أستكشاف أخطاء موصل Linux الآمن وإصلاحها

الوصف

أستكشاف الأخطاء وإصلاحها/الحل

5

مستخدم خدمة المسح الضوئي غير متوفر

فشل الموصل في إنشاء مستخدم لتشغيل عملية فحص الملف. يستخدم الموصل المستخدم الجذري لإجراء عمليات مسح الملفات كحل بديل. يختلف هذا عن التصميم المقصود وغير متوقع.

إذا Cisco-amp-scan-svc تم حذف المستخدم أو المجموعة، أو تم تغيير تكوين المستخدم والمجموعة، ثم يمكنك إعادة تثبيت الموصل لإعادة إنشاء المستخدم والمجموعة باستخدام التكوينات اللازمة. تتوفر تفاصيل إضافية في /var/log/cisco/ampdaemon.log.

في حالة تقييد إنشاء مجموعة المستخدمين من خلال الإعدادات الموجودة في /etc/login.defs يجب تغيير هذا الملف بشكل مؤقت أثناء تشغيل المثبت للسماح بإنشاء المستخدم والمجموعة. للقيام بذلك، قم بتغيير userGroups_enab من لا إلى نعم.

يمكن إصلاح هذا الخطأ في موصلات Linux 1.15.1 والإصدارات الأحدث إذا قام برنامج آخر بتعديل أحد أذونات دليل الموصل (وهو /opt/cisco أو الدليل التابع). ولتخفيف هذا الأمر، يجب إعادة تعيين إذن الدليل الذي تم تغييره إلى الافتراضي (على سبيل المثال، 0755)، وضمان عدم قيام أية برامج في المستقبل بتعديل دليل /opt/cisco (أو أي دلائل فرعية)، وإعادة تشغيل خدمة الموصل.

6

إعادة تشغيل خدمة المسح الضوئي بشكل متكرر

واجهت عملية فحص ملف الموصل حالات فشل متكررة وأعيد تشغيل الموصل في محاولة لمسح الفشل. من المحتمل أن يتسبب ملف واحد أو أكثر من الملفات الموجودة على النظام في تعطيل خوارزمية المسح الضوئي عند المسح الضوئي. يستمر الموصل بإجراء عمليات الفحص على أساس أفضل الجهود.

إذا لم يتم مسح هذا الخطأ تلقائيا في غضون 10 دقائق من بدء تشغيل الموصل، فهذا يشير إلى أنه يلزم مزيد من تدخل المستخدم وقد تدهورت قدرة الموصل على إجراء عمليات الفحص.

راجع /var/log/cisco/ampdaemon.log و/var/log/cisco/ampscansvc.log للحصول على تفاصيل.

7

فشل بدء تشغيل خدمة المسح الضوئي

فشلت عملية فحص ملف الموصل وأعيد تشغيل الموصل في محاولة لمسح الفشل. يتم تعطيل وظيفة فحص الملفات أثناء رفع هذا الخطأ.

يمكن تشغيل هذا الفشل في حالة مواجهة خطأ عند تحميل ملفات تعريف فيروسات مثبتة حديثا (.cvd files). يقوم الموصل بإجراء عدد من عمليات التحقق من السلامة والاستقرار قبل تنشيط ملفات .cvd الجديدة لمنع هذا الفشل. عند إعادة التشغيل، يقوم الموصل بإزالة أية ملفات cvd غير صالحة حتى يمكن إستئناف الموصل.

إذا لم يتم مسح هذا الخطأ عند إعادة تشغيل الموصل، فهذا يشير إلى أن هناك حاجة إلى مزيد من تدخل المستخدم. إذا تكرر هذا الفشل مع كل تحديث cvd. فهذا يشير إلى عدم الكشف بشكل صحيح عن ملف cvd. غير صالح بواسطة عمليات التحقق من سلامة ملف cvd. الخاص بالموصل.

يمكن تشغيل هذا الفشل في موصلات Linux إذا كانت ذاكرة الجهاز منخفضة وتعذر بدء تشغيل خدمة الماسح الضوئي. ارجع إلى دليل مستخدم "نقطة النهاية الآمنة (المعروفة سابقا باسم AMP لنقاط النهاية)" للحصول على الحد الأدنى من متطلبات النظام في نظام التشغيل Linux.

راجع /var/log/cisco/ampdaemon.log و/var/log/cisco/ampscansvc.log للحصول على تفاصيل.

