보안 엔드포인트 Linux 커넥터 오류 트러블슈팅

소개

이 문서에서는 적절한 기능에 영향을 주는 조건이 탐지/해결되었을 때 Linux 커넥터가 알림을 보내기 위해 제기하거나 지우는 오류에 대해 설명합니다.

보안 엔드포인트 Linux 커넥터 결함

결함 5: 스캔 서비스 사용자를 사용할 수 없음

조건

커넥터가 파일 스캔 프로세스를 실행할 cisco-amp-scan-svc 사용자를 만들지 못했습니다. 이를 해결하려면 루트 사용자가 파일 스캔을 수행할 때 커넥터가 다시 폴백되었습니다. 이는 의도한 설계에서 벗어나 반드시 시정되어야 한다.

해결

1. cisco-amp-scan-svc 사용자 또는 그룹이 삭제되었거나 컨피그레이션이 수정된 경우 커넥터를 다시 설치하여 필요한 컨피그레이션으로 사용자 및 그룹을 다시 생성합니다. 자세한 내용은 /var/log/cisco/ampdaemon.log를 참조하십시오.
2. /etc/login.defs의 설정을 통해 사용자/그룹 생성이 제한되는 경우, cisco-amp-scan-svc 사용자 및 그룹 생성을 허용하려면 Linux 커넥터 설치 프로그램이 실행되는 동안 이 파일을 임시로 변경해야 합니다. 이렇게 하려면 /etc/login.defs의 USERGROUPS_ENAB를 no에서 yes로 변경합니다.
3. 다른 프로그램에서 커넥터의 디렉터리 권한 중 하나를 수정한 경우(예: /opt/cisco 또는 하위 디렉터리) 디렉터리 권한을 다시 기본값으로 설정합니다(예: 0755). 이후 프로그램에서 /opt/cisco 디렉토리 또는 해당 하위 디렉토리를 수정하지 않도록 한 다음 커넥터 서비스를 재시작합니다.

결함 6: 스캔 서비스 자주 다시 시작

조건

커넥터 파일 검사 프로세스에서 오류가 반복되었으며, 오류를 지우기 위해 커넥터가 다시 시작되었습니다. 커넥터는 계속해서 최선형(best-effort)으로 스캔합니다.

해결

시스템에 있는 하나 이상의 파일이 스캔 시 스캔 알고리즘이 충돌할 수 있습니다. 커넥터가 다시 시작된 후 10분 이내에 이 결함이 자동으로 제거되지 않을 경우 추가 조사가 필요합니다. 문제가 해결될 때까지 커넥터에서 스캔을 수행하는 기능이 저하됩니다.

자세한 내용은 /var/log/cisco/ampdaemon.log 및 /var/log/cisco/ampscansvc.log을 참조하십시오.

결함 7: 스캔 서비스를 시작하지 못했습니다.

조건

커넥터 파일 검사 프로세스를 시작하지 못했으며 오류를 지우기 위해 커넥터가 다시 시작되었습니다. 이 결함이 제기되는 동안 파일 검사를 사용할 수 없습니다.

해결

이 실패는 새로 설치된 바이러스 정의 파일(.cvd 파일)을 로드할 때 오류가 발생한 경우 트리거될 수 있습니다. 이 오류를 방지하기 위해 커넥터는 새 .cvd 파일을 활성화하기 전에 여러 무결성 및 안정성 확인을 수행합니다. 다시 시작할 때 커넥터는 잘못된 .cvd 파일을 제거하여 커넥터를 다시 시작할 수 있도록 합니다.

1. 커넥터가 재시작된 후 이 결함이 제거되지 않은 경우, 추가적인 사용자 개입이 필요합니다. 각 .cvd 업데이트 시 이 오류가 반복되면 커넥터의 .cvd 파일 무결성 검사에서 잘못된 .cvd 파일이 제대로 탐지되지 않습니다.
2. 시스템이 사용 가능한 메모리가 부족한 경우 스캐너 서비스를 시작할 수 없습니다. Secure Endpoint User Guide(보안 엔드포인트 사용 설명서) Secure Endpoint User Guide(보안 엔드포인트 사용 설명서)의 Linux System Requirements(Linux 시스템 요구 사항)를 참조하십시오.

자세한 내용은 /var/log/cisco/ampdaemon.log 및 /var/log/cisco/ampscansvc.log을 참조하십시오.

결함 8: 실시간 파일 시스템 모니터를 시작하지 못했습니다.

조건

커넥터 정책에서 "파일 복사 및 이동 모니터링"을 사용하도록 설정한 경우 커넥터가 파일 시스템 활동 모니터링에 필요한 기본 커널 모듈을 로드할 수 없습니다. 이 결함이 제기된 동안에는 파일 시스템 모니터링을 사용할 수 없습니다.

해결

1. 시스템에서 UEFI 보안 부팅을 비활성화합니다.
2. Secure Boot(보안 부팅)가 비활성화된 경우, 커넥터와 함께 제공된 ampfsm 커널 모듈과 시스템에 설치된 시스템 커널 또는 다른 서드파티 커널 모듈 간에 호환되지 않을 수 있습니다. 자세한 내용은 /var/log/messages를 참조하십시오.
3. 지원되지 않는 커널 버전에서 커넥터가 실행 중인 경우 지원되는 커널 버전을 설치하거나 현재 실행 중인 시스템 커널에 대한 사용자 지정 ampfsm 커널 모듈을 빌드하십시오. 자세한 내용은 Cisco Secure Endpoint Linux Connector Kernel Module 빌드를 참조하십시오.

결함 9: 실시간 네트워크 모니터를 시작하지 못했습니다.

조건

커넥터 정책에서 "Enable Device Flow Correlation(디바이스 흐름 상관관계 활성화)"을 사용하도록 설정한 경우 커넥터가 네트워크 활동 모니터링에 필요한 기본 커널 모듈을 로드할 수 없습니다. 이 결함이 제기되는 동안에는 네트워크 모니터링을 사용할 수 없습니다.

해결

1. 시스템에서 UEFI 보안 부팅을 비활성화합니다.
2. 보안 부팅이 비활성화된 경우, 커넥터와 함께 제공된 ampnetworkflow 커널 모듈과 시스템에 설치된 시스템 커널 또는 기타 서드파티 커널 모듈 간에 호환되지 않을 수 있습니다. 자세한 내용은 /var/log/messages를 참조하십시오.
3. 지원되지 않는 커널 버전에서 커넥터가 실행 중인 경우 지원되는 커널 버전을 설치하거나 현재 실행 중인 시스템 커널에 대한 사용자 지정 ampnetworkflow 커널 모듈을 빌드하십시오. 자세한 내용은 Cisco Secure Endpoint Linux Connector Kernel Module 빌드를 참조하십시오.

결함 11: 필요한 커널 레벨 패키지가 없습니다.

조건

커넥터에는 다음 중 하나가 유효해야 합니다.

1. 현재 커널에서 CONFIG_DEBUG_INFO_BTF가 활성화되었거나
2. 파일 시스템 및 네트워크 이벤트를 모니터링하기 위해 올바른 커널 헤더 패키지가 설치됩니다.

이러한 조건이 모두 충족되지 않으면 이 결함이 제기되고 커넥터는 저하된 모드에서 파일 시스템 및 네트워크 이벤트를 모니터링합니다.

해결

1. 커널을 업그레이드하고 커넥터를 다시 시작합니다. 이것이 기본 솔루션입니다.
2. 결함이 지속되면 누락된 커널 헤더 패키지를 설치합니다.
   1. RPM 기반 배포의 경우 커널 레벨 패키지를 설치합니다.
   2. Oracle Linux UEK 배포판의 경우 kernel-uek-devel 패키지를 설치합니다.
   3. 데비안 기반 배포판의 경우 linux-headers 패키지를 설치합니다.
   4. SUSE 배포의 경우 kernel-default-devel 패키지를 설치합니다.

자세한 내용은 Troubleshoot Secure Endpoint Linux Connector Fault 11(보안 엔드포인트 Linux 커넥터 결함 11 트러블슈팅)을 참조하십시오.

결함 16: 호환되지 않는 커널

조건

커넥터가 현재 실행 중인 커넥터와 호환되지 않으며 커넥터 정책에 "파일 복사 및 이동 모니터링" 또는 "장치 흐름 상관 관계 사용"이 활성화되어 있습니다.

해결

커널을 지원되는 버전으로 다운그레이드하거나 커넥터를 이 커널을 지원하는 최신 버전으로 업그레이드합니다.

지원되는 커널 버전에 대한 자세한 내용은 Linux 시스템 요구 사항을 참조하십시오.

결함 18: 커넥터 이벤트 모니터링이 오버로드되었습니다.

조건

시스템 이벤트가 너무 많아 커넥터의 부하가 높습니다. 시스템 보호가 제한되어 있으며, 전체 시스템 활동이 줄어들 때까지 커넥터는 소규모 시스템 중요 이벤트를 모니터링합니다.

해결

이 결함은 악의적인 시스템 활동을 나타내거나 시스템에서 매우 활성화된 애플리케이션을 나타낼 수 있습니다.

1. 활성 애플리케이션이 사용자가 신뢰하는 안전한 경우, 커넥터의 모니터링 부하를 줄이기 위해 프로세스 제외 세트에 추가할 수 있습니다. 이 작업은 결함을 제거하는 데 충분할 수 있습니다.
2. 무해한 프로세스로 인해 부하가 많이 발생하지 않는 경우, 일부 조사를 통해 악의적인 프로세스로 인해 활동이 증가했는지 확인해야 합니다.
3. 커넥터가 과부하 상태에서 단기간에 있는 경우 이 결함이 스스로 제거될 수 있습니다.
4. 이 결함이 자주 제기되고 로드가 과중한 정상적인 프로세스가 없으며 악의적인 프로세스가 검색되지 않은 경우, 무거운 로드를 처리하기 위해 시스템을 다시 프로비저닝해야 합니다.

자세한 내용은 Troubleshoot Secure Endpoint Mac/Linux Connector Fault 18(보안 엔드포인트 Mac/Linux 커넥터 결함 18 트러블슈팅)을 참조하십시오.

결함 19: SELinux 정책이 없거나 비활성화되었습니다.

조건

시스템의 SELinux(Secure Enterprise Linux) 정책으로 인해 커넥터에서 시스템 작업을 모니터링할 수 없습니다.

SELinux가 활성화되어 있고 적용 모드인 경우, 커넥터는 SELinux 정책에서 다음 규칙을 필요로 합니다.

allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };

Enterprise Linux 기반 시스템에서는 이 규칙이 기본 SELinux 정책에 없습니다. 설치 또는 업그레이드 과정에서 커넥터는 cisco-secure-bpf라는 SELinux 정책 모듈 설치를 통해 이 규칙을 추가하려고 합니다. cisco-secure-bpf가 설치 및 로드에 실패하거나 비활성화되면 결함이 제기됩니다.

해결

결함을 해결하려면 policycoreutils-python 시스템 패키지가 설치되어 있는지 확인합니다. 다음 중 하나를 수행합니다.

1. cisco-secure-bpf 설치를 트리거하려면 커넥터를 다시 설치하거나 업그레이드하십시오. 또는
2. 기존 SELinux 정책에 규칙을 수동으로 추가하고 커넥터를 다시 시작합니다.

이 결함을 해결하기 위해 SELinux 정책을 수정하는 방법에 대한 자세한 지침은 SELinux 정책 결함을 참조하십시오.