Aperçu
Sur Red Hat Enterprise Linux (RHEL) 8 et les variantes, Oracle Linux 8 Red Hat Compatible Kernel (RHCK), Oracle Linux 7 et 8 Unbreakable Enterprise Kernel (UEK) 6, ainsi qu'Amazon Linux 2 exécuté sur un noyau système 4.19 ou plus récent, le connecteur Cisco Secure Endpoint Linux ne pourra pas surveiller les déplacements de fichiers ou activer la corrélation de flux de périphériques (réseau) lorsque le paquet kernel-devel, ou kernel-uek-devel sur Oracle Linux UEK, est manquant pour le noyau en cours d'exécution. Le connecteur déclenchera l'ID de panne 11 "Le package de développement de noyau requis est manquant » dans cette situation. Pour Debian et Ubuntu, cette erreur peut être soulevée lorsque le paquet linux-headers est manquant.
À partir de RHEL 8, Oracle Linux 8 RHCK, Oracle Linux 7 et 8 UEK 6 et Amazon Linux 2 kernel 4.19 ou ultérieur, le connecteur utilisera des modules eBPF pour la surveillance en temps réel du système de fichiers et du réseau. Les modules eBPF remplacent les modules de noyau Linux utilisés lors de l'exécution sur RHEL 6, RHEL 7, Oracle Linux 7 RHCK, Oracle Linux 7 UEK 5 et versions antérieures et Amazon Linux 2 kernel 4.14 ou versions antérieures. Pour Ubuntu 18.04 et versions ultérieures ainsi que Debian 10 et versions ultérieures, les modules eBPF sont natifs.
Pour une compatibilité la plus large, le connecteur compilera automatiquement les modules eBPF utilisés par le connecteur avant de les charger et de les exécuter sur le système. Cette compilation nécessite l'installation des fichiers d'en-tête de développement du noyau correspondant au noyau en cours d'exécution. Lorsque la surveillance du réseau et du système de fichiers en temps réel est activée, le connecteur compile les modules eBPF chaque fois que le connecteur est démarré, ou en temps réel lorsque ces fonctionnalités sont activées dans le cadre d'une mise à jour de stratégie.
Applicabilité
La panne est généralement déclenchée après l'installation d'un nouveau connecteur Secure Endpoint Linux ou après la mise à jour du noyau système.
Systèmes d'exploitation
- RHEL/CentOS/Rocky Linux/AlmaLinux 8
- Oracle Linux 8 RHCK
- Oracle Linux 7 et 8 UEK 6
- Ubuntu 18.04 et versions ultérieures
- Debian 10 et versions ultérieures
- Amazon Linux 2
Versions du connecteur
- Linux 1.13.0 et versions ultérieures
RHEL Linux
Le paquet kernel-devel installe les fichiers d'en-tête de développement du noyau requis dans le répertoire /usr/src/kernels, selon leur version de noyau.
Causes
Le package noyau-devel requis pour la surveillance en temps réel du système de fichiers et de l'activité réseau est manquant et la stratégie de connecteur a activé 'Surveiller les copies et les déplacements de fichiers' ou 'Activer la corrélation de flux de périphériques'.
Résolution
Installez le paquet kernel-devel correspondant au noyau en cours d'exécution.
Sinon, dans les rares cas où le système de fichiers en temps réel et la surveillance du réseau ne sont pas nécessaires, cette erreur peut être résolue en désactivant à la fois les options Surveillance des copies de fichiers et des déplacements et Activer la corrélation de flux de périphériques dans la stratégie. Notez que le connecteur ne fournit pas de protection en temps réel du système lorsque ces fonctions sont désactivées.
Procédure
Pour installer le paquet kernel-devel correspondant au noyau en cours d'exécution, exécutez la commande suivante.
dnf install -y kernel-devel-$(uname -r)
Le connecteur doit récupérer et effacer la défaillance dans un délai d'une minute. Si la défaillance ne se dissipe pas dans un délai d'une minute, redémarrez manuellement le connecteur. La panne doit ensuite être résolue dans une minute après le redémarrage.
REMARQUE : Si la commande ci-dessus échoue avec une erreur « Aucune correspondance pour l'argument » alors il est possible que la version actuelle du noyau ne soit plus prise en charge et que le mainteneur du système d'exploitation ait supprimé le paquet du référentiel dnf. Dans ce cas, le paquet kernel-devel .rpm requis peut être téléchargé manuellement à partir des archives du système d'exploitation du fournisseur, puis installé manuellement, ou le noyau peut être mis à jour vers une version prise en charge et la commande ci-dessus a été réessayée.
Par exemple, si l'utilisation de CentOS et la mise à jour du noyau vers une version prise en charge par la distribution n'est pas possible, les anciens paquets kernel-devel .rpm pour CentOS peuvent être téléchargés manuellement à partir de http://vault.centos.org. Le nom du fichier à télécharger est donné par la sortie de la commande bash suivante.
echo kernel-devel-$(uname -r).rpm
Une fois téléchargé, le paquet kernel-devel peut être installé en exécutant la commande bash suivante dans le répertoire où le fichier .rpm téléchargé est enregistré.
dnf install -y kernel-devel-$(uname -r).rpm
Oracle Linux
Oracle Linux distribue avec deux alternatives de noyau différentes, RHCK et UEK. Les paquets kernel-devel et kernel-uek-devel installent les fichiers d'en-tête de développement du noyau requis dans le répertoire /usr/src/kernels sur RHCK et UEK, respectivement. Les fichiers de développement du noyau sont organisés dans /usr/src/kernels en fonction de leur version.
Oracle Linux RHCK
La procédure d'identification du paquet de noyau manquant et de résolution de l'ID de panne 11 sur Oracle Linux RHCK est identique à celle de RHEL Linux. Pour plus d'informations, reportez-vous à la section Linux de RHEL ci-dessus.
UEK Oracle Linux
La procédure d'identification du paquet manquant du noyau et de résolution de l'ID de panne 11 sur Oracle Linux UEK est similaire mais pas identique à celle de RHEL Linux. Pour plus d'informations, reportez-vous à la section Linux de RHEL ci-dessus, mais remplacez chaque instance de « kernel-devel » par « kernel-uek-devel ». Pour être spécifique, resubstitukernel-devel-$(uname -r) withkernel-uek-devel-$(uname -r)
pour chaque commande pertinente.
REMARQUE : Si vous ne trouvez pas le package .rpm kernel-uek-devel nécessaire lors de l'installation à partir du référentiel dnf, vous pouvez le télécharger et l'installer manuellement à partir des archives Oracle à l'adresse https://yum.oracle.com/.
Debian/Ubuntu Linux
Le paquet linux-headers installe les fichiers d'en-tête nécessaires dans le répertoire /usr/src, selon leur version de noyau.
Causes
Le package linux-headers requis pour la surveillance en temps réel du système de fichiers et de l'activité réseau est manquant et la stratégie de connecteur a activé 'Surveiller les copies et les déplacements de fichiers' ou 'Activer la corrélation de flux de périphériques'.
Résolution
Le paquet linux-headers peut être installé avec la commande suivante :
sudo apt install linux-headers-$(uname -r)