本事象の概要
auditdやSELinux、Secure Boot機能が有効化されている場合、SPLXのリアルタイムスキャンを有効化した際に、KHMのアンロード/リロードに失敗する場合があります。
また、KHM自体がインストールされていない場合は、アンロード/リロードに失敗します。
対象
Server Protect for Linux 3.0
対処方法
エラーが表示された場合は、下記をお試しください。
- KHMのダウンロード
- auditdおよびSELinuxの無効化
- Secure Boot機能の無効化
- ロックファイルの確認
1.KHMのダウンロード
KHM自体が存在しない場合は、下記製品FAQをご確認の上、モジュールのダウンロードとインストールを実施してください。
ServerProtect for Linuxのカーネルフックモジュール (KHM) が対応するLinuxカーネルについて
2.auditdおよびSELinuxの無効化
auditdまたは、SELinuxの影響によって、KHMを正常にロードできない場合があります。
各サービスを一旦無効にし、エラーが解消されるかお試しください。
※各OSによって実施手順が異なる可能性があります。
もし手順にご不明点ございましたら、OSベンダーへお問合せください。
[auditd の無効化]
# chkconfig auditd off 2345
# reboot
[SELinuxの無効化]
(1) viエディタ等で、/etc/selinux/configファイルを編集します。
初期設定では、7行目に記載されている”SELINUX=enforcing”の記述を”SELINUX=disabled”に修正し、上書きコピーします。
(2)サーバを再起動します。
3.Secure Boot機能の無効化
ご利用のLinuxコンピュータにてUEFI Secure Bootが有効になっている場合、KHMを正常にロードできない場合があります。
その場合はご利用のUEFI Secure Bootを無効化してください。
4.ロックファイルの確認
以下のコマンドをお試しいただき、
SPLX のサービスステータスをご確認ください。
/etc/init.d/splx status
------------------------------------------------
splxmod module is stopped
vsapiapp is dead, but the subsys is locked.
The subsys path is '/var/lock/subsys/vsapiapp'.
------------------------------------------------
vsapiapp プロセスが dead ファイルとなり異常終了した場合は
上記のメッセージが出力されます。
OS 起動時に実行されたプロセスを
OS 側で管理するために、作成されるファイルですが
正常に管理されずデッドファイルとなったと推測されます。
何らかの要因で vsapiapp がダウンしている状態となるため、
KHM が読み込まれないことが想定されます。
以下のロックファイルの削除手順にて、
KHM が読み込まれるがご確認をお願いいたします。
------------------------------------------------------------
■ロックファイルの削除
------------------------------------------------------------
削除前には事前に splx サービスを停止してから行ってください。
# /etc/init.d/splx stop
メッセージに出力されております下記ファイルを
通常の rm コマンドで削除します。
/var/lock/subsys/vsapiapp
ロックファイルを削除後、SPLX サービスの起動を実施してください。
# /etc/init.d/splx start
-----------------------------------------------------------
「vsapiapp.pid」もあれば削除をお願いします。
------------------------------------------------------------
■ロックファイルの削除
------------------------------------------------------------
1)SPLX サービスを停止します。
# /etc/init.d/splx stop
2)以下のディレクトリへ移動します。
# cd /var/run
3)run ディレクトリ内に「vsapiapp.pid」ファイルが残っている場合は、
ファイルを削除してください。
4)SPLX サービスを再開します。
# /etc/init.d/splx start
5)その後、ステータスをご確認ください。
# /etc/init.d/splx status
------------------------------------------------------------
上記によっても解消されない場合は、一度OS の再起動を行っていただき、
事象の改善がみられるかご確認いただけますでしょうか。
OS 再起動が困難な場合は、該当プロセスを kill していただき、
その場、SPLX サービスの再起動をご実施いただけますでしょうか。
kill -9 <PID>
・SPLX サービス再起動
# /etc/init.d/splx restart
KHMがロードできない事象に変化が見られない場合は、
以下の情報をサポートセンターへご提供いただけますと幸いです。
・上記1~4の確認結果
・以下の OSの基本情報
(1) OSのバージョン情報
Red Hat Linux の場合:
# cat /etc/redhat-release
(2) カーネルの情報
# uname -rm
(3) bootディレクトリの情報
# ls -al /boot
(4) コンピュータ上に存在しているカーネルフックモジュール(KHM)の情報
# cd /opt/TrendMicro/SProtectLinux/SPLX.module
# ls -al | grep splxmod
(5) KHMのチェックサム
# md5sum /opt/TrendMicro/SProtectLinux/SPLX.module/*
(6) KHMのロード状況
# lsmod | grep splxmod
(8) splxサービスの現在の状態
# /etc/init.d/splx status
(9) SPLXビルド情報
# rpm -qa |grep splx
(10) ライセンス情報
# /opt/TrendMicro/SProtectLinux/SPLX.vsapiapp/splxmain -E
以上の情報を "GeneralInfo.txt" と言うファイル名のテキストファイルへ
まとめて出力してください。