Problembehebung zu Sophos Protection for Linux
Auf dieser Seite wird die Fehlerbehebung für häufige Fehler in Sophos Protection for Linux (SPL) beschrieben.
Installationsfehler
Tipp
Wenn Sie mehr Einblicke in einen Fehler benötigen, aktivieren Sie die Debug-Protokollierung und führen Sie den Installer erneut aus. Siehe Thin Installer debuggen.
./SophosSetup.sh: Erlaubnis verweigert
Sie müssen die Berechtigung „Execute“ zu SophosSetup.sh hinzufügen. Geben Sie folgendes Kommando ein:
chmod +x SophosSetup.sh
Führen Sie dieses Installationsprogramm als root aus
Sie müssen SophosSetup.sh mit root-Berechtigungen ausführen. Verwenden Sie den sudo
-Befehl oder wechseln Sie zum root-Benutzer.
Es wurde eine vorhandene Installation von SAV in /opt/sophos-av/ gefunden. Dieses Produkt kann nicht zusammen mit Sophos Anti-Virus verwendet werden
Sie müssen SophosSetup.sh mit dem Flag --uninstall-sav
ausführen, um Sophos Anti-Virus for Linux während der Installation von SPL zu entfernen.
SPL-Installation schlägt fehl, Installation in '<path>' kann nicht durchgeführt werden.
Die Installation schlägt fehl, wenn Sie einen Symlink referenzieren. Sie müssen das Installationsprogramm mit dem --install-dir
-Befehl erneut ausführen und den Pfad zu dem Verzeichnis verwenden, auf das der Symlink verweist.
Verbindung zu Sophos Central kann nicht hergestellt werden – bitte überprüfen Sie Ihre Netzwerkverbindungen
Ihre Linux-Maschine muss in der Lage sein, eine Verbindung zum Internet herzustellen und Datenverkehr zu allen Sophos Central-Domänen muss zugelassen sein, bevor Sie SPL installieren können. Siehe Zuzulassende Domänen und Ports.
SPL-Installation schlägt fehl, da keine Verbindung zu Sophos Central hergestellt werden konnte
Die Überprüfung der Installationsvoraussetzungen von Sophos schlagen fehl, wenn curl
nicht auf dem Linux-Gerät installiert sind. Installieren Sie curl
und versuchen Sie es erneut. Unter Umständen sehen Sie zudem die folgenden Nachrichten:
- Die SPL-Installation schlägt fehl, da keine Verbindung zum SUS-Server hergestellt werden konnte
- Die SPL-Installation schlägt fehl, da keine Verbindung zu einem CDN-Server hergestellt werden konnte
Verbindung zum Repository konnte nicht hergestellt werden: Fehler:
Ihre Linux-Geräte sind einem Softwarepaket zugewiesen, das eingestellt wurde. Ändern Sie Ihre Update-Management-Richtlinie und weisen Sie Ihre Linux-Geräte einem aktuellen Softwarepaket zu. Siehe Server-Update-Management-Richtlinie.
Komponenten werden nicht ausgeführt oder können nicht installiert werden.
Wenn ein Produkt fehlt, stellen Sie sicher, dass Sie über die richtige Lizenz für das fehlende Produkt verfügen.
Wenn das Produkt installiert, aber nicht ausgeführt wird, prüfen Sie die Protokolle für die entsprechenden Komponenten. Gehen Sie dazu wie folgt vor:
- Prüfen Sie das Protokoll für die betroffene Komponente unter
/opt/sophos-spl/plugins/<plugin name>/log
. - Prüfen Sie das Installationsprotokoll für die entsprechende Komponente unter
/opt/sophos-spl/logs/installation/<component>_install.log
. - Prüfen Sie das Watchdog-Protokoll, um festzustellen, ob eine Komponente unter
/opt/sophos-spl/logs/base/watchdog.log
nicht gestartet werden konnte.
Beheben von Fehler mit Echtzeit-Scans
Echtzeit-Scans funktionieren nicht.
Überprüfen Sie in Sophos Central die folgenden Einstellungen in der Threat-Protection-Richtlinie Ihres Servers:
- Stellen Sie sicher, dass Echtzeit-Scans - Lokale Dateien und gemeinsam genutzte Dateien im Netzwerk aktiviert ist.
- Stellen Sie sicher, dass Scannen aktivieren für Server Protection for Linux Agent aktiviert ist.
