinte para adicionar uma regra a fapolicyd para permitir que funcione em conjunto com SPL:

1. Pare o agente SPL.

2. Crie um novo arquivo em /etc/fapolicyd/rules.d/ com o nome 22-sophos.rules.

   O nome do arquivo é muito importante, pois ele deve seguir a convenção de nomenclatura de regras para trabalhar de forma alternativa em fapolicyd para a atividade crítica do sistema. Consulte Configuring the File Access Policy Daemon.

3. Adicione o seguinte conteúdo ao arquivo:

   allow dir=/opt/sophos-spl/ all : ftype=application/x-sharedlib
   allow dir=/opt/sophos-spl/ all : ftype=application/x-executable
   allow dir=/opt/sophos-spl/ all : ftype=text/x-python
   allow perm=execute dir=/opt/sophos-spl/ : all
   

4. Reinicie fapolicyd.

5. Inicie o agente SPL.

A instalação em um diretório personalizado falha.

A instalação do SPL falha quando você usa --install-dir para alterar o diretório de instalação se o diretório /sophos-spl já existir nesse local ou o SPL estiver instalado em outro local no dispositivo Linux. Para resolver isso, delete o /sophos-spl diretório ou desinstale o SPL e tente novamente.

Se você estiver executando o SELinux no modo de imposição e instalar o SPL em um diretório personalizado diferente de /opt, poderá ver o seguinte erro ao tentar instalar o SPL em um diretório personalizado:

sophos-spl.service: Falha ao executar o comando: Permissão negada

Você precisa executar as etapas a seguir para adicionar um registro do novo diretório à política SELinux que inclui as mesmas regras que existem para /opt:

1. Crie o diretório de instalação que deseja usar.
2. Execute o seguinte comando, substituindo <path_to_new_directory> pelo caminho para o seu novo diretório de instalação.

semanage fcontext -a -e /opt <path_to_new_directory>

Não iniciado: Habilitar detecções em tempo de execução Linux

Você pode ver essa mensagem de erro com um status de integridade vermelho em seus dispositivos Linux devido a um dos seguintes cenários:

• O plug-in Runtime Detections (RTD) não está em execução. Isso pode acontecer por muitas razões, como quando ele é instalado em um servidor executando um kernel antigo ou não suportado.
• O plug-in RTD encontrou um problema com uma regra ou conjunto de regras. Neste caso, o plug-in RTD continua em execução e todas as outras regras estão ativas, mas o Sophos Central mostra um status de integridade vermelho para alertá-lo para o problema para que você possa investigar.

Não iniciado: Atualizar Agendador

Quando o agente SPL é iniciado, o agendador de atualização tenta baixar a política do Sophos Central. Se o agente SPL não puder entrar em contato com o Sophos Central ou o download da política falhar, você verá essa mensagem de erro com status de integridade vermelho no Sophos Central.

As consultas de endpoint do Live Discover apenas retornam dados por um curto período de tempo

Por padrão, o tamanho dos diários de eventos nos seus dispositivos permite que eles armazenem cerca de 90 dias de atividade. Se as consultas de endpoint do Live Discover retornarem menos dados, será necessário aumentar o tamanho dos diários de eventos nos dispositivos. Consulte Registros de eventos.