8

فشل بدء تشغيل مراقبة نظام الملفات في الوقت الحقيقي

​ لم يتم تحميل وحدة Kernel التي توفر مراقبة نشاط نظام الملفات في الوقت الحقيقي، كما تم تمكين نهج الموصل "Monitor File Copy and Move". وظائف المراقبة هذه غير متوفرة في الموصل أثناء ظهور هذا الخطأ. يتم رفع هذا الخطأ عندما يكون موصل نقطة النهاية الآمنة غير قادر على تحميل وحدة Kernel النمطية الأساسية المطلوبة لمراقبة نشاط نظام الملفات.

يجب تعطيل "التمهيد الآمن ل UEFI" على النظام.

في حالة تعطيل "التمهيد الآمن"، قد يحدث هذا الخطأ بسبب عدم التوافق بين وحدة kernel ampavflt أو amfsm المتوفرة مع موصل نقطة النهاية الآمنة ونواة النظام أو وحدات kernel الأخرى التابعة لجهة خارجية المثبتة على النظام. مراجعة /var/log/الرسائل للحصول على تفاصيل.

كما يمكن أن يحدث الخطأ عند تشغيل إصدار kernel غير المعتمد من قبل الموصل. في هذه الحالة، يمكن مسحه عن طريق إنشاء وحدة نواة أمفsm مخصصة لنواة النظام الجاري تشغيلها حاليا. (قابل للتطبيق على إصدارات موصل Linux 1.16.0 والإصدارات الأحدث.) للحصول على مزيد من المعلومات حول بناء وحدات kernel المخصصة، يرجى الاطلاع على إنشاء وحدات kernel الخاصة بموصل نقطة النهاية الآمنة من Cisco

9

فشل بدء تشغيل مراقبة شبكة الوقت الحقيقي

لم يتم تحميل وحدة Kernel التي توفر مراقبة نشاط الشبكة في الوقت الفعلي، كما تم تمكين "تمكين إرتباط تدفق الجهاز" لنهج الموصل. وظيفة المراقبة هذه غير متوفرة في الموصل أثناء ظهور هذا الخطأ. يتم رفع هذا الخطأ عندما يكون موصل نقطة النهاية الآمنة غير قادر على تحميل وحدة Kernel النمطية الأساسية المطلوبة لمراقبة نشاط نظام الملفات.

يجب تعطيل "التمهيد الآمن ل UEFI" على النظام.

في حالة تعطيل "التمهيد الآمن"، قد يحدث هذا الخطأ بسبب عدم التوافق بين وحدة kernel ampavflt أو amfsm المتوفرة مع موصل نقطة النهاية الآمنة ونواة النظام أو وحدات kernel الأخرى التابعة لجهة خارجية المثبتة على النظام. مراجعة /var/log/الرسائل للحصول على تفاصيل.

كما يمكن أن يحدث الخطأ عند تشغيل إصدار kernel غير المعتمد من قبل الموصل. في هذه الحالة، يمكن مسحه عن طريق إنشاء وحدة نواة أمفsm مخصصة لنواة النظام الجاري تشغيلها حاليا. (قابل للتطبيق على إصدارات موصل Linux 1.16.0 والإصدارات الأحدث.) للحصول على مزيد من المعلومات حول بناء وحدات kernel المخصصة، يرجى الاطلاع على إنشاء وحدات kernel الخاصة بموصل نقطة النهاية الآمنة من Cisco

11

حزمة kernel-devel المطلوبة مفقودة

يستخدم موصل نقطة النهاية الآمنة وحدات eBPF النمطية لمراقبة نظام الملفات والعملية ونشاط الشبكة. يتطلب الموصل توفر حزم معينة على النظام لتحميل وحدات eBPF هذه وتشغيلها. لحل هذا الخطأ، قم بتركيب الحزمة المطلوبة من قبل برنامج لينوكس على النحو الموضح أدناه، ثم قم بإعادة تشغيل الموصل.

بالنسبة لعمليات التوزيع القائمة على نظام Red Hat، يظهر هذا العيب عندما تكون حزمة kernel-devel مفقودة. قم بتثبيت حزمة kernel-devel، ثم أعد تشغيل الموصل. (ينطبق فقط على إصدارات موصل Linux الإصدار 1.13.0 والإصدارات الأحدث.)

بالنسبة للطراز Oracle Linux UEK 6 والإصدارات الأحدث، يتم رفع هذا الخطأ عندما يكون kernel-uek-develالحزمة مفقودة. قم بتثبيت حزمة kernel-uek-devel، ثم أعد تشغيل الموصل. (ينطبق فقط على إصدارات موصل Linux الإصدار 1.18.0 والإصدارات الأحدث.)

بالنسبة للتوزيعات المستندة إلى Debian، يظهر هذا الخطأ عندما تكون حزمة رؤوس لينوكس مفقودة. قم بتثبيت حزمة رؤوس لينكس، ثم أعد تشغيل الموصل. (قابل للتطبيق على إصدارات موصل Linux 1.15.0 والإصدارات الأحدث.)

لمزيد من المعلومات، يرجى الاطلاع على: خطأ Linux Kernel-Devel

16

نواة غير متوافقة

لا يتوافق kernel الجاري تشغيله حاليا مع الموصل الجاري تشغيله حاليا، كما أن نهج الموصل تم تمكين "مراقبة نسخ الملفات ونقلها" أو "تمكين إرتباط تدفق الأجهزة".

انسخ kernel إلى إصدار مدعوم أو ترقية الموصل إلى إصدار أحدث يدعم هذا kernel.

للحصول على تفاصيل حول إصدارات kernel المدعومة، راجع: توافق نظام تشغيل Cisco Secure Endpoint Linux Connector

18

تم تحميل مراقبة حدث الموصل بشكل زائد

يتم رفع هذا الخطأ عندما يكون الموصل تحت حمل ثقيل بسبب عدد هائل من أحداث النظام. تعد حماية النظام محدودة، ويقوم الموصل بمراقبة مجموعة أصغر من الأحداث الهامة للنظام حتى يتم تقليل النشاط الإجمالي للنظام.

قد يكون هذا الخطأ مؤشرا على نشاط النظام الضار أو التطبيقات النشطة للغاية على النظام.

إذا كان أحد التطبيقات النشطة حميدا وموثوقا به من قبل المستخدم، فيمكن إضافته إلى مجموعة إستثناءات العملية لتقليل حمل المراقبة على الموصل. يمكن أن يكون هذا الإجراء كافيا لإزالة الخطأ.

إذا لم تتسبب أي عمليات حميدة في تحميل ثقيل، فإنه يلزم إجراء بعض التحقيقات لتحديد ما إذا كانت الزيادة في النشاط ناجمة عن عملية خبيثة.

إذا كان الموصل خاضعا لفترات قصيرة من الحمل الثقيل فمن المحتمل أن يستطيع هذا الخطأ مسح نفسه.

إذا كان هذا الخطأ قد تم رفعه بشكل متكرر، فلا توجد عمليات حميدة تتسبب في حمل ثقيل، ولم يتم اكتشاف أي عمليات ضارة، ومن ثم سيلزم إعادة إمداد النظام لمعالجة الأحمال الأكبر.

19

نهج SelInux مفقود أو معطل

يتم رفع هذا الخطأ عندما تمنع سياسة Secure Enterprise Linux (SELinux) على النظام الموصل من مراقبة نشاط النظام. إذا تم تمكين SELinux وفي وضع فرض، يتطلب الموصل هذه القاعدة في نهج SelInux:

السماح ل unconfined_service_t self:bpf { map_create map_read map_write prog_load_run }؛

على الأنظمة التي تستند إلى Red Hat، بما في ذلك RHEL 7 و Oracle Linux 7، لا تتوفر هذه القاعدة في سياسة SelInux الافتراضية. أثناء التثبيت أو الترقية، يحاول الموصل إضافة هذه القاعدة من خلال تثبيت وحدة نهج SELinux المسماة Cisco-secure-bpf. إذا Cisco-secure-bpf يفشل أن يركب ويحمل، أو يكون معأق، الخطأ مرفوع.

لحل الخطأ، تأكد من تثبيت نهج حزمة النظام. قم بإعادة تثبيت الموصل أو ترقيته لتشغيل تثبيت Cisco-secure-bpf، أو إضافة القاعدة يدويا إلى نهج SELinux الموجود وإعادة تشغيل الموصل.

للحصول على إرشادات أكثر تفصيلا حول تعديل سياسة SelInux لحل هذا الخطأ، راجع خطأ سياسة SelInux.