Überprüfen Sie auf Ihrem Linux-Gerät die folgenden Punkte:
- Der Wert für
onRead
undonWrite
in/opt/sophos-spl/base/mcs/policy/CORC_policy.xml
isttrue
. - Der Wert für
onOpen
undonClose
in/opt/sophos-spl/plugins/av/var/on_access_policy.json
isttrue
. -
Überprüfen Sie
/opt/sophos-spl/plugins/av/log/soapd.log
. Wenn eine der folgenden Zeilen angezeigt wird, wird der zugehörige Scan ausgeschaltet:soapd_bootstrap <> Scanning on-open disabled
soapd_bootstrap <> Scanning on-close disabled
av.log
shows "av
SPL hat eine Bedrohung erkannt, konnte die Datei jedoch nicht unter Quarantäne stellen. Überprüfen Sie die Erkennung in /opt/sophos-spl/plugins/av/log/safestore.log
. Wenn die folgende Meldung angezeigt wird, bedeutet dies, dass SPL die Datei nicht in Quarantäne stellen kann:
safestore <> Datei in Verzeichnis: [PATH_TO_DETECTION] ist unveränderbar. Quarantäne nicht möglich.
Unveränderliche Dateien umfassen eine Markierung, die angibt, dass die Datei nicht geändert, verschoben, gelöscht oder überschrieben werden kann, nicht einmal vom Root-Benutzer.
Fehlerbehebung bei Laufzeiterkennungen
Runtime-Erkennungen funktionieren nicht
Gehen Sie zu Meine Produkte > Server > Richtlinien und gehen Sie wie folgt vor:
- Überprüfen Sie die Threat Protection-Richtlinie Ihres Linux-Geräts und stellen Sie sicher, dass Linux-Laufzeiterkennungen aktiviert sind. Siehe Laufzeitschutz.
- Überprüfen Sie die Richtlinie zur Linux-Laufzeiterkennung auf Ihrem Linux-Gerät und stellen Sie sicher, dass die Option Linux-Laufzeiterkennung aktivieren aktiviert ist.
Gehen Sie zu Meine Produkte* > Cloud Native Security > Profile und überprüfen Sie Folgendes:
- Stellen Sie sicher, dass das Linux-Laufzeiterkennungsprofil Ihrer Richtlinie zur Linux-Laufzeiterkennung eine Regel für die nicht erkannte Bedrohung umfasst. Siehe Erweiterte Konfiguration von Linux-Laufzeiterkennungsprofilen.
- Stellen Sie sicher, dass die Regel in Ihrem Linux-Laufzeiterkennungsprofil aktiviert ist. Siehe Regeldetails.
Die neueste Inhaltsversion in Sophos Central hat eine andere Build-Nummer als die rtd_content_version
-Version, die auf einem Linux-Gerät angezeigt wird.
Die Inhaltsversion ist möglicherweise immer noch auf dem neuesten Stand, auch wenn die Build-Nummer unterschiedlich ist. Siehe Inhaltsversion.
Fehlerbehebung bei AV-Plug-Ins
Der Befehl systemctl status sophos-spl
gibt /opt/sophos-spl/plugins/av/sbin/sophos_threat_detector_launcher died with 64
zurück.
SPL zeigt auch einen roten Systemzustand in Sophos Central mit der Meldung „Nicht gestartet: Sophos Linux AntiVirus“.
SPL wird auf einer Linux-Distribution oder einem Linux-Kernel installiert, die keine Umgebungsfunktionen unterstützt. Siehe die Systemanforderungen in der Versionsinfo zu Sophos Protection for Linux.
av.log
shows "av
SPL zeigt auch einen roten Systemzustand in Sophos Central mit der Meldung „Nicht gestartet: Sophos Linux AntiVirus“.
SPL unterstützt nicht die Ausführung mit hidepid=1
oder hidepid=2
auf Ubuntu 20.04 und Ubuntu 22.04. Sie müssen /etc/vfstab
bearbeiten und die Option hidepid
aus der Mount-Linie entfernen.
Fehlerbehebung bei der Geräte-Isolation
Wie kann ich auf ein isoliertes Linux-Gerät zugreifen?
Wir empfehlen, die Option Live-Response-Verbindungen zu Servern erlauben zu aktivieren. So können Sie mit Live Response eine Verbindung zu jedem unterstützten Server Ihrem Netzwerk herstellen. Siehe Aktivieren von Live Response für Server. Sophos Central Super-Administratoren oder Rollen, die „Live-Response-Sitzungen auf Servern starten“ enthalten, können Live-Response-Sitzungen mit isolierten Linux-Geräten starten.
Wenn Sie Zugriff auf ein isoliertes Linux-Gerät von außerhalb von Sophos Central benötigen, müssen Sie Ausschlüsse verwenden, um die Dienste zu ermöglichen, die für den Zugriff auf das Gerät erforderlich sind. Siehe Geräte-Isolations-Ausschlüsse.