Risoluzione dei problemi relativi all'ID errore 11 sull'endpoint sicuro SUSE Linux

Introduzione

Questo documento descrive il processo di risoluzione Fault ID 11 di Secure Endpoint il SUSE Linux Enterprise 15 SP2 .

Requisiti

L'interfaccia della riga di comando (CLI) è disponibile per tutti gli utenti di un sistema, anche se la disponibilità di alcuni comandi dipende dalla configurazione dei criteri e/o dalle autorizzazioni della directory principale. I comandi dipendenti da questa funzione sono illustrati in questo articolo.

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Linux Command Line

• Secure Endpoint

Componenti usati

Le informazioni contenute nel documento si basano sulle seguenti versioni software:

• Secure Endpoint  1.20

• SUSE Linux Enterprise 15 SP2  kernel versione 5.3.18-24.96-default

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Il SUSE Linux Enterprise 15 Service Pack (SP) 2 , con versioni del kernel maggiori o uguali alla 5.3.18, il connettore utilizza eBPF moduli per il monitoraggio del file system e della rete in tempo reale. I eBPF moduli sostituiscono i Kernel moduli Linux utilizzati quando viene eseguito su RHEL 6, RHEL 7, Oracle Linux 7 RHCK, Oracle Linux 7 UEK 5 e versioni precedenti e con il Amazon Linux 2 kernel 4.14 o versioni precedenti.  Per la versione Ubuntu 18.04 e successive, nonché per la versione Debian 10 e successive, eBPF i moduli sono nativi.

Per una corretta compatibilità, il connettore compila automaticamente i eBPF moduli utilizzati dal connettore prima di caricarli ed eseguirli sul sistema. Questa compilazione richiede l'installazione dei file di intestazione per lo sviluppo del kernel che corrispondono al kernel-devel contesto corrente. Quando il monitoraggio in tempo reale filesystem e della rete è abilitato, il connettore compila i eBPF moduli ogni volta che viene avviato il connettore o in tempo reale quando queste funzionalità sono abilitate, come parte di un aggiornamento dei criteri.

Quando il sistema non rileva il pacchetto di sviluppo del kernel corrente, il connettore genera l'ID errore 11: Monitoraggio dei file e della rete in tempo reale non disponibile. Installare il pacchetto di sviluppo del kernel per il kernel attualmente in esecuzione, quindi riavviare il connettore. Il problema con questo errore è che il connettore Linux funziona in uno stato degradato, il che significa che non funziona come previsto finché il guasto non viene risolto.

Risoluzione dei problemi

Se viene generato l'errore 11, viene visualizzato il seguente log degli errori: 

• Cercare nel registro eventi di sistema righe /var/log/messages simili alle seguenti: 

init: cisco-amp pre-start: AMP kernel modules are not required on this kernel version '5.3.18-24.96-default'; skipping reinstalling kernel modules

Il registro indica che la versione corrente del kernel sul computer non utilizza i moduli kernel per il monitoraggio della rete filesystem e. Sulle versioni del kernel maggiori o uguali a 4.18, la rete e la filesystem rete sono monitorate con l'uso di eBPF moduli.

Come identificare le intestazioni del kernel assenti

Quando il connettore viene eseguito su un computer senza le intestazioni del kernel, Fault ID 11 (Realtime network and file monitoring is unavailable), il connettore viene eseguito in uno stato degradato senza filesystem o monitoraggio della rete.
Questa procedura può essere eseguita da una finestra del terminale per verificare se il connettore kernel-header è presente o meno.

Passaggio 1. Dal dispositivo interessato, verificare che il connettore disponga di Fault ID 11 :

# /opt/cisco/amp/bin/ampcli 
# status
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2022-08-03 06:31:42 PM
Policy: iscarden - Linux (#22192)
Command-line: Enabled
Orbital: Disabled
Faults: 1 Critical
Fault IDs: 11
           ID 11 - Critical: Realtime network and file monitoring is unavailable. Install the kernel-devel package for the currently running kernel, then, restart the Connector.

Dalla console dell'endpoint sicuro individuare il dispositivo interessato ed espandere i dettagli per verificare la sezione relativa all'errore.

Passaggio 2. Controllare il kernel corrente con questo comando:

$ uname -r
5.3.18-150200.24.115-default

Passaggio 3. Per verificare se le intestazioni kernel sono installate:

# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")

# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//")

L'output deve essere simile al seguente:

Dove i+ indica che il pacchetto è installato. Se la colonna a sinistra èvo è vuota, è necessario installare il pacchetto.

Il SUSE computer è adatto per l'installazione delle intestazioni del kernel se tutte queste condizioni sono vere:

• Il connettore ha l'ID errore 11.
• La versione minima kernel è la 5.3.18.
• Le kernel intestazioni non sono installate.

Risoluzione

Se il SUSE computer non dispone delle intestazioni del kernel richieste, è possibile utilizzare questa procedura per installare le intestazioni del kernel richieste nel computer.

Passaggio 1. Installare le intestazioni del kernel necessarie:

# sudo zypper install --oldpackage kernel-default-devel=$(uname -r | sed 's/-default//')

# sudo zypper install --oldpackage kernel-devel=$(uname -r | sed 's/-default//') 

Passaggio 2. Riavviare il connettore:

# sudo systemctl stop cisco-amp

# sudo systemctl start cisco-amp 

Passaggio 3. Verificare che l'errore sia stato cancellato:

# /opt/cisco/amp/bin/ampcli
# status

Trying to connect...
Connected.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2022-08-05 01:29:47 PM
Policy: iscarden - Linux (#22201)
Command-line: Enabled
Orbital: Disabled
Faults: None
ampcli > quit 

Verifica

Per verificare se le intestazioni del kernel sono state installate, eseguire questi comandi:

# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")

# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//") 

Prima di eseguire la soluzione, è stato generato un output simile al seguente:

Dopo aver eseguito la soluzione, l'output deve essere simile al seguente:

Informazioni correlate

• Verifica della compatibilità del sistema operativo del connettore Linux dell'endpoint sicuro
• Errore di sviluppo del kernel Linux
• Creazione di moduli kernel per i connettori Linux di Cisco Secure Endpoint