계정이 있습니까?

  •   맞춤형 콘텐츠
  •   제품 및 지원

계정이 필요하십니까?

계정 만들기

Linux 커널-장치 결함

다운로드 옵션

  • PDF     (137.5 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (76.8 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (61.7 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2021년 6월 21일 (월)
문서 ID:215549
번역에 관하여

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

개요

Red Hat Enterprise Linux(RHEL) 8 및 변형 및 4.19 이상의 시스템 커널에서 실행되는 Amazon Linux 2에서 Cisco Secure Endpoint Linux 커넥터는 현재 실행 중인 커널에 커널-장치 패키지가 없을 경우 파일 이동을 모니터링하거나 디바이스 플로우 상관관계(네트워크 모니터링)를 활성화할 수 없습니다. 이 상황에서 커넥터는 결함 ID 11 "Required Kernel-devel 패키지가 누락되었습니다".Ubuntu Linux의 경우 linux-headers 패키지가 누락된 경우 이 결함이 발생할 수 있습니다.

RHEL 8 및 Amazon Linux 2 커널 4.19 이상에서 커넥터는 실시간 파일 시스템 및 네트워크 모니터링에 eBPF 모듈을 사용합니다.eBPF 모듈은 RHEL 6, RHEL 7 및 Amazon Linux 2 커널 4.14 이상에서 실행할 때 사용되는 Linux 커널 모듈을 대체합니다.  Ubuntu 20.04 이상의 eBPF 모듈은 기본 모듈입니다.

대부분의 호환성을 위해 커넥터는 시스템에서 해당 모듈을 로드하고 실행하기 전에 커넥터에서 사용하는 eBPF 모듈을 자동으로 컴파일합니다.이 컴파일을 사용하려면 현재 실행 중인 커널에 해당하는 커널 개발 헤더 파일을 설치해야 합니다. 실시간 파일 시스템 및 네트워크 모니터링을 사용하도록 설정하면 커넥터는 커넥터가 시작될 때마다 eBPF 모듈을 컴파일하거나 정책 업데이트의 일부로 이 기능을 사용하도록 설정할 때 실시간으로 컴파일합니다.

적용 가능성

결함은 일반적으로 새로운 보안 엔드포인트 Linux 커넥터 설치 후 또는 시스템 커널을 업데이트한 후에 제기됩니다.

운영 체제

  • RHEL/CentOS/Oracle Linux 8
  • Ubuntu 20.04
  • Amazon Linux 2

커넥터 버전

  • Linux 1.13.0 이상

RHEL Linux

kernel-devel 패키지는 필요한 커널 개발 헤더 파일을 커널 버전에 따라 구성된 /usr/src/kernels 디렉토리에 설치합니다.

원인

실시간 파일 시스템 및 네트워크 활동 모니터링에 필요한 커널-디바이스 패키지가 누락되었으며 커넥터 정책에 '파일 복사 및 이동 모니터링' 또는 '디바이스 플로우 상관관계 활성화'가 활성화되어 있습니다.

해결

현재 실행 중인 커널과 일치하는 'kernel-devel' 패키지를 설치합니다.

또는 드문 경우이지만 실시간 파일 시스템 및 네트워크 모니터링이 필요하지 않을 경우 정책에서 '파일 복사 및 이동 모니터링' 및 '디바이스 플로우 상관관계 활성화'를 모두 비활성화하여 이 장애를 해결할 수 있습니다.이러한 기능이 비활성화된 경우 커넥터는 시스템에 대한 실시간 보호를 제공하지 않습니다.

절차

현재 실행 중인 커널에 해당하는 커널-디바이스 패키지를 설치하려면 다음을 실행합니다.

dnf install -y kernel-devel-$(uname -r)

커넥터는 1분 이내에 오류를 복구하여 지워야 합니다.1분 내에 결함이 제거되지 않으면 커넥터를 수동으로 다시 시작합니다.그런 다음 다시 시작한 후 1분 이내에 결함을 지워야 합니다.


참고: 위의 명령이 "인수와 일치하지 않음"이라는 오류 메시지와 함께 실패하면 현재 커널 버전이 더 이상 지원되지 않으며 OS 유지 관리자가 dnf 저장소에서 패키지를 제거할 수 있습니다.이 경우 필요한 kernel-devel .rpm 패키지를 공급업체의 OS 아카이브에서 수동으로 다운로드한 다음 수동으로 설치하거나, 커널을 지원되는 버전으로 업데이트하여 위 명령을 다시 시도할 수 있습니다.

예를 들어 CentosOS를 사용하고 커널을 배포에서 지원하는 버전으로 업데이트할 수 없는 경우 CentOS용 이전 커널-devel .rpm 패키지는 http://vault.centos.org에서 수동으로 다운로드할 수 있습니다.다운로드할 파일의 이름은 다음 bash 명령의 출력에 의해 지정됩니다.

echo kernel-devel-$(uname -r).rpm

다운로드한 후에는 다운로드한 .rpm 파일이 저장된 디렉토리에서 다음 bash 명령을 실행하여 kernel-devel 패키지를 설치할 수 있습니다.

dnf install -y kernel-devel-$(uname -r).rpm

Ubuntu Linux

linux-headers 패키지는 필요한 헤더 파일을 커널 버전에 따라 구성된 /usr/src 디렉토리에 설치합니다.

원인

실시간 파일 시스템 및 네트워크 활동 모니터링에 필요한 Linux 헤더 패키지가 누락되었으며 커넥터 정책에 'Monitor File Copies and Moves' 또는 'Enable Device Flow Correlation' 중 하나가 활성화되어 있습니다.

해결

Ubuntu에서 다음 명령을 사용하여 linux-headers 패키지를 설치할 수 있습니다.

sudo apt install linux-headers-$(uname -r)

Revision History

Revision Publish Date Comments
1.0
25-May-2020
Initial Release
TAC Authored

Cisco 엔지니어가 작성

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품

시스코 소개
문의하기
시스코와 협력하기