Overview
En Red Hat Enterprise Linux (RHEL) 8 y variantes, Oracle Linux 8 Red Hat Compatible Kernel (RHCK), Oracle Linux 7 y 8 Unbreakable Enterprise Kernel (UEK) 6, así como Amazon Linux 2 que se ejecuta en un kernel del sistema 4.19 o más reciente, el conector de Cisco Secure Endpoint Linux no podrá supervisar los movimientos de archivos ni habilitar la Correlación de flujo de dispositivos (supervisión de red) cuando se realice el paquete de núcleo. o el paquete kernel-uek-devel en Oracle Linux UEK, falta para el kernel que se está ejecutando actualmente. El conector generará el ID de falla 11 "Falta el paquete necesario para el desarrollo del núcleo" en esta situación. Para Debian y Ubuntu, esta falla puede surgir cuando falta el paquete linux-header.
A partir de RHEL 8, Oracle Linux 8 RHCK, Oracle Linux 7 y 8 UEK 6 y Amazon Linux 2 kernel 4.19 o posterior, el conector utilizará módulos eBPF para el sistema de archivos en tiempo real y el monitoreo de red. Los módulos eBPF reemplazan a los módulos Linux Kernel que se utilizan cuando se ejecutan en RHEL 6, RHEL 7, Oracle Linux 7 RHCK, Oracle Linux 7 UEK 5 y versiones anteriores y Amazon Linux 2 kernel 4.14 o anteriores. Para Ubuntu 18.04 y posteriores, así como Debian 10 y posteriores, los módulos eBPF son nativos.
Para una mayor compatibilidad, el conector compilará automáticamente los módulos eBPF utilizados por el conector antes de cargarlos y ejecutarlos en el sistema. Esta compilación requiere que se instalen los archivos de encabezado de desarrollo del núcleo correspondientes al núcleo que se está ejecutando actualmente. Cuando el sistema de archivos en tiempo real y el monitoreo de red está habilitado, el conector compilará los módulos eBPF cada vez que se inicie el conector, o en tiempo real cuando estas funciones se habiliten como parte de una actualización de política.
Aplicabilidad
La falla se producirá normalmente después de una nueva instalación del conector Secure Endpoint Linux o después de actualizar el kernel del sistema.
Sistemas operativos
- RHEL/CentOS/Rocky Linux/AlmaLinux 8
- Oracle Linux 8 RHCK
- Oracle Linux 7 y 8 UEK 6
- Ubuntu 18.04 y posteriores
- Debian 10 y posterior
- Amazon Linux 2
Versiones de conectores
- Linux 1.13.0 y posteriores
RHEL Linux
El paquete kernel-devel instala los archivos de encabezado de desarrollo del núcleo necesarios en el directorio /usr/src/kernels, organizados según su versión del kernel.
Causas
Falta el paquete de desarrollo de kernel requerido para el monitoreo de actividad de red y sistema de archivos en tiempo real y la política del conector tiene habilitada la opción 'Monitorear copias y movimientos de archivos' o la opción 'Habilitar correlación de flujo de dispositivos'.
Resolución
Instale el paquete `kernel-devel` que coincida con el núcleo que se está ejecutando actualmente.
Alternativamente, en la rara situación en que el sistema de archivos en tiempo real y el monitoreo de red no son necesarios, este error puede ser borrado desactivando 'Monitor File Copies and Moves' y 'Enable Device Flow Correlation' en la política. Tenga en cuenta que el conector no proporcionará protección en tiempo real del sistema cuando se desactiven estas funciones.
Procedimiento
Para instalar el paquete kernel-devel correspondiente al núcleo que se está ejecutando actualmente, ejecute lo siguiente.
dnf install -y kernel-devel-$(uname -r)
El conector debe recuperarse y despejar la falla en un minuto. Si la falla no se borra en un minuto, reinicie manualmente el conector. El error debe eliminarse en el plazo de un minuto después del reinicio.
NOTA: Si el comando anterior falla con un error "No match for argumento", es posible que la versión actual del kernel ya no esté soportada y el responsable del SO haya eliminado el paquete del repositorio dnf. En este caso, el paquete .rpm de tamaño kernel necesario se puede descargar manualmente de los archivos del sistema operativo del proveedor y luego se puede instalar manualmente, o el kernel puede actualizarse a una versión soportada y el comando anterior se puede volver a intentar.
Por ejemplo, si el uso de CentOS y la actualización del kernel a una versión soportada por la distribución no es posible, los paquetes antiguos .rpm de kernel-devel para CentOS se pueden descargar manualmente desde http://vault.centos.org. El nombre del archivo que se va a descargar se proporciona mediante el resultado del siguiente comando bash.
echo kernel-devel-$(uname -r).rpm
Una vez descargado, el paquete kernel-devel se puede instalar ejecutando el siguiente comando bash en el directorio donde se guarda el archivo .rpm descargado.
dnf install -y kernel-devel-$(uname -r).rpm
Oracle Linux
Oracle Linux se distribuye con dos alternativas de kernel diferentes, RHCK y UEK. Los paquetes kernel-devel y kernel-uek-devel instalan los archivos de encabezado de desarrollo del núcleo necesarios en el directorio /usr/src/kernels en RHCK y UEK, respectivamente. Los archivos de desarrollo del núcleo se organizan en /usr/src/kernels según su versión del núcleo.
Oracle Linux RHCK
El procedimiento para identificar el paquete del núcleo faltante y resolver el ID de falla 11 en Oracle Linux RHCK es idéntico al de RHEL Linux. Consulte la sección RHEL Linux anterior para obtener más información.
Oracle Linux UEK
El procedimiento para identificar el paquete del núcleo faltante y resolver el ID de falla 11 en Oracle Linux UEK es similar pero no idéntico al de RHEL Linux. Consulte la sección RHEL Linux anterior para obtener más información, pero reemplace cada instancia de "kernel-devel" por "kernel-uek-devel". Para ser específicos, reemplace kernel-devel-$(uname -r) con kernel-uek-devel-$(uname -r)
para cada comando relevante.
NOTA: Si no se puede encontrar el paquete kernel-uek-devel .rpm necesario cuando se intenta instalar desde el repositorio dnf, el paquete se puede descargar e instalar manualmente desde los archivos de Oracle en https://yum.oracle.com/.
Debian/Ubuntu Linux
El paquete linux-header instala los archivos de encabezado necesarios en el directorio /usr/src, organizados según su versión del kernel.
Causas
Falta el paquete de los encabezados linux requerido para el monitoreo de actividad de red y sistema de archivos en tiempo real y la política del conector tiene habilitada 'Monitor File Copies and Moves' o 'Enable Device Flow Correlation' .
Resolución
El paquete linux-header se puede instalar con el siguiente comando:
sudo apt install linux-headers-$(uname -r)