Falha na chamada de ativação do Agent para o servidor do Linux
Artigos técnicos ID:
KB82686
Última modificação: 03/11/2020
Ambiente
McAfee VirusScan Enterprise for Linux (VSEL) 2.x, 1.x
Problema
Um servidor Linux gerenciado pelo ePolicy Orchestrator (ePO) não responde a uma chamada de ativação do Agent do servidor ePO.
Causa
Uma regra de firewall no cliente impede a comunicação com o servidor ePO.
Solução
Desativar ou modificar a regra de firewall do cliente que impede a comunicação com o servidor ePO. O cliente deve aceitar o tráfego no porta TCP 8081.
Para solucionar esse problema:
Verifique se o endereço IP correto para o servidor Linux está listado na árvore de sistemas do ePO e que não há outros problemas com o Agent:
- Abra uma seção de linha de comando no servidor Linux e no servidor ePO.
- Confirme se o endereço IP correto do servidor Linux está registrado na árvore de sistemas do ePO.
- Efetue ping no servidor ePO a partir do servidor de Linux e efetue ping no servidor de Linux a partir do servidor ePO.
- Confirme se as informações de propriedades podem ser enviadas ao ePO pelo cmdagent comando no servidor de Linux. Digite o seguinte comando no servidor Linux e pressione Enter:
/opt/McAfee/cma/bin/cmdagent -P
Se as propriedades forem enviadas para o ePO, o Horário da última comunicação é atualizado.
- Confirme se o agente registrou em log algum erro de comunicação. Digite o seguinte comando no servidor Linux e pressione Enter:
/opt/McAfee/cma/scratch/etc/log
- Confirme se a porta de comunicação de ativação do agente está em status de escuta. Ferência netstat -an|grep8081 e pressione Enter.
A saída é semelhante a:
tcp 0 0 0.0.0.0:8081 0.0.0.0:* LISTEN
Verifique se a firewall do cliente está bloqueando a comunicação com o servidor ePO:
- Ativar captura de pacotes no servidor Linux e execute uma chamada de ativação a partir do servidor ePO.
Para ativar a captura de pacote, use um dos comandos a seguir:
tcpdump
Quanto
tcpdump -iethX
Quanto
tcpdump -w /tmp/packet.pcap -i ethX
Ao revisar a captura de pacotes de rede, você verá os seguintes problemas:
16:46:53.617566 IP X. X. X. X. 60195 > y. y. tproxy: sinalizadores [S] Seq 1384592987, Win 8192, opções [MSS 1460, Nop, wscale 8, Nop, Nop, sackOK], comprimento 0
16:46:53.617627 IP de. y. y. Y > X. x. x. x: ICMP host Y. y. y. n inacessível-admin proibido, comprimento 60
16:46:56.625077 IP X. X. X. X. 60195 > y. y. tproxy: sinalizadores [S] Seq 1384592987, Win 8192, opções [MSS 1460, Nop, wscale 8, Nop, Nop, sackOK], comprimento 0
16:46:56.625131 IP de. y. y. Y > X. x. x. x: ICMP host Y. y. y. n inacessível-admin proibido, comprimento 60
16:46:58.616867 ARP, solicite quem possui X. X. x. Y, y. X, tamanho 28
16:46:58.617158 ARP, Reply X. x. x. x is-at D8:9d: 67:19:29:80 (Oui desconhecido), comprimento 46
16:47:02.630779 IP IP X. x. X. x. 60195 > Y. y. tproxy: sinalizadores [S] Seq 1384592987, Win 8192, opções [MSS 1460, Nop, Nop, sackOK], comprimento 0
16:47:02.630833 IP de. y. y. Y > X. x. x. x: ICMP host Y. y. y. n inacessível-admin proibido, comprimento 56
16:47:12.088548 IP X. X. X. X. 60197 > y. y. tproxy: sinalizadores [S] Seq 4262429784, Win 8192, opções [MSS 1460, Nop, wscale 8, Nop, Nop, sackOK], comprimento 0
16:47:12.088601 IP de. y. y. Y > X. x. x. x: ICMP host Y. y. y. n inacessível-admin proibido, comprimento 60
16:47:15.094336 IP X. X. X. X. 60197 > y. y. tproxy: sinalizadores [S] Seq 4262429784, Win 8192, opções [MSS 1460, Nop, wscale 8, Nop, Nop, sackOK], comprimento 0
16:47:15.094389 IP de. y. y. Y > X. x. x. x: ICMP host Y. y. y. n inacessível-admin proibido, comprimento 60
- x. X.x.x. x. X é o endereço IP do servidor ePO que envia a chamada de ativação.
- y. y. y é o endereço IP do servidor Linux.
- Tproxy é a porta de comunicação, 8081.
Neste exemplo, o servidor ePO tenta estabelecer a conexão com a porta 8081 no servidor Linux (enviando o segmento de SYN repetidamente), mas o servidor Linux responde com um erro de ICMP. O código de erro (unreachable - admin prohibited) indica que o segmento SYN TCP não pôde ser acessado devido à regra de firewall (-admin prohibited).
-
Localize a regra que impede a comunicação. Ferência iptables -L e pressione Enter.
A saída é semelhante a:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Depois de desativar a regra de firewall ou alterá-la para aceitar porta TCP 8081 TCP, a servidor Linux responderá com êxito a uma chamada de ativação.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|