Здравствуйте, уважаемые читатели моего блога!
К сожалению, последнее время у меня было мало времени делиться с Вами историями из своего практического опыта — сначала отпуск, потом командировка с запредельными переработками (приползая в гостиницу после полуночи, думал только о бренности бытия 🙂 ).
Как только нагрузка спала и я перешёл к повседневным задачам стало немного веселее.
Сегодня я поделюсь с Вами опытом миграции антивируса Dr.Web Enterprise Security Suite с 11 на 13 версию.
Помимо миграции антивирусного программного обеспечения параллельно проводилась миграция с Astra Linux SE 1.5 на 1.6 (да — это свершилось и наш вышестоящий филиал решил перейти на более современную версию).
На сегодняшней день у меня достаточно опыта администрирования операционной системы Astra Linux SE 1.6, но не антивируса Dr.Web ESS 13. Его я устанавливал пару раз на новых системах и проблем не отмечал — здесь же столкнулся сразу с двумя.
Но обо всём по порядку. Началось всё с того, что после инсталляции Dr.Web для Linux 11.1 и его подключения к серверу Dr.Web ESS 13 я получил ошибку x113 — ядро антивируса отказалось запускаться.
Прочитав справку и системные журналы я понял, что проблема в модуле, которого для моей версии ядра нет. Кроме того, версия ядра установленная в моей системе поддерживает fanotify, стало быть, модуль мне и не нужен.
В технической документации к антивирусу указанно, что для устранения данной ошибки необходимо выполнить команду:
drweb-ctl cfset LinuxSpider.Mode AUTO
Но даже выполнив указанную команду, результата я всё равно не получил (к слову и какого-то вывода результата команды тоже).
Я не понимал, что происходит и обратился в техническую поддержку Dr.Web.
Сразу хочу отметить, что в отличие от других компаний здесь на первой линии сидит умудренный опытом специалист, с которым приятно было вести диалог.
Я не услышал – «оставьте свой адрес электронной почты», «напишите заявку», «предоставьте договор о технической поддержке и копию лицензии с каплей крови…» :-).
Специалист выслушал меня и рассказал о параметре AUTO из справки. Я ответил, что понимаю, что проблема в нём, но он не меняется. Тут мне открыли глаза и сказали, что так как Вы подключили его к серверу, то настройки он берёт именно с сервера (игнорирует локальные настройки).
Нашёл аналогичные настройки на сервере Dr.Web ESS 13 и выставив Fanotify — получил рабочий антивирус (можно было выбрать AUTO, но результат был бы тот же самый).
Сутки всё проработало отлично, а потом внезапно все антивирусы потеряли связь с сервером.
Ну что такое… команда drweb-ctl appinfo выдавала ошибку х125 – которая в соответствии с технической документацией на антивирус означает — «произошло что-то непонятное».
В журнале /var/log/daemon.log перед «уходом в царство Аида» ES агенты Dr.Web ESS 13 оставили свои последние слова – «bad lexical cast: source type value could not be interpreted as target» (не «to be or not to be…», но тоже неплохо 🙂 ) .
По совету технической поддержки установил режим отладки в журнале агента и начал ждать когда крах ES агентов повториться вновь. Целые сутки агенты работали без проблем, а потом все умерли ровно в 10 часов.
Тут можно было уже не гадать – проблема в параметрах передаваемых планировщиком задач. Удалил старые задачи, создал их заново – проблема исчезла.
До этого много манипулировал с системным временем, так как в ходе миграции на AL SE 1.6 выяснилось, что батарейки на материнских платах давно сели. Антивирусы запускали пропущенные задачи и ошибка не имела привязки ко времени, после того как всё было настроено — проблема приобрела очертания.
Какие выводы можно сделать из этой истории?
Параметр LKM (linux kernel mode), отвечающий за режим работы SpiderGuard который приводил к ошибке х113 был импортирован из старых настроек, а задания планировщика задач и вовсе содержали неверные инструкции для агентов — вызывая их завершение и ошибку х125.
От себя хотел бы отметить, что было бы здорово, выдавать диагностическое сообщения при использовании утилиты drweb-ctl cfset если антивирус подключен к серверу администрирования (что-то вроде — «Ваш антивирус управляется сервером Dr.Web ESS 13, локальное редактирование настроек невозможно).
За мнимым благополучием автоматического импорта настроек старой версии антивируса которая должна была сэкономить мне время — скрывались неприятные проблемы. Чистая установка антивирусного сервера при незначительном количестве рабочих станций заняла бы куда меньшее время — но зато история вышла интересная.
Всем хорошего времени суток!
Полезная статья
Спасибо!)