Falha na chamada de ativação do agente do servidor Linux
Artigos técnicos ID:
KB82686
Última modificação: 22/06/2016
Ambiente
McAfee VirusScan Enterprise for Linux (VSEL) 1.x, 2.x
Problema
Um servidor Linux gerenciado pelo ePolicy Orchestrator (ePO) não responde a uma chamada de ativação do agente do servidor ePO.
Causa
Uma regra de firewall no cliente impede a comunicação com o servidor ePO.
Solução
Desative ou modifique a regra de firewall do cliente que impede a comunicação com o servidor ePO. O cliente deve aceitar o tráfego na porta TCP 8081.
Para verificar e solucionar esse problema:
Certifique-se de que o endereço IP correto do servidor Linux esteja listado na árvore de sistemas do ePO e de que não haja nenhum outro problema com o agente:
- Abra uma sessão de linha de comando no servidor Linux e no servidor ePO.
- Confirme que o endereço IP correto do servidor Linux está registrado na árvore de sistemas do ePO.
- Execute ping no servidor ePO a partir do servidor Linux e execute ping no servidor Linux a partir do servidor ePO.
- Confirme se as informações de propriedades podem ser enviadas ao ePO pelo comando cmdagent no servidor Linux. Digite o seguinte comando no servidor Linux e pressione ENTER:
/opt/McAfee/cma/bin/cmdagent -P
Se as propriedades forem enviadas ao ePO, o valor de Hora da última comunicação será atualizado.
- Confirme se o agente registrou em log todos os erros de comunicação. Digite o seguinte comando no servidor Linux e pressione ENTER:
/opt/McAfee/cma/scratch/etc/log
- Confirme se a porta de comunicação de ativação do agente está com o status LISTEN. Digite netstat -an|grep8081 e pressione ENTER.
A saída deve ser semelhante ao seguinte:
tcp 0 0 0.0.0.0:8081 0.0.0.0:* LISTEN
Verifique se o firewall do cliente está bloqueando a comunicação com o servidor ePO:
- Ative a captura de pacote no servidor Linux e execute uma chamada de ativação a partir do servidor ePO.
Para ativar a captura de pacote, use um dos comandos a seguir:
tcpdump
ou
tcpdump -iethX
ou
tcpdump -w /tmp/packet.pcap -i ethX
Ao analisar a captura de pacote da rede, você encontrará os seguintes problemas:
16:46:53.617566 IP X.X.X.X.60195 > Y.Y.Y.Y.tproxy: Flags [S] seq 1384592987 , win 8192 , options [mss 1460 , nop , wscale 8 , nop , nop , sackOK], lenght 0
16:46:53.617627 IP Y.Y.Y.Y > X.X.X.X: ICMP host Y.Y.Y.Y unreachable -admin prohibited, length 60
16:46:56.625077 IP X.X.X.X.60195 > Y.Y.Y.Y.tproxy: Flags [S] seq 1384592987 , win 8192 , options [mss 1460 , nop , wscale 8 , nop , nop , sackOK], lenght 0
16:46:56.625131 IP Y.Y.Y.Y > X.X.X.X: ICMP host Y.Y.Y.Y unreachable -admin prohibited, length 60
16:46:58.616867 ARP , Request who-has X.X.X.X tell Y.Y.Y.Y , length 28
16:46:58.617158 ARP , Reply X.X.X.X is-at d8:9d:67:19:29:80 (oui unknown) , length 46
16:47:02.630779 IP IP X.X.X.X.60195 > Y.Y.Y.Y.tproxy: Flags [S] seq 1384592987 , win 8192 , options [mss 1460 , nop , nop , sackOK] , length 0
16:47:02.630833 IP Y.Y.Y.Y > X.X.X.X: ICMP host Y.Y.Y.Y unreachable -admin prohibited, length 56
16:47:12.088548 IP X.X.X.X.60197 > Y.Y.Y.Y.tproxy: Flags [S] seq 4262429784 , win 8192 , options [mss 1460 , nop , wscale 8 , nop , nop , sackOK], lenght 0
16:47:12.088601 IP Y.Y.Y.Y > X.X.X.X: ICMP host Y.Y.Y.Y unreachable -admin prohibited, length 60
16:47:15.094336 IP X.X.X.X.60197 > Y.Y.Y.Y.tproxy: Flags [S] seq 4262429784 , win 8192 , options [mss 1460 , nop , wscale 8 , nop , nop , sackOK], lenght 0
16:47:15.094389 IP Y.Y.Y.Y > X.X.X.X: ICMP host Y.Y.Y.Y unreachable -admin prohibited, length 60
- X.X.X.X é o endereço IP do servidor ePO que envia a chamada de ativação.
- Y.Y.Y.Y é o endereço IP do servidor Linux.
- Tproxy refere-se à porta de comunicação 8081.
Nesse exemplo, o servidor ePO tenta estabelecer a conexão com a porta 8081 no servidor Linux (enviando o segmento SYN repetidamente), mas o servidor Linux responde com um erro de ICMP. O código do erro (unreachable - admin prohibited) indica que o não foi possível alcançar o segmento SYN de TCP devido à regra de firewall (-admin prohibited).
-
Localize a regra que impede a comunicação. Digite iptables -L e pressione ENTER.
A saída será semelhante ao seguinte:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Após desativar a regra de firewall ou alterá-la para aceitar a porta TCP 8081, o servidor Linux responderá a uma chamada de ativação com êxito.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|
