Red Hat Enterprise Linux (RHEL) 7.5

Symantec Endpoint Protection for Linux (SEPfL) 14 RU1 MP2 或 14.2

安装 SEPfL 途中,RHEL 服务器挂起或崩溃。之后可能无法卸载 SEPfL。必须重建服务器才能恢复操作。
  • RHEL 7.5
  • SEPfL 14 RU1 MP2 或 14.2

安装 SEPfL 时,从 SEPfL 14 RU1 MP2 或 14.2 RPM 文件中提取不匹配的内核模块。当 SEPfL 尝试加载不匹配的内核时,服务器挂起或崩溃。

在 14.2 MP1 中添加了对 RHEL 7.5 的自动编译支持。对于 SEPfL 14 RU1 MP2 或 14.2,解决方法如下。解决方法以注释脚本的形式呈现。导航到包含 SEPfL install.sh 脚本的文件夹,然后按所示顺序逐个发出命令。

#如果存在,则卸载 SEPfL 并删除任何剩余痕迹。
./install.sh -u
rm -rf /opt/Symantec/symantec_antivirus /etc/symantec/sep /var/symantec/sep /etc/Symantec.conf /etc/savfl_install.cfg /root/sep*.log*

#遵照 http://www.symantec.com/docs/HOWTO101761(“安装 Symantec Endpoint Protection for Linux 客户端”)
说明进行安装,#但在安装程序运行之前执行一处更改,在运行后执行另一处更改。

#首先确保自动防护模块未安装或加载,只需将其拖放到 / /dev/null 中以验证其是否崩溃。

mkdir /opt/Symantec
ln -s /dev/null /opt/Symantec/autoprotect

#现在安装正常进行。

./install.sh -i

#删除 /dev/null 的符号链接。

rm -f /opt/Symantec/autoprotect
mkdir /opt/Symantec/autoprotect
/etc/init.d/autoprotect stop

#下一步,我们将遵照 http://www.symantec.com/docs/TECH132773 的说明操作(“手动编译 Endpoint Protection for Linux 的自动防护内核模块”)。
#请注意,如果使用 14.2,则内核模块的版本号会有所不同。

cd /opt/installs/sep-sym/src/ap-kernelmodule-14.0.3929-1200
./build.sh --kernel-dir /lib/modules/$(uname -r)/build

#这需要几秒钟,并重新启动这些服务。
#更新定义 - 必要时手动定义代理(如果您通过 SEPM 更新则不需要)。

#export http_proxy=internal_proxy:3128
/opt/Symantec/symantec_antivirus/sav liveupdate -u

#更新完成后,等待 10 分钟以等待流程完成,然后进行一些检查。
#请注意,如果使用 14.2,则返回的产品版本会有所不同。

/opt/Symantec/symantec_antivirus/sav info -d # will return a very recent definitions version
/opt/Symantec/symantec_antivirus/sav info -a # will return "Enabled"
/opt/Symantec/symantec_antivirus/sav info -e # will return "151.1.4.39"
/opt/Symantec/symantec_antivirus/sav info -p # will return "14.0.1 (14.0 RU1 MP2) build 3929 (14.0.3929.1200)"
/opt/Symantec/symantec_antivirus/sav info -s # will return "General Status: Done Manual Scan: Done"

#接下来,尝试保存 EICAR 标准防病毒测试文件至磁盘以进行测试。有关详细信息, 
#请参阅  http://www.symantec.com/docs/HOWTO100330(“测试病毒和间谍软件防护策略”)。
#忽略可能显示的错误消息。

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > /tmp/test

#上述文件不会写入磁盘,但会显示在日志中,如下所示。

cat /var/symantec/sep/Logs/AVMan.log

00080000        0007fe9f        00000001        ffffffff        00000000        0000001e

00000160        01d3f829486ea7c8        01d3f82945118500        01d3f82945118500        00000001        30041E0F1106,5,1,2,test-689609,root,EICAR Test String,/tmp/test,5,1,1,256,33574980,"",0,,0,,725614592,11101,0,0,0,,,,20180530.002,193452,0,,0,,,,,,,00:50:56:b5:4f:ad,14.0.3929.1200,,,,,,,,,,,,,,,,0,,,0,,502          69      2       131f95c51cc819465fa1797f6ccacf9d494aaaff46fa3eac73ae63ffbdfd8267,,,,1

HOWTO100330
测试病毒和间谍软件防护策略
Last Updated 四月 24, 2019

HOWTO101761
安装 Symantec Endpoint Protection for Linux 客户端
Last Updated 四月 24, 2019

非常感谢您的反馈。如果您还有其他意见,请在下方告诉我们。(需要登录)

    © 1995-2019 Symantec Corporation