Agent chiamata di attivazione non riuscita per Linux Server
Articoli tecnici ID:
KB82686
Ultima modifica: 06/11/2020
Ambiente
McAfee VirusScan Enterprise for Linux (VSEL) 2.x, 1.x
Problema
Un server Linux gestito da ePolicy Orchestrator (ePO) non risponde a una chiamata di attivazione Agent dal server ePO.
Causa
Una regola di firewall sul client impedisce la comunicazione con il server ePO.
Soluzione
Disattivare o modificare la regola client firewall che impedisce la comunicazione con il server ePO. Il client deve accettare il traffico su porta TCP 8081.
Per risolvere i problemi e verificare il problema:
Assicurarsi che l'indirizzo IP corretto per il server Linux sia elencato nella struttura dei sistemi ePO e che non vi siano altri problemi con il Agent:
- Aprire una sessione della riga di comando sul server server Linux e ePO.
- Verificare che l'indirizzo IP corretto per il server Linux sia registrato nella struttura dei sistemi ePO.
- Eseguire il ping del server ePO dal server di Linux e eseguire il ping del server di Linux dal server ePO.
- Verificare che le informazioni sulle proprietà possano essere inviate a ePO da cmdagent comando su Linux Server. Digitare il seguente comando sul server Linux e premere INVIO:
/opt/McAfee/cma/bin/cmdagent -P
Se le proprietà vengono inviate a ePO, il Ora ultima comunicazione viene aggiornato.
- Verificare se il agent ha registrato errori di comunicazione. Digitare il seguente comando sul server Linux e premere INVIO:
/opt/McAfee/cma/scratch/etc/log
- Verificare che la porta di comunicazione di attivazione agent sia in stato di ascolto. Tipo netstat -an|grep8081 e premere INVIO.
L'output è simile a:
tcp 0 0 0.0.0.0:8081 0.0.0.0:* LISTEN
Verificare che il client firewall stia bloccando la comunicazione con il server ePO:
- Attivare la cattura dei pacchetti sul server Linux ed eseguire una chiamata di attivazione dal server ePO.
Per abilitare la cattura dei pacchetti, utilizzare uno dei seguenti comandi:
tcpdump
O
tcpdump -iethX
O
tcpdump -w /tmp/packet.pcap -i ethX
Durante la revisione della cattura dei pacchetti di rete, vengono visualizzati i seguenti problemi:
16:46:53.617566 IP X. X. X. x. 60195 > Y. y. y. y. tproxy: flags [S] Seq 1384592987, Win 8192, options [MSS 1460, NOP, WSCALE 8, NOP, NOP, sackOK], lunghezza 0
16:46:53.617627 IP Y. y. y. Y > X. X. X. x: ICMP host Y. y. Y. y irraggiungibile-amministratore vietato, lunghezza 60
16:46:56.625077 IP X. X. X. x. 60195 > Y. y. y. y. tproxy: flags [S] Seq 1384592987, Win 8192, options [MSS 1460, NOP, WSCALE 8, NOP, NOP, sackOK], lunghezza 0
16:46:56.625131 IP Y. y. y. Y > X. X. X. x: ICMP host Y. y. Y. y irraggiungibile-amministratore vietato, lunghezza 60
16:46:58.616867 ARP, Richiedi chi-ha X. X. X. X Tell Y. y. Y. Y, lunghezza 28
16:46:58.617158 ARP, Reply X. x. X. x è-at D8:9D: 67:19:29:80 (Oui Unknown), lunghezza 46
16:47:02.630779 IP IP X. x. X. x. 60195 > Y. y. y. tproxy: flags [S] Seq 1384592987, Win 8192, options [MSS 1460, NOP, NOP, sackOK], length 0
16:47:02.630833 IP Y. y. y. Y > X. X. X. x: ICMP host Y. y. Y. y irraggiungibile-amministratore vietato, lunghezza 56
16:47:12.088548 IP X. X. X. x. 60197 > Y. y. y. y. tproxy: flags [S] Seq 4262429784, Win 8192, options [MSS 1460, NOP, WSCALE 8, NOP, NOP, sackOK], lunghezza 0
16:47:12.088601 IP Y. y. y. Y > X. X. X. x: ICMP host Y. y. Y. y irraggiungibile-amministratore vietato, lunghezza 60
16:47:15.094336 IP X. X. X. x. 60197 > Y. y. y. y. tproxy: flags [S] Seq 4262429784, Win 8192, options [MSS 1460, NOP, WSCALE 8, NOP, NOP, sackOK], lunghezza 0
16:47:15.094389 IP Y. y. y. Y > X. X. X. x: ICMP host Y. y. Y. y irraggiungibile-amministratore vietato, lunghezza 60
- x. X. X. x è l'indirizzo IP del server ePO che invia la chiamata di attivazione.
- y. Y. Y. Y è l'indirizzo IP del server di Linux.
- Tproxy è la porta di comunicazione, 8081.
In questo esempio, il server ePO tenta di stabilire la connessione alla porta 8081 sul server Linux (inviando ripetutamente il segmento SYN), ma il server Linux risponde con un errore ICMP. Il codice di errore (unreachable - admin prohibited) indica che non è stato possibile raggiungere il segmento TCP SYN a causa della regola di firewall (-admin prohibited).
-
Individuare la regola che impedisce la comunicazione. Tipo iptables -L e premere INVIO.
L'output è simile a:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Dopo aver disattivato la regola di firewall o averla modificata in modo che accetti porta TCP 8081 TCP, il server Linux reagirà correttamente a una chiamata di attivazione.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|