Aufruf zur Agentenreaktivierung schlägt für Linux-Server fehl
Technische Artikel ID:
KB82686
Zuletzt geändert am: 22.06.2016
Umgebung
McAfee VirusScan Enterprise for Linux (VSEL) 1.x, 2.x
Problem
Ein mit ePolicy Orchestrator (ePO) verwalteter Linux-Server reagiert auf einen Aufruf zur Agentenreaktivierung des ePO-Servers nicht.
Ursache
Eine auf dem Client vorhandene Firewall-Regel verhindert hier die Kommunikation mit dem ePO-Server.
Lösung
Deaktivieren oder modifizieren Sie die Firewall-Regel auf dem Client, die die Kommunikation mit dem ePO-Server verhindert. Der Client muss an TCP-Port 8081 Datenverkehr zulassen.
So überprüfen und beheben Sie dieses Problem:
Vergewissern Sie sich, dass in der ePO-Systemstruktur für den Linux-Server die korrekte IP-Adresse aufgeführt ist und dass in Bezug auf den Agenten keine anderen Probleme vorliegen:
- Öffnen Sie auf dem Linux-Server und dem ePO-Server eine Befehlszeilensitzung.
- Überprüfen Sie, ob in der ePO-Systemstruktur für den Linux-Server die korrekte IP-Adresse registriert ist.
- Senden Sie jeweils einen Ping-Befehl vom Linux-Server an den ePO-Server sowie vom ePO-Server an den Linux-Server.
- Überprüfen Sie, ob vom Linux-Server aus mit dem Befehl "cmdagent" Eigenschafteninformationen an ePO gesendet werden können. Geben Sie auf dem Linux-Server den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
/opt/McAfee/cma/bin/cmdagent -P
Wenn die Eigenschaften tatsächlich an ePO gesendet werden, wird der Zeitpunkt der letzten Kommunikation aktualisiert.
- Überprüfen Sie, ob der Agent Kommunikationsfehler protokolliert hat. Geben Sie auf dem Linux-Server folgenden Befehl ein, und drücken Sie die EINGABETASTE:
/opt/McAfee/cma/scratch/etc/log
- Überprüfen Sie, ob der Kommunikations-Port für Agentenreaktivierung den Status "LISTEN" (Abhören) aufweist. Geben Sie netstat -an|grep8081 ein, und drücken Sie die EINGABETASTE.
Die Ausgabe sollte etwa wie folgt aussehen:
tcp 0 0 0.0.0.0:8081 0.0.0.0:* LISTEN
Überprüfen Sie, ob die Firewall-Regel auf dem Client die Kommunikation mit dem ePO-Server verhindert:
- Aktivieren Sie auf dem Linux-Server die Paketverfolgung, und führen Sie vom ePO-Server aus einen Reaktivierungsaufruf durch.
Die Paketverfolgung können Sie mit einem der folgenden Befehle aktivieren:
tcpdump
oder
tcpdump -iethX
oder
tcpdump -w /tmp/packet.pcap -i ethX
Beim Prüfen der Ergebnisse der Netzwerk-Paketverfolgung werden folgende Probleme aufgelistet:
16:46:53.617566 IP X.X.X.X.60195 > Y.Y.Y.Y.tproxy: Flags [S] seq 1384592987 , win 8192 , options [mss 1460 , nop , wscale 8 , nop , nop , sackOK], lenght 0
16:46:53.617627 IP Y.Y.Y.Y > X.X.X.X: ICMP host Y.Y.Y.Y unreachable -admin prohibited, length 60
16:46:56.625077 IP X.X.X.X.60195 > Y.Y.Y.Y.tproxy: Flags [S] seq 1384592987 , win 8192 , options [mss 1460 , nop , wscale 8 , nop , nop , sackOK], lenght 0
16:46:56.625131 IP Y.Y.Y.Y > X.X.X.X: ICMP host Y.Y.Y.Y unreachable -admin prohibited, length 60
16:46:58.616867 ARP , Request who-has X.X.X.X tell Y.Y.Y.Y , length 28
16:46:58.617158 ARP , Reply X.X.X.X is-at d8:9d:67:19:29:80 (oui unknown) , length 46
16:47:02.630779 IP IP X.X.X.X.60195 > Y.Y.Y.Y.tproxy: Flags [S] seq 1384592987 , win 8192 , options [mss 1460 , nop , nop , sackOK] , length 0
16:47:02.630833 IP Y.Y.Y.Y > X.X.X.X: ICMP host Y.Y.Y.Y unreachable -admin prohibited, length 56
16:47:12.088548 IP X.X.X.X.60197 > Y.Y.Y.Y.tproxy: Flags [S] seq 4262429784 , win 8192 , options [mss 1460 , nop , wscale 8 , nop , nop , sackOK], lenght 0
16:47:12.088601 IP Y.Y.Y.Y > X.X.X.X: ICMP host Y.Y.Y.Y unreachable -admin prohibited, length 60
16:47:15.094336 IP X.X.X.X.60197 > Y.Y.Y.Y.tproxy: Flags [S] seq 4262429784 , win 8192 , options [mss 1460 , nop , wscale 8 , nop , nop , sackOK], lenght 0
16:47:15.094389 IP Y.Y.Y.Y > X.X.X.X: ICMP host Y.Y.Y.Y unreachable -admin prohibited, length 60
- X.X.X.X steht hier für die IP-Adresse des ePO-Servers, der den Reaktivierungsaufruf sendet.
- Y.Y.Y.Y steht für die IP-Adresse des Linux-Servers.
- Tproxy bezieht sich auf den Kommunikations-Port 8081.
Im vorliegenden Beispiel versucht der ePO-Server, die Kommunikationsverbindung über Port 8081 des Linux-Servers herzustellen (durch wiederholtes Senden des SYN-Segments), der Linux-Server antwortet jedoch lediglich mit einem ICMP-Fehler. Der Fehlercode (unreachable - admin prohibited) zeigt an, dass das TCP SYN-Segment aufgrund der Firewall-Regel (-admin prohibited) nicht erreicht werden konnte.
-
Suchen Sie die Regel, die für die Verhinderung der Kommunikation verantwortlich ist. Geben Sie iptables -L ein, und drücken Sie die EINGABETASTE.
Die Ausgabe sieht etwa wie folgt aus:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Nachdem Sie die Firewall-Regel deaktiviert bzw. so geändert haben, dass sie die Kommunikation über den TCP-Port 8081 TCP zulässt, wird der Linux-Server ordnungsgemäß auf den Reaktivierungsaufruf reagieren.
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
|