SUSE Linux 보안 엔드포인트에서 결함 ID 11 문제 해결

소개

이 문서에서는 의 11/15을(를) Fault ID 해결하기 위한 Secure Endpoint 프로세스에 SUSE Linux Enterprise 대해 설명합니다SP2.

요구 사항

명령줄 인터페이스(CLI)는 시스템의 모든 사용자가 사용할 수 있지만, 일부 명령의 사용 가능성은 정책 컨피그레이션 및/또는 루트 권한에 따라 달라집니다. 이에 종속된 명령은 이 기사 전반에 걸쳐 개시되어 있다.

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Linux Command Line

• Secure Endpoint

사용되는 구성 요소

문서에서 사용되는 정보는 다음 소프트웨어 버전을 기반으로 합니다.

• Secure Endpoint  1.20

• SUSE Linux Enterprise 15 SP2  커널 버전 5.3.18-24.96-default

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

2SUSE Linux Enterprise 15 Service Pack (SP)에서 커널 버전이 5.3.18 이상인 경우 커넥터는 실시간 파일 시스템 및 네트워크 모니터링을 위해 모듈을 eBPF 사용합니다. 모듈 eBPF Kernel 은 커널 4.14 이전 및 이전RHEL 6, RHEL 7, Oracle Linux 7 RHCK, Oracle Linux 7 UEK 5에서 실행할 때 사용되는 Linux Amazon Linux 2 모듈을 대체합니다.  18Ubuntu.04 이상 및 10 이상Debian의 경우 모듈이 eBPF 기본적으로 사용됩니다.

eBPF 적절한 호환성을 위해 커넥터는 커넥터가 시스템에서 모듈을 로드하고 실행하기 전에 커넥터에서 사용하는 모듈을 자동으로 컴파일합니다. 이 컴파일을 수행하려면 현재kernel-devel에 해당하는 커널 개발 헤더 파일이 설치되어 있어야 합니다. 실시간 filesystem  eBPF 및 네트워크 모니터링이 사용하도록 설정된 경우 커넥터는 커넥터가 시작될 때마다 또는 정책 업데이트의 일부로 이러한 기능이 사용하도록 설정된 경우 실시간으로 모듈을 컴파일합니다.

시스템이 현재 커널 레벨 패키지를 놓치면 커넥터는 Fault ID 11을 제기합니다. 실시간 네트워크 및 파일 모니터링을 사용할 수 없습니다. 현재 실행 중인 커널에 대한 커널 레벨 패키지를 설치한 다음 Connector를 다시 시작합니다. 이 결함의 문제는 Linux 커넥터가 성능이 저하된 상태로 실행된다는 것입니다. 즉, 결함이 해결될 때까지 정상적으로 작동하지 않습니다.

문제 해결

결함 11이 제기되면 다음 오류 로그가 나타납니다. 

• 시스템 로그에서 다음과 유사한 로그 /var/log/messages 행을 찾습니다. 

init: cisco-amp pre-start: AMP kernel modules are not required on this kernel version '5.3.18-24.96-default'; skipping reinstalling kernel modules

이 로그는 컴퓨터의 현재 커널 버전이 및 네트워크 모니터링에 커널 모듈을 사용하지 filesystem 않음을 나타냅니다. 4.18 이상의 커널 버전에서는 모듈을 사용하여 filesystem 및 네트워크를 eBPF 모니터링합니다.

없는 커널 헤더를 식별하는 방법

커널 헤더가 없는 컴퓨터에서 커넥터가 실행될 경우Fault ID 11(Realtime network and file monitoring is unavailable), 커넥터는 또는 네트워크 모니터링 없이 성능이 저하된 filesystem 상태로 실행됩니다.
이러한 단계들은 커넥터가 존재하는지 여부를 식별하기 위해 터미널 윈도우로부터 수행될 수 kernel-header 있다.

1단계. 영향을 받는 장치에서 커넥터에 다음이 있는지 Fault ID 11 확인합니다.

# /opt/cisco/amp/bin/ampcli 
# status
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2022-08-03 06:31:42 PM
Policy: iscarden - Linux (#22192)
Command-line: Enabled
Orbital: Disabled
Faults: 1 Critical
Fault IDs: 11
           ID 11 - Critical: Realtime network and file monitoring is unavailable. Install the kernel-devel package for the currently running kernel, then, restart the Connector.

Secure Endpoint(보안 엔드포인트) 콘솔에서 영향을 받는 디바이스를 찾고 세부 정보를 확장하여 Fault(결함) 섹션을 확인합니다.

2단계. 다음 명령으로 현재 커널을 확인합니다.

$ uname -r
5.3.18-150200.24.115-default

3단계. 커널 헤더의 설치 여부를 확인하려면

# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")

# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//")

출력은 다음과 같아야 합니다.

여기서 i+는 패키지가 설치되었음을 나타냅니다. 왼쪽 열이 비어 있거나v있으면 패키지를 설치해야 합니다.

다음SUSE이 모두 참인 경우 컴퓨터는 커널 헤더의 설치에 적합합니다.

• 커넥터에 Fault ID 11이 있습니다.
• 최소 버전kernel은 5.3.18입니다.
• 헤더kernel가 설치되지 않았습니다.

해결

시스템에 SUSE 필요한 커널 헤더가 없는 경우 이 절차를 사용하여 시스템에 필요한 커널 헤더를 설치할 수 있습니다.

1단계. 필요한 커널 헤더를 설치합니다.

# sudo zypper install --oldpackage kernel-default-devel=$(uname -r | sed 's/-default//')

# sudo zypper install --oldpackage kernel-devel=$(uname -r | sed 's/-default//') 

2단계. 커넥터를 다시 시작합니다.

# sudo systemctl stop cisco-amp

# sudo systemctl start cisco-amp 

3단계. 결함이 제거되었는지 확인합니다.

# /opt/cisco/amp/bin/ampcli
# status

Trying to connect...
Connected.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2022-08-05 01:29:47 PM
Policy: iscarden - Linux (#22201)
Command-line: Enabled
Orbital: Disabled
Faults: None
ampcli > quit 

다음을 확인합니다.

커널 헤더가 현재 설치되어 있는지 확인하려면 다음 명령을 실행합니다.

# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")

# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//") 

해결 방법을 수행하기 전에 다음과 유사한 출력이 표시되었습니다.

해결 방법을 수행한 후 출력은 다음과 유사해야 합니다.

관련 정보

• 보안 엔드포인트 Linux 커넥터 OS 호환성 확인
• Linux 커널 레벨 결함
• Cisco Secure Endpoint Linux Connector 커널 모듈 구축