أستكشاف أخطاء معرف 11 وإصلاحها على نقطة نهاية SUSE Linux الآمنة

المقدمة

يصف هذا وثيقة العملية أن يحل Fault ID 11 من Secure Endpoint 15 SUSE Linux Enterprise  SP2 .

المتطلبات

تتوفر واجهة سطر الأوامر (CLI) لجميع مستخدمي النظام، رغم أن توفر بعض الأوامر يعتمد على تكوين النهج و/أو أذونات الجذر. والاوامر التي تعتمد عليها يكشف عنها في كل هذه المقالة.

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• Linux Command Line

• Secure Endpoint

المكونات المستخدمة

أسست المعلومة يستعمل في الوثيقة على هذا برمجية صيغة:

• Secure Endpoint  1.20

• SUSE Linux Enterprise 15 SP2  Kernel الإصدار 5.3.18-24.96-default

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

في SUSE Linux Enterprise 15 Service Pack (SP) 2 ، مع إصدارات kernel الأكبر من أو تساوي 5.3.18، يستخدم الموصل وحدات eBPF لنظام الملفات ومراقبة الشبكة في الوقت الفعلي. تستبدل eBPF الوحدات Kernel وحدات لينوكس المستخدمة عند تشغيلها RHEL 6, RHEL 7, Oracle Linux 7 RHCK, Oracle Linux 7 UEK 5 وقبل تشغيلها، Amazon Linux 2 ونظام kernel 4.14 أو إصدار سابق.  بالنسبة Ubuntu للطراز 18.04 والإصدارات الأحدث، وكذلك Debian الإصدار 10 والإصدارات الأحدث، eBPF تعد الوحدات الأصلية.

للحصول على توافق صحيح، يقوم الموصل تلقائيا بتجميع الوحدات eBPF النمطية التي يستخدمها الموصل قبل تحميلها وتشغيلها على النظام. kernel-devel يتطلب هذا التحويل البرمجي أن يتم تثبيت ملفات رأس تطوير kernel التي تتوافق مع الحالي. عند تمكين مراقبة الوقت الحقيقي filesystem والشبكة، يقوم الموصل بتجميع الوحدات eBPF النمطية في كل مرة يتم فيها تشغيل الموصل، أو في الوقت الحقيقي عند تمكين هذه الميزات، كجزء من تحديث السياسة.

عندما يفتقد النظام حزمة kernel-devel الحالية، يزيد الموصل معرف الخطأ 11: شبكة RealTime ومراقبة الملفات غير متوفرة. قم بتثبيت حزمة kernel-devel لنواة kernel التي تعمل حاليا ثم أعد تشغيل الموصل. المشكلة مع هذا الخطأ أن موصل لينوكس يعمل في حالة متدهورة، ما يعني أنه لا يعمل كما هو متوقع حتى يتم حل الخطأ.

استكشاف الأخطاء وإصلاحها

إن يكون خطأ 11 مرتفع، بعد ذلك يظهر هذا خطأ سجل: 

• ابحث عن سطور السجل الموجودة في سجل النظام /var/log/messages والمتشابهة مع هذا: 

init: cisco-amp pre-start: AMP kernel modules are not required on this kernel version '5.3.18-24.96-default'; skipping reinstalling kernel modules

يشير السجل إلى أن إصدار kernel الحالي على الكمبيوتر لا يستخدم وحدات kernel النمطية لمراقبة الشبكة filesystem . في إصدارات kernel الأكبر من أو تساوي 4.18، تتم مراقبة الشبكة filesystem والشبكة باستخدام eBPF الوحدات النمطية.

كيفية تعريف رؤوس kernel الغائبة

عندما يعمل الموصل على جهاز كمبيوتر بدون رؤوس kernel، Fault ID 11 (Realtime network and file monitoring is unavailable)، فإن الموصل يعمل في حالة متدهورة دون filesystem مراقبة الشبكة.
يمكن تنفيذ هذه الخطوات من نافذة طرفية لتحديد ما إذا كان الموصل kernel-header موجودا أم لا.

الخطوة 1. من الجهاز المتأثر، تأكد من أن الموصل لديه Fault ID 11 :

# /opt/cisco/amp/bin/ampcli 
# status
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2022-08-03 06:31:42 PM
Policy: iscarden - Linux (#22192)
Command-line: Enabled
Orbital: Disabled
Faults: 1 Critical
Fault IDs: 11
           ID 11 - Critical: Realtime network and file monitoring is unavailable. Install the kernel-devel package for the currently running kernel, then, restart the Connector.

من وحدة تحكم نقطة النهاية الآمنة، اعثر على الجهاز المتأثر ووسع التفاصيل للتحقق من قسم "الخطأ".

خطوة 2. فحصت ال kernel حالي مع هذا أمر:

$ uname -r
5.3.18-150200.24.115-default

الخطوة 3. للتحقق مما إذا كانت رؤوس الحقول مثبتة أم لا:

# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")

# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//")

يجب أن يكون الإخراج كما يلي:

حيث يشير i+ إلى أن الحزمة مثبتة. إذا كان العمود الأيسرvأو فارغا، فيجب تثبيت الحزمة.

يناسب SUSE الكمبيوتر تثبيت رؤوس kernel إذا كانت جميع هذه العناوين صحيحة:

• يحتوي الموصل على معرف الخطأ 11.
• الحد الأدنى kernel للإصدار هو 5.3.18.
• لم يتم تثبيت kernel الرؤوس.

قرار

إذا لم يكن SUSE للجهاز رؤوس kernel المطلوبة، يمكن إستخدام هذا الإجراء لتثبيت رؤوس kernel المطلوبة على الجهاز.

الخطوة 1. قم بتثبيت رؤوس kernel الضرورية:

# sudo zypper install --oldpackage kernel-default-devel=$(uname -r | sed 's/-default//')

# sudo zypper install --oldpackage kernel-devel=$(uname -r | sed 's/-default//') 

الخطوة 2. إعادة تشغيل الموصل:

# sudo systemctl stop cisco-amp

# sudo systemctl start cisco-amp 

الخطوة 3. تأكد من مسح الخطأ:

# /opt/cisco/amp/bin/ampcli
# status

Trying to connect...
Connected.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2022-08-05 01:29:47 PM
Policy: iscarden - Linux (#22201)
Command-line: Enabled
Orbital: Disabled
Faults: None
ampcli > quit 

التحقق من الصحة

للتحقق من تثبيت رؤوس kernel الآن، قم بتشغيل الأوامر التالية:

# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")

# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//") 

قبل أن تقوم بالتبديل، كان لديك مخرجات مماثلة لهذا:

بعد أن تقوم بالتبديل، يجب أن يكون المخرج مماثلا لهذا:

معلومات ذات صلة

• تحقق من توافق نظام تشغيل موصل Linux الآمن
• خطأ Linux Kernel-Devel
• بناء الوحدات النمطية لنواة نقطة النهاية الآمنة Cisco Secure Endpoint Connector Linux Kernel Modules