Cisco Secure Endpoint Linux 커넥터 결함

커넥터가 파일 스캔 프로세스를 실행할 사용자를 만들지 못했습니다. 커넥터는 루트 사용자를 사용하여 파일 검사를 수행하여 이 문제를 해결합니다. 이는 의도한 설계와 다르며 예상되지 않습니다.

이(가) cisco-amp-scan-svc 사용자 또는 그룹이 삭제되었거나 사용자 및 그룹의 구성이 변경되었습니다. 커넥터를 다시 설치하면 필요한 구성을 사용하여 사용자 및 그룹이 다시 만들어집니다. 자세한 내용은 /var/log/cisco/ampdaemon.log.

고객이 /etc/login.defs의 설정을 통해 사용자 그룹 생성을 제한하는 경우 사용자 및 그룹을 만들 수 있도록 설치 프로그램을 실행하는 동안 이 파일을 일시적으로 변경해야 합니다. 이렇게 하면 usergroups_enab를 no에서 yes로 변경할 수 있습니다.

이 결함은 다른 프로그램이 커넥터의 디렉터리 권한(예: /opt/cisco 또는 하위 디렉토리). 이를 완화하려면 변경된 디렉토리 권한을 기본값으로 다시 설정해야 합니다(예: 0755)에서 향후 프로그램이 /opt/cisco 디렉터리(또는 하위 디렉터리)를 수정하지 않는지 확인하고 커넥터 서비스를 다시 시작합니다.

커넥터의 파일 스캔 프로세스에서 오류가 반복적으로 발생했고, 오류를 지우려는 과정에서 커넥터가 다시 시작되었습니다. 시스템에 있는 하나 이상의 파일이 스캔될 때 스캔 알고리즘이 충돌할 수 있습니다. 커넥터는 최선의 방법으로 스캔을 계속합니다.

커넥터가 시작된 후 10분 이내에 이 결함이 자동으로 지워지지 않으면 추가 사용자 개입이 필요하고 커넥터의 스캔 수행 능력이 저하될 것임을 나타냅니다.

자세한 내용은 /var/log/cisco/ampdaemon.log 및 /var/log/cisco/ampscansvc.log을 참조하십시오.

커넥터의 파일 스캔 프로세스를 시작하지 못했습니다. 오류를 지우려고 커넥터가 다시 시작되었습니다. 이 결함이 발생하는 동안 파일 스캔 기능이 비활성화됩니다.

새로 설치된 바이러스 정의 파일(.cvd 파일)을 로드할 때 오류가 발생하면 이 오류를 트리거할 수 있습니다. 이 오류를 방지하기 위해 커넥터는 새 .cvd 파일을 활성화하기 전에 여러 무결성 및 안정성 검사를 수행합니다. 다시 시작하면 커넥터가 다시 시작할 수 있도록 커넥터가 잘못된 .cvd 파일을 제거합니다.

커넥터를 다시 시작할 때 이 결함이 지워지지 않으면 추가 사용자 개입이 필요함을 나타냅니다. 이 오류가 각 .cvd 업데이트와 함께 반복되면 커넥터의 .cvd 파일 무결성 검사에서 잘못된 .cvd 파일이 제대로 탐지되지 않음을 나타냅니다.

시스템이 사용 가능한 메모리가 부족하고 스캐너 서비스를 시작할 수 없는 경우 Linux 커넥터에서 이 오류를 트리거할 수 있습니다. Linux의 최소 시스템 요구 사항은 "Secure Endpoint(이전의 AMP for Endpoints)" 사용 설명서를 참조하십시오.

자세한 내용은 /var/log/cisco/ampdaemon.log 및 /var/log/cisco/ampscansvc.log을 참조하십시오.

실시간 파일 시스템 활동 모니터링을 제공하는 커널 모듈이 로드되지 ​ 않았고 커넥터 정책에서 "Monitor File Copies and Moves(파일 복사 및 이동 모니터링)"를 활성화했습니다. 이 결함이 발생하는 동안에는 커넥터에서 이러한 모니터링 기능을 사용할 수 없습니다. 이 결함은 보안 엔드포인트 커넥터가 파일 시스템 활동 모니터링에 필요한 기본 커널 모듈을 로드할 수 없을 때 발생합니다.

시스템에서 UEFI 보안 부팅을 비활성화해야 합니다.

보안 부팅이 비활성화된 경우 이 결함은 보안 엔드포인트 커넥터와 함께 제공된 ampavflt 또는 ampfsm 커널 모듈 및 시스템에 설치된 시스템 커널 또는 기타 서드파티 커널 모듈 간의 비호환성 때문일 수 있습니다. 자세한 내용은/var/log/messages를 검토하거나 커넥터의 정책 설정에서 파일 모니터링을 비활성화하여 이 오류를 지웁니다.

