Solucionar Falhas do Conector do Secure Endpoint Linux

Opções de download

  • PDF     (264.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (83.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (71.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:15 de agosto de 2024
ID do documento:214523

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve as falhas que o conector Linux levanta/limpa para notificar quando condições que afetam o funcionamento adequado são detectadas/resolvidas.

    Falhas do conector Linux de endpoint seguro

    Falha 5: Usuário do serviço de verificação indisponível

    Condição

    O conector falhou ao criar o usuário cisco-amp-scan-svc para executar o processo de varredura de arquivos. Como solução alternativa, o conector recuou para usar o usuário raiz para executar verificações de arquivos. Isso se desvia do projeto planejado e deve ser corrigido.

    Resolução

    1. Se o usuário ou grupo cisco-amp-scan-svc tiver sido excluído ou tiver suas configurações modificadas, reinstale o conector para recriar o usuário e o grupo com as configurações necessárias. Consulte /var/log/cisco/ampdaemon.log para obter detalhes.
    2. Se a criação de usuário/grupo for restrita por meio das configurações em /etc/login.defs, esse arquivo deverá ser temporariamente alterado enquanto o instalador do conector Linux estiver em execução para permitir que o usuário e o grupo cisco-amp-scan-svc sejam criados. Para fazer isso, altere USERGROUPS_ENAB em /etc/login.defs de não para sim.
    3. Se outro programa modificou uma das permissões de diretório do conector (por exemplo, /opt/cisco ou um diretório filho), defina as permissões de diretório de volta ao padrão (por exemplo, 0755). Certifique-se de que nenhum programa futuro modifique o diretório /opt/cisco ou qualquer um de seus diretórios filho e, em seguida, reinicie o serviço de conector.

    Falha 6: O serviço de verificação é reiniciado com frequência

    Condição

    O processo de verificação de arquivo do conector encontrou falhas repetidas e o conector foi reiniciado em uma tentativa de limpar a falha. O conector continuará a varredura na base do melhor esforço.

    Resolução

    Um ou mais arquivos no sistema podem estar causando a falha do algoritmo de verificação quando verificado. Se essa falha não for apagada automaticamente dentro de 10 minutos após o conector ser reiniciado, uma investigação adicional será necessária. A capacidade do conector de executar varreduras será degradada até que o problema seja resolvido.

    Consulte /var/log/cisco/ampdaemon.log e /var/log/cisco/ampscansvc.log para obter detalhes.

    Falha 7: Falha Ao Iniciar Serviço De Verificação

    Condição

    Falha ao iniciar o processo de verificação de arquivo do conector, e o conector foi reiniciado em uma tentativa de eliminar a falha. A verificação de arquivo está desabilitada enquanto essa falha é gerada.

    Resolução

    Essa falha poderá ser disparada se for encontrado um erro ao carregar arquivos de definição de vírus (.cvd) recém-instalados. O conector executa várias verificações de integridade e estabilidade antes de ativar os novos arquivos .cvd para evitar essa falha. Ao reiniciar, o conector remove todos os arquivos .cvd inválidos para que o conector possa continuar.

    1. Se essa falha não for eliminada após o reinício do conector, será necessária uma intervenção adicional do usuário. Se essa falha se repetir com cada atualização do .cvd, um arquivo .cvd inválido não será detectado corretamente pelas verificações de integridade do arquivo .cvd do conector.
    2. Se a máquina estiver com pouca memória disponível, talvez o serviço do scanner não possa ser iniciado. Consulte os Requisitos do sistema Linux no Guia do usuário de endpoints seguros Guia do usuário de endpoints seguros.

    Consulte os sites /var/log/cisco/ampdaemon.log e /var/log/cisco/ampscansvc.log para obter detalhes.

    Falha 8: Falha Ao Iniciar O Monitor Do Sistema De Arquivos Em Tempo Real

    Condição

    O conector não pode carregar o módulo de kernel subjacente necessário para o monitoramento da atividade do sistema de arquivos quando a política de conector está com a opção "Monitorar Cópias e Movimentações de Arquivos" habilitada. O monitoramento do sistema de arquivos não está disponível enquanto esta falha é gerada.

    Resolução

    1. Desative a Inicialização segura da UEFI no sistema.
    2. Se a Inicialização Segura estiver desativada, pode haver uma incompatibilidade entre o módulo do kernel ampfsm fornecido com o conector e o kernel do sistema ou outros módulos do kernel de terceiros instalados no sistema. Revise /var/log/messages para obter detalhes.
    3. Se o conector estiver sendo executado em uma versão de kernel sem suporte, instale uma versão de kernel com suporte ou crie um módulo de kernel ampfsm personalizado para o kernel do sistema em execução no momento. Consulte Building Cisco Secure Endpoint Linux Connector Kernel Modules para obter mais informações.

    Falha 9: falha ao iniciar o monitor de rede em tempo real

    Condição

    O conector não pode carregar o módulo de kernel subjacente necessário para o monitoramento de atividade de rede quando a política de conector está com a opção "Habilitar Correlação de Fluxo de Dispositivo" habilitada. O monitoramento de rede não está disponível enquanto essa falha é gerada.

    Resolução

    1. Desative a Inicialização segura da UEFI no sistema.
    2. Se a Inicialização Segura estiver desabilitada, pode haver uma incompatibilidade entre o módulo do kernel ampnetworkflow fornecido com o conector e o kernel do sistema ou outros módulos do kernel de terceiros instalados no sistema. Revise /var/log/messages para obter detalhes.
    3. Se o conector estiver sendo executado em uma versão de kernel sem suporte, instale uma versão de kernel com suporte ou crie um módulo de kernel ampnetworkflow personalizado para o kernel do sistema em execução no momento. Consulte Building Cisco Secure Endpoint Linux Connector Kernel Modules para obter mais informações.

    Falha 11: O Pacote Kernel-Devel Necessário Está Ausente

    Condição

    O conector requer que uma das seguintes opções seja válida:

    1. O kernel atual tem CONFIG_DEBUG_INFO_BTF habilitado ou
    2. O pacote de cabeçalho de kernel correto é instalado para monitorar o sistema de arquivos e os eventos da rede.

    Se nenhuma dessas condições for atendida, essa falha será gerada e o conector monitorará os eventos do sistema de arquivos e da rede no modo degradado.

    Resolução

    1. Atualize o kernel e reinicie o conector. Esta é a solução preferida.
    2. Se a falha persistir, instale o pacote de cabeçalho de kernel ausente:
      1. Para distribuições baseadas em RPM, instale o pacote kernel-devel.
      2. Para distribuições Oracle Linux UEK, instale o pacote kernel-uek-devel.
      3. Para distribuições baseadas em Debian, instale o pacote linux-headers.
      4. Para distribuições SUSE, instale o pacote kernel-default-devel.

    Consulte Troubleshooting de Falha 11 do Conector Secure Endpoint Linux para obter mais detalhes.

    Falha 16: Kernel incompatível

    Condição

    O conector não é compatível com o conector atualmente em execução e a política de conector tem "Monitorar cópias e movimentações de arquivos" ou "Habilitar correlação de fluxo de dispositivo" habilitado.

    Resolução

    Faça o downgrade do kernel para uma versão compatível ou atualize o conector para uma versão mais recente que ofereça suporte a esse kernel.

    Consulte os Requisitos do Sistema Linux para obter mais detalhes sobre as versões de kernel suportadas.

    Falha 18: O Monitoramento De Eventos Do Conector Está Sobrecarregado

    Condição

    O conector está sob carga pesada devido a um número excessivo de eventos do sistema. A proteção do sistema é limitada e o conector monitorará um conjunto menor de eventos críticos do sistema até que a atividade geral do sistema seja reduzida.

    Resolução

    Essa falha pode ser uma indicação de atividade mal-intencionada do sistema ou de aplicativos muito ativos no sistema.

    1. Se um aplicativo ativo for benigno e confiável para o usuário, ele poderá ser adicionado a um conjunto de exclusão de processo para reduzir a carga de monitoramento no conector. Essa ação pode ser suficiente para eliminar a falha.
    2. Se nenhum processo benigno causar carga pesada, será necessário investigar se o aumento da atividade é devido a um processo mal-intencionado.
    3. Se o conector estiver sob períodos curtos de carga pesada, é possível que essa falha possa se eliminar por si só.
    4. Se essa falha é gerada com frequência, não há processos benignos que causam carga pesada e nenhum processo mal-intencionado foi descoberto, então o sistema precisa ser reprovisionado para lidar com cargas mais pesadas.

    Consulte Troubleshooting de Falha 18 do Conector Mac/Linux de Ponto Final Seguro para obter mais detalhes.

    Falha 19: A Política SELinux Está Ausente Ou Desabilitada

    Condição

    A Política do Secure Enterprise Linux (SELinux) no sistema está impedindo que o conector monitore a atividade do sistema.

    Se o SELinux estiver ativado e no modo de imposição, o conector precisará desta regra na Política do SELinux:

    allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };

    Em sistemas Enterprise Linux, esta regra não está presente na Política padrão do SELinux. Durante uma instalação ou atualização, o conector tenta adicionar essa regra através da instalação de um módulo de política SELinux chamado cisco-secure-bpf. Se cisco-secure-bpf falhar ao instalar e carregar, ou for desabilitado, a falha será gerada.

    Resolução

    Para resolver a falha, certifique-se de que o pacote do sistema policycoreutils-python esteja instalado. Em seguida:

    1. Reinstale ou atualize o conector para disparar a instalação do cisco-secure-bpf ou
    2. Adicione manualmente a regra à política do SELinux existente e reinicie o conector.

    Para obter instruções mais detalhadas sobre como modificar a política do SELinux para resolver esta falha, consulte Falha na política do SELinux.

    Histórico de revisões

    Revisão Data de publicação Comentários
    8.0
    15-Aug-2024
    Tabela de falhas removida e substituída por cabeçalhos para cada falha.
    7.0
    19-Oct-2023
    Descrição da falha 11 modificada.
    6.0
    12-Sep-2023
    Descrição da falha 19 modificada.
    5.0
    20-Jul-2023
    Falhas 18 e 19 adicionadas
    4.0
    08-Apr-2022
    Orientações adicionais para falhas 8 e 9
    3.0
    14-Mar-2022
    Edição secundária relacionada ao UEFI Secure Boot for Faults 8/9.
    2.0
    02-Mar-2022
    Adicionada orientação UEK à falha 11
    1.0
    19-Jun-2019
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos