Aperçu
Sur Red Hat Enterprise Linux (RHEL) 8 et les variantes, ainsi qu'Amazon Linux 2 exécuté sur un noyau système 4.19 ou plus récent, le connecteur Cisco Secure Endpoint Linux ne pourra pas surveiller les déplacements de fichiers ou activer la corrélation de flux de périphériques (surveillance du réseau) lorsque le paquet de périphérique du noyau est manquant pour le noyau en cours d'exécution. Le connecteur déclenchera l'ID de panne 11 "Le package de développement de noyau requis est manquant » dans cette situation. Pour Ubuntu Linux, cette erreur peut être soulevée lorsque le paquet linux-headers est manquant.
À partir de RHEL 8 et du noyau Amazon Linux 2 4.19 ou plus récent, le connecteur utilisera des modules eBPF pour la surveillance en temps réel du système de fichiers et du réseau. Les modules eBPF remplacent les modules noyau Linux utilisés lors de l'exécution sur RHEL 6, RHEL 7 et Amazon Linux 2 noyau 4.14 ou antérieur. Pour Ubuntu 20.04 et versions ultérieures, les modules eBPF sont natifs.
Pour une compatibilité la plus large, le connecteur compilera automatiquement les modules eBPF utilisés par le connecteur avant de les charger et de les exécuter sur le système. Cette compilation nécessite l'installation des fichiers d'en-tête de développement du noyau correspondant au noyau en cours d'exécution. Lorsque la surveillance du réseau et du système de fichiers en temps réel est activée, le connecteur compile les modules eBPF chaque fois que le connecteur est démarré, ou en temps réel lorsque ces fonctionnalités sont activées dans le cadre d'une mise à jour de stratégie.
Applicabilité
La défaillance est généralement déclenchée après l'installation d'un nouveau connecteur Secure Endpoint Linux ou après la mise à jour du noyau système.
Systèmes d'exploitation
- RHEL/CentOS/Oracle Linux 8
- Ubuntu 20,04
- Amazon Linux 2
Versions du connecteur
- Linux 1.13.0 et versions ultérieures
RHEL Linux
Le paquet kernel-devel installe les fichiers d'en-tête de développement du noyau requis dans le répertoire /usr/src/kernels, selon leur version de noyau.
Causes
Le package noyau-devel requis pour la surveillance en temps réel du système de fichiers et de l'activité réseau est manquant et la stratégie de connecteur a activé 'Surveiller les copies et les déplacements de fichiers' ou 'Activer la corrélation de flux de périphériques'.
Résolution
Installez le paquet kernel-devel correspondant au noyau en cours d'exécution.
Sinon, dans les rares cas où le système de fichiers en temps réel et la surveillance du réseau ne sont pas nécessaires, cette erreur peut être résolue en désactivant à la fois les options Surveillance des copies de fichiers et des déplacements et Activer la corrélation de flux de périphériques dans la stratégie. Notez que le connecteur ne fournit pas de protection en temps réel du système lorsque ces fonctions sont désactivées.
Procédure
Pour installer le paquet kernel-devel correspondant au noyau en cours d'exécution, exécutez la commande suivante.
dnf install -y kernel-devel-$(uname -r)
Le connecteur doit récupérer et effacer la défaillance dans un délai d'une minute. Si la défaillance ne se dissipe pas dans un délai d'une minute, redémarrez manuellement le connecteur. La panne doit ensuite être résolue dans une minute après le redémarrage.
REMARQUE : Si la commande ci-dessus échoue avec une erreur « Aucune correspondance pour l'argument » alors il est possible que la version actuelle du noyau ne soit plus prise en charge et que le mainteneur du système d'exploitation ait supprimé le paquet du référentiel dnf. Dans ce cas, le paquet kernel-devel .rpm requis peut être téléchargé manuellement à partir des archives du système d'exploitation du fournisseur, puis installé manuellement, ou le noyau peut être mis à jour vers une version prise en charge et la commande ci-dessus a été réessayée.
Par exemple, si l'utilisation de CentosOS et la mise à jour du noyau vers une version prise en charge par la distribution n'est pas possible, les anciens paquets kernel-devel .rpm pour CentOS peuvent être téléchargés manuellement à partir de http://vault.centos.org. Le nom du fichier à télécharger est donné par la sortie de la commande bash suivante.
echo kernel-devel-$(uname -r).rpm
Une fois téléchargé, le paquet kernel-devel peut être installé en exécutant la commande bash suivante dans le répertoire où le fichier .rpm téléchargé est enregistré.
dnf install -y kernel-devel-$(uname -r).rpm
Ubuntu Linux
Le paquet linux-headers installe les fichiers d'en-tête nécessaires dans le répertoire /usr/src, selon leur version de noyau.
Causes
Le package linux-headers requis pour la surveillance en temps réel du système de fichiers et de l'activité réseau est manquant et la stratégie de connecteur a activé 'Surveiller les copies et les déplacements de fichiers' ou 'Activer la corrélation de flux de périphériques'.
Résolution
Sur Ubuntu, le paquet linux-headers peut être installé avec la commande suivante :
sudo apt install linux-headers-$(uname -r)
Commentaires