커넥터에서 지원하지 않는 커널 버전을 실행할 때도 결함이 발생할 수 있습니다. 이 경우 현재 실행 중인 시스템 커널에 대한 사용자 지정 ampfsm 커널 모듈을 구축하여 지울 수 있습니다(Linux 커넥터 버전 1.16.0 이상에만 적용). 사용자 지정 커널 모듈 구축에 대한 자세한 내용은 다음을 참조하십시오. Cisco Secure Endpoint Linux Connector Kernel Module 구축

실시간 네트워크 활동 모니터링을 제공하는 커널 모듈이 로드되지 않았으며 커넥터 정책에서 "Enable Device Flow Correlation(디바이스 플로우 상관관계 활성화)"을 사용하도록 설정했습니다. 이 결함이 발생하는 동안에는 커넥터에서 이 모니터링 기능을 사용할 수 없습니다. 이 결함은 보안 엔드포인트 커넥터가 파일 시스템 활동 모니터링에 필요한 기본 커널 모듈을 로드할 수 없을 때 발생합니다.

시스템에서 UEFI 보안 부팅을 비활성화해야 합니다.

보안 부팅이 비활성화된 경우 이 결함은 보안 엔드포인트 커넥터와 함께 제공된 ampavflt 또는 ampfsm 커널 모듈 및 시스템에 설치된 시스템 커널 또는 기타 서드파티 커널 모듈 간의 비호환성 때문일 수 있습니다. 자세한 내용은/var/log/messages를 검토하거나 커넥터의 정책 설정에서 파일 모니터링을 비활성화하여 이 오류를 지웁니다.

커넥터에서 지원하지 않는 커널 버전을 실행할 때도 결함이 발생할 수 있습니다. 이 경우 현재 실행 중인 시스템 커널에 대한 사용자 지정 ampfsm 커널 모듈을 구축하여 지울 수 있습니다(Linux 커넥터 버전 1.16.0 이상에만 적용). 사용자 지정 커널 모듈 구축에 대한 자세한 내용은 다음을 참조하십시오. Cisco Secure Endpoint Linux Connector Kernel Module 구축

Red Hat 기반 배포의 경우 실시간 파일 시스템 및 네트워크 활동 모니터링에 필요한 커널 장치 패키지가 누락되었으며 커넥터 정책에 "파일 복사 및 이동 모니터링" 또는 "장치 흐름 상관관계 사용"이 활성화되어 있습니다. 이 결함은 보안 끝점 커넥터가 파일 시스템 활동 모니터링에 필요한 기본 eBPF 모듈을 컴파일하고 로드할 수 없을 때 발생합니다.

현재 실행 중인 커널에 대한 커널-디바이스 패키지를 설치하고 커넥터를 다시 시작하거나 정책에서 이러한 기능을 비활성화하여 이 결함을 제거합니다. (Linux 커넥터 버전 1.13.0 이상에만 해당됩니다.)

Oracle Linux UEK 6 이상의 경우 이러한 기능을 사용하려면 kernel-uek-devel 패키지가 필요합니다. 현재 실행 중인 커널에 대해 kernel-uek-devel 패키지를 설치하고 커넥터를 다시 시작하거나 정책에서 이러한 기능을 비활성화하여 이 결함을 지웁니다. (Linux 커넥터 버전 1.18.0 이상에만 해당됩니다.)

Debian 기반 배포의 경우 이러한 기능에 linux-headers 패키지가 필요합니다. 현재 실행 중인 커널에 대한 linux-headers 패키지를 설치하고 커넥터를 다시 시작하거나 정책에서 이러한 기능을 비활성화하여 이 결함을 지웁니다. (Linux 커넥터 버전 1.15.0 이상에만 해당됩니다.)

자세한 내용은 다음을 참조하십시오. Linux 커널-장치 결함

현재 실행 중인 커널이 현재 실행 중인 커넥터와 호환되지 않으며 커넥터 정책에 "Monitor File Copies and Moves(파일 복사 및 이동 모니터링)" 또는 "Enable Device Flow Correlation(디바이스 플로우 상관관계 활성화)"이 활성화되어 있습니다.

커널을 지원되는 버전으로 다운그레이드하거나 커넥터를 이 커널을 지원하는 새 버전으로 업그레이드하십시오.

지원되는 커널 버전에 대한 자세한 내용은 다음을 참조하십시오. Cisco Secure Endpoint Linux Connector OS 호환성