Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=protect-devices-server-Linux-agent-troubleshooting

Risoluzione dei problemi di Sophos Protection per Linux

Questa pagina descrive come risolvere gli errori più comuni che si possono riscontrare in Sophos Protection for Linux (SPL).

Errori di installazione

Consiglio

Se si richiedono più dettagli su un errore, attivare i log di debug ed eseguire nuovamente il programma di installazione. Vedere Debug del thin installer.

./SophosSetup.sh: Autorizzazione negata

Occorre aggiungere l’autorizzazione “execute” (esegui) a SophosSetup.sh. Eseguire il seguente comando:

chmod +x SophosSetup.sh

Please run this installer as root

Bisogna eseguire SophosSetup.sh con privilegi di root. Utilizzare il comando sudo o passare all’utente root.

Found an existing installation of SAV in /opt/sophos-av/. This product cannot be run alongside Sophos Anti-Virus

Occorre eseguire SophosSetup.sh con il flag --uninstall-sav per rimuovere Sophos Anti-Virus per Linux durante l’installazione di Sophos Protection Agent for Linux.

SPL installation will fail, can not install to '<path>'.

L’installazione non verrà completata se è presente un riferimento a un collegamento simbolico. Bisogna eseguire di nuovo il programma di installazione con il comando --install-dir e utilizzare il percorso della directory verso la quale punta il collegamento simbolico.

Cannot connect to Sophos Central - please check your network connections

Prima di poter installare Sophos Protection Agent per Linux, il computer Linux deve essere in grado di connettersi a Internet e il traffico verso tutti i domini Sophos Central deve essere stato autorizzato. Vedere Domini e porte da autorizzare.

SPL installation will fail as a connection to Sophos Central could not be established

I controlli di preinstallazione di Sophos risulteranno non superati, se sul dispositivo Linux non è installato curl. Installare curl e riprovare. Potrebbero essere visualizzati anche i seguenti messaggi:

  • SPL installation will fail as a connection to the SUS server could not be established
  • SPL installation will fail as a connection to a CDN server could not be established

Failed to connect to repository: error:

I dispositivi Linux sono assegnati a un pacchetto software che è stato ritirato. Modificare il proprio criterio Gestione aggiornamenti e assegnare i dispositivi Linux a un pacchetto software corrente. Vedere Criterio server Gestione aggiornamenti.

Components not running or failing to install.

Se manca un prodotto, assicurarsi di avere la giusta licenza per il prodotto mancante.

Se il prodotto è installato ma non è in esecuzione, controllare i log dei componenti di tale prodotto. Per farlo, procedere come segue:

  • Controllare il log del componente interessato, in /opt/sophos-spl/plugins/<plugin name>/log.
  • Controllare il log di installazione del componente interessato, in /opt/sophos-spl/logs/installation/<component>_install.log.
  • Controllare il log del watchdog (per verificare se un componente non è stato avviato), in /opt/sophos-spl/logs/base/watchdog.log.

Risoluzione dei problemi della Scansione in tempo reale

La scansione in tempo reale non funziona.

In Sophos Central, controllare le seguenti impostazioni nel criterio di protezione contro le minacce del server:

  • Assicurarsi che l’opzione Scansione in tempo reale - File locali e condivisioni di rete sia attiva.
  • Assicurarsi che l’opzione Abilita la scansione per l’Agente di Server Protection per Linux sia attiva.

Sul dispositivo Linux, controllare i seguenti elementi:

  • Il valore di onRead e onWrite in /opt/sophos-spl/base/mcs/policy/CORC_policy.xml deve essere true.
  • Il valore di onOpen e onClose in /opt/sophos-spl/plugins/av/var/on_access_policy.json deve essere true.

  • Controllare /opt/sophos-spl/plugins/av/log/soapd.log. Se viene visualizzata una delle seguenti righe, la scansione associata è disattivata:

    • soapd_bootstrap <> Scanning on-open disabled
    • soapd_bootstrap <> Scanning on-close disabled

av.log shows "av > Quarantine failed for threat:"

SPL ha rilevato una minaccia ma non è riuscita a mettere in quarantena il file. Controllare /opt/sophos-spl/plugins/av/log/safestore.log per individuare il rilevamento. Se viene visualizzato il seguente messaggio, SPL non è in grado di mettere in quarantena il file:

safestore <> File at location: [PATH_TO_DETECTION] is immutable. Will not quarantine.

Per i file non modificabili è impostato un flag che indica che il file non può essere modificato, spostato, eliminato o sovrascritto, nemmeno dall’utente root.

Risoluzione dei problemi del Rilevamento di runtime

I Rilevamenti di runtime non funzionano

Selezionare Prodotti > Server > Criteri e procedere come segue:

  • Controllare il criterio di protezione contro le minacce del proprio dispositivo Linux e assicurarsi che l’opzione Rilevamenti di runtime su Linux sia attiva. Vedere Protezione runtime.
  • Controllare il criterio di Rilevamento di runtime del proprio dispositivo Linux e assicurarsi che l’opzione Abilita rilevamento di runtime su Linux sia attiva.

Aprire Prodotti* > Cloud Native Security > Profili e verificare quanto segue:

La Versione contenuto in Sophos Central ha un numero di build diverso dal numero di “rtd_content_version” visualizzato su un dispositivo Linux.

La Versione contenuto potrebbe essere comunque aggiornata, anche se il numero di build è diverso. Vedere Versione contenuto.

Risoluzione dei problemi del plugin AV

Il comando “systemctl status sophos-spl” restituisce “/opt/sophos-spl/plugins/av/sbin/sophos_threat_detector_launcher died with 64”.

SPL mostra anche uno stato di integrità rosso in Sophos Central, con il messaggio “Non avviato: Sophos Linux AntiVirus”.

SPL è installata su una distribuzione Linux o su un kernel che non supporta le capacità dell’ambiente. Vedere i requisiti di sistema nelle note di rilascio di Sophos Protection for Linux.

av.log shows "av > Health encountered an error resolving pid for ThreatDetector."

SPL mostra anche uno stato di integrità rosso in Sophos Central, con il messaggio “Non avviato: Sophos Linux AntiVirus”.

SPL non supporta l’esecuzione con hidepid=1 o hidepid=2 su Ubuntu 20.04 e Ubuntu 22.04. È necessario modificare /etc/vfstab e rimuovere l’opzione hidepid dalla riga mount.

Risoluzione dei problemi relativi all’isolamento di un dispositivo

Come posso accedere a un dispositivo Linux isolato?

Si consiglia di attivare Autorizza connessioni Live Response ai server. L’attivazione di questa funzionalità permette di utilizzare Live Response per effettuare la connessione a qualsiasi server supportato presente nella rete. Vedere Attivare Live Response per i server. I Super Amministratori di Sophos Central o i ruoli che includono “Avvia sessioni di Live Response su server” sono in grado di avviare sessioni di Live Response con dispositivi Linux isolati.

Se si richiede l’accesso a un dispositivo Linux isolato, ma si utilizza un servizio esterno a Sophos Central, occorrerà applicare esclusioni per autorizzare i servizi necessari per accedere al dispositivo. Vedere Esclusioni per l'Isolamento dei dispositivi.