Linux Kernel-Devel-fout

Overzicht

Op Red Hat Enterprise Linux (RHEL) 8 en varianten, Oracle Linux 8 Red Hat Compatible Kernel (RHCK), Oracle Linux 7 en 8, Unbreakable Enterprise Kernel (UEK) 6, evenals Amazon Linux 2 die op een 4.19 of nieuwere systeemkernel draait, zal de Cisco Secure Endpoint Linux-connector niet in staat zijn om bestandsbewegingen te monitoren of Device Flow Correlatie (netwerkbewaking) in te schakelen wanneer het kernel-devel pakket, of kernel-uek-devel pakket op Oracle Linux UEK, ontbreekt voor de momenteel actieve kernel. De connector zal fout-ID 11 "Required kernel-devel package is missing" in deze situatie verhogen. Voor Debian en Ubuntu kan deze fout worden geopperd wanneer het pakket linux-headers ontbreekt.

Vanaf RHEL 8, Oracle Linux 8 RHCK, Oracle Linux 7 en 8 UEK 6, en Amazon Linux 2 kernel 4.19 of nieuwer zal de connector eBPF-modules gebruiken voor realtime bestandssysteem en netwerkbewaking. De eBPF-modules vervangen de Linux Kernel-modules die worden gebruikt bij het draaien op RHEL 6, RHEL 7, Oracle Linux 7 RHCK, Oracle Linux 7 UEK 5 en eerder, en Amazon Linux 2 kernel 4.14 of eerder.  Voor Ubuntu 18.04 en hoger, evenals Debian 10 en hoger, zijn eBPF-modules native.

Voor de breedste compatibiliteit zal de connector automatisch de eBPF-modules compileren die door de connector worden gebruikt voordat ze op het systeem worden geladen en uitgevoerd. Deze compilatie vereist dat de bestanden van de kernel-ontwikkelingsheader die overeenkomen met de momenteel actieve kernel worden geïnstalleerd. De connector zal proberen de eBPF-modules te compileren en te laden telkens wanneer de connector wordt gestart

Af en toe kan deze fout verschijnen op Oracle Linux met UEK geïnstalleerd ondanks de kernel-devel pakketten die aanwezig zijn op de machine. Dit wordt veroorzaakt door een fout tijdens het installatieproces, waarbij de connector niet in staat is om SELinux te configureren om eBPF-probes te accepteren die worden gebruikt om de activiteit op het eindpunt te controleren.

Toepasbaarheid

De fout wordt doorgaans gehesen nadat een nieuwe Secure Endpoint Linux-connector is geïnstalleerd of nadat de systeemkernel is bijgewerkt.

Besturingssystemen

• RHEL/CentOS/Rocky Linux/AlmaLinux 8
• Oