Risoluzione dei problemi di Endpoint Security for Linux comuni
Articoli tecnici ID:
KB95924
Ultima modifica: 2022-12-20 17:28:21 Etc/GMT
Ambiente
Firewall Endpoint Security for Linux (ENSLFW) 10.x
Prevenzione delle minacce Endpoint Security for Linux (ENSLTP) 10.x
Riepilogo
Di seguito sono riportate le procedure consigliate per la risoluzione dei problemi comuni di SL.
Contenuti Fare clic per espandere la sezione che si desidera visualizzare:
Per aiutare Assistenza tecnica a risolvere un problema con ENSLTP o ENSLFW, raccogliere i dati seguenti.
Raccogliere un file ENSLTP o ENSLFW Minimum escalation requirements (MER). MER sono i dati minimi necessari per la valutazione di un problema e per fornire le prossime azioni da intraprendere.
Per generare un MER ENSLTP, eseguire il comando seguente:
/opt/McAfee/ens/tp/scripts/mfetp-mer.sh
Questo comando consente di creare il file mfetp-mer_.*.tar Mer.
Per generare un MER ENSLFW, eseguire il comando seguente:
/opt/McAfee/ens/fw/scripts/mfefw-mer.sh
Questo comando consente di creare il file mfw-mer_.*.tar Mer.
Inoltre, se applicabile, raccogliere i seguenti dati.
Per un problema correlato alla funzionalità, attivare i registri di debug, riprodurre il problema e quindi acquisire il file Mer. I registri dettagliati consentono di limitare e identificare la causa principale. Per attivare i registri di debug, eseguire il seguente comando:
/opt/McAfee/ens/tp/bin/mfetpcli --debuglog enable
Per un problema relativo alle prestazioni, è necessario conoscere le attività di scansione all'accesso (OAS) che si verificano sul sistema per consigliare le impostazioni di configurazione appropriate. Per attivare il registro delle attività OAS, eseguire il seguente comando:
Per un aggiornamento dat o policyproblema correlato all'aggiornamento, attivare la registrazione di debug di Trellix Agent (TA), riprodurre il problema e quindi acquisire il file Mer. Attivare la registrazione di debug TA nella console di ePolicy Orchestrator (ePO) all'indirizzo Trellix Agent, generale, la scheda registrazionepredefinita, Attiva registrazione dettagliata.
Lo scanner delle vulnerabilità del contenitore ( MFECVS ) è uno strumento della riga di comando. È possibile utilizzare lo strumento per eseguire le azioni seguenti:
Elencare le immagini in un registro privato o in un Docker hub.
Eseguire la scansione delle vulnerabilità nelle immagini della finestra mobile in un registro o in un Docker privato hub.
Procedura per la risoluzione dei MFECVS problemi correlati:
Verificare che la configurazione del mfecvs.yaml file sia corretta. Ad esempio, verificare la convenzione del nome utente e la sintassi del file YAML.
mfecvs.yaml file di esempio:
#Copyright (C) 2020 McAfee, LLC. All Rights Reserved.
# Sample User config file
# Array of registries
# Registry is an object of name, url and username of string type
# Add the details of only private registries.
# For listing/scanning docker hub images, do not pass registry(-r) flag to the cli.
registries:
- name: DockerHub
#url is the url for the registry
url: https://registry.hub.docker.com
#username is the user of the registry
username: YourDockerHubUsername
#name is the name of the registry which is referred to by the -r flag in cli
- name: Docker Private Registry
#url is the url for the registry
url: https://your.registry.domain.com
#username is the user of the registry
username: YourUsername
Verificare se lo MFECVS strumento supporta il registro di sistema. Lo strumento supporta solo i registri di Docker private (il registro che utilizza l'API di Docker Hub).
Verificare la presenza di errori nel mfecvs.log file di registro ed eseguire il debug del problema. Ad esempio, il sistema potrebbe essere limitato dalle connessioni esterne. Questa configurazione fa sì che il programma di scansione non riesca, in quanto genera un rapporto di vulnerabilità inviando dati immagine al cloud Trellix.
Attenersi alle istruzioni riportate di seguito per ogni piattaforma Linux.
Per impostazione predefinita, nei sistemi abilitati per l'avvio protetto, tutti i moduli di SL kernel non vengono caricati perché non sono firmati. Solo i moduli firmati kernel possono essere caricati su tali sistemi.
Pertanto, tutti i moduli kernel devono essere firmati con una chiave privata e autenticati con la chiave pubblica corrispondente. Questo argomento si applica alle seguenti piattaforme: RHEL (kernel modulo basato) e SLES/Ubuntu (basato su Fanotify).
Il file DAT viene aggiornato giornalmente sui sistemi. Se il sistema non riceve gli aggiornamenti dei file DAT più recenti, verificare quanto segue:
Accedere alla console di ePO. Assicurarsi che la scheda attività client assegnate disponga di un'attività di aggiornamento per aggiornare ogni giorno il contenuto di file dat, del motore e della prevenzione exploit.
Verificare che lo stato della pianificazione dell'attività di aggiornamento sia "attivato" e che il tipo di pianificazione sia "ogni giorno."
Assicurarsi che gli archivi siano attivati nell'archivio di Trellix Agent policy.
Assicurarsi che il sistema possa raggiungere la pagina Web DAT (https://Update.Nai.com/Products). In caso contrario, potrebbe essere necessario controllare le impostazioni di rete. ENSLTP richiede una connessione Internet stabile per completare il processo di aggiornamento. Una connessione Internet insufficiente può arrestare il processo e causare un errore di aggiornamento non riuscito.
Verificare se una regola firewall blocca la comunicazione tra il sistema e ePO.
Verificare la presenza di eventuali errori di download o errore di connessione in /var/McAfee/agent/logs/McScript.log .
Verificare se il sistema dispone di spazio su disco sufficiente. ENSLTP ha bisogno di spazio libero di almeno 4 GB sull'unità che contiene /var .
Quando SL è installato, per impostazione predefinita vengono create due attività ODS, ovvero scansione rapida e scansione completa. Se il sistema Linux è gestito da ePO, è possibile modificare le proprietà/gli attributi di queste attività modificando la policy ODS assegnata al sistema. In un'installazione autonoma, le modifiche non sono possibili. La creazione e l'eliminazione delle scansioni ODS personalizzate è possibile sia su installazioni gestite che non gestite. In comune problemi riscontrati con le attività ODS sono: ODS non viene avviato e l'ODS rimane in uno stato di esecuzione. Per i passaggi di risoluzione dei problemi relativi a ciascuno di questi scenari, consultare la sezione seguente.
Come risolvere il problema quando l'ODS non viene avviato:
Verificare se tutti i servizi SL sono in esecuzione. Utilizzare il comando ps -eaf | grep -i mfetp :
Verificare se è in esecuzione un'altra attività ODS/Update. Elencare le attività utilizzando il seguente comando:
#/opt/McAfee/ens/tp/bin/mfetpcli --listtasks
Verificare lo stato delle attività. Se un'attività è stata avviata, in esecuzione o arrestata, non verrà avviata un'altra attività ODS.
Verificare che l'attività ODS contenga il limite di CPU impostato e che il sistema non riesca ad attivarlo cgroups . Controllare le informazioni dell'attività ODS con il seguente comando:
Se il valore impostato per "limite massimo della CPU" è inferiore a 100, il consumo di CPU dell'attività ODS è limitato. Verifica /var/log/messages e /var/McAfee/ens/log/tp/mfetpd.log per errori di errore correlati a cgroups .
Per eseguire il debug dei problemi di avvio di ODS, cercare errori o errore nei seguenti file di registro:
Come risolvere il problema quando l'ODS rimane in uno stato di esecuzione:
Verificare la presenza dell'ODS Manager e del collettore ODS dei processi. Utilizzare il top comando o ps per consultare i processi ODS.
Se l'ODS Manager esce e il collettore rimane, è il problema.
Se è in esecuzione solo il gestore di ODS ma non è presente alcuna attività di scansione, controllare il registro dei rapporti ODS. Verificare se SL sta richiedendo tempo per generare il rapporto finale. I registri dei rapporti ODS sono scritti all'indirizzo /var/McAfee/ens/log/tp/odsreport/ .
Verificare se l'attività ODS ha un tempo di scansione massimo impostato su un valore elevato. Elencare le informazioni dell'attività ODS utilizzando il seguente comando:
Verificare il valore del parametro "tempo massimo di scansione" impostato in secondi. Per impostazione predefinita, il valore è 45 secondi ed è possibile impostare il valore compreso tra 10 e 9999 secondi. Un valore più elevato nel timeout della scansione indica i file di grandi dimensioni. L'ODS continua a eseguire la scansione fino al tempo trascorso. Il tempo di completamento per l'ODS aumenta.
Per eseguire il debug quando l'ODS rimane in uno stato di esecuzione, cercare gli errori nei seguenti file di registro:
Quando si applica una policy da ePO a un sistema di Linux, TA continua a verificare se sono presenti modifiche nei parametri specificati nella policy rispetto alle impostazioni del sistema. Se le impostazioni non corrispondono, TA impone il policy. Se si modifica un elemento nella policy esistente, le modifiche apportate avranno effetto dopo una policy di attivazione dell'aggiornamento agent comunicazione. A volte, il policy sul client SL non viene aggiornato con i valori impostati in ePO. Attenersi alla procedura di risoluzione dei problemi riportata di seguito.
Verificare se è disponibile una connessione di rete tra ePO e il client SL. Utilizzare l'opzione "ping" dopo aver selezionato il sistema nel struttura dei sistemi ePO. Eseguire una agent di attivazione da ePO e un agent di attivazione inversa dal client SL. Verificare se il campo "ultimo comunicato" viene aggiornato nel struttura dei sistemi ePO per il client SL. Per eseguire un agent di attivazione inversa, eseguire il seguente comando:
# /opt/McAfee/agent/bin/cmdagent -p
TA ottiene il policy ePO e lo invia al prodotto gestito, in questo caso SL. Verificare i seguenti file per eventuali errori o messaggi di errore durante il download della policy o l'applicazione sul client SL.
Verificare se una regola firewall blocca la comunicazione ePO-TA sulla porta 8081. Utilizzare il seguente comando:
iptables -L
Verificare se il policy è danneggiato. Potrebbe verificarsi un danneggiamento a causa di una policy sovrapposizione tra diverse funzionalità di SL. Per verificare la presenza di una sovrapposizione, nella console di ePO, accedere a Catalogo delle policy ed esportare il policy in un file XML. Aprire il file XML in qualsiasi browser. Verificare se sono presenti impostazioni relative all'OAS nelle policy di prevenzione exploit/protezione dell'accesso o viceversa.
l'implementazione di ePO dei pacchetti SL e TA SELinux non è supportata. Pertanto, è necessario installare manualmente i pacchetti. Se si verificano problemi, attenersi alla seguente procedura:
Verificare se sono installati i seguenti pacchetti di SL SELinux supportati:
Nota: Le versioni RHEL 6.x non sono supportate e quindi i pacchetti SELinux non possono essere installati su alcun sistema di versione RHEL 6.x .
Verificare i seguenti "la matrice" confinement supportata e i pacchetti che è necessario installare in questo modo:
Modalità TA SELinux
Modalità SELinux ENSLTP
Supportato?
Non confinati
Confinato
No
Non confinati
Non confinati
Sì
Confinato
Confinato
Sì
Confinato
Non confinati
Sì
Verificare se "è stato negato" errori da TA o ENSLTP nel /var/log/audit/audit.log file.
Esistono diversi motivi per cui la protezione dell'accesso, la prevenzione degli exploit o l'OAS non vengono attivati. Per ulteriori informazioni, consultare le cause elencate di seguito.
Modulo kernel non supportato:
Per attivare la protezione dell'accesso, la prevenzione exploit o l'OAS, i moduli SL kernel vengono caricati nel sistema. Se i moduli kernel non sono caricati, questi componenti possono non riuscire.
Visualizzare i file di registro riportati di seguito e verificare se il modulo kernel è supportato.
moduli del kernel non sono firmati in un ambiente di avvio sicuro
I moduli SL kernel non sono firmati per impostazione predefinita. I sistemi abilitati per l'avvio protetto caricano solo i moduli kernel firmati. Pertanto, i moduli senza firma di SL kernel non riescono a caricare su questi sistemi.
Verificare la presenza del problema di firma nel /var/McAfee/ens/log/tp/mfetpd.log file.
Nov 09 15:26:28 test.os.com ERROR FileAccessEventKernelImpl [1182] Module insertion Failed with errorRequired key not available
Presenza di più versioni dello stesso modulo di kernel
Se una precedente disinstallazione di SL non è stata eseguita correttamente, potrebbero essere presenti più versioni dello stesso modulo kernel caricate.
Se l'opzione OAS non è attivata:
Verificare se il mfe_fileaccess modulo è stato caricato o meno utilizzando il comando seguente. Non devono essere presenti più istanze del modulo caricate come mostrato di mfe_fileaccess seguito. È necessario che venga caricata una sola istanza del mfe_fileaccess modulo.
Se la protezione dell'accesso/prevenzione exploit non è attiva:
Verificare se il mfe_aac modulo è stato caricato o meno utilizzando il comando seguente. Non devono essere presenti più istanze del modulo caricate come mostrato di mfe_aac seguito. È necessario che venga caricata una sola istanza del mfe_aac modulo.
La presenza di moduli meno recenti indica che la disinstallazione di SL non è stata eseguita correttamente. Per risolvere il problema, eseguire una pulizia manuale:
Eseguire il seguente comando:
/opt/McAfee/ens/tp/scripts/uninstall-mfetp.sh
Installare di nuovo SL.
Controllare nuovamente l'output dei comandi precedenti lsmod . Verificare che l'output visualizzi solo la versione installata più recente del modulo kernel.
Se un aggiornamento di SL non riesce, eseguire i seguenti problemi.
Verificare se sul sistema è presente spazio su disco sufficiente (minimo 4 GB). Per controllare lo spazio su disco, eseguire il comando df -h .
Assicurarsi che i pacchetti di versione SL più recenti, compresi i moduli kernel, siano archiviati nell'archivio principale di ePO.
Assicurarsi che il servizio SL Prevenzione delle minacce sia attivo e in esecuzione. Per verificare lo stato, eseguire il comando /opt/McAfee/ens/tp/init/mfetpd-control.sh status .
Se si sta effettuando l'upgrade di SL da ePO, assicurarsi che la comunicazione tra il sistema e ePO funzioni.
Se si sta effettuando l'upgrade di SL manualmente (standalone), verificare che i pacchetti SL più recenti siano decompressi e posizionati nella stessa cartella.
Per eventuali errori di installazione, controllare il registro di /tmp/ensltp-epo-setup.log installazione.
Evitare di utilizzare il sistema durante un'attività di upgrade di SL.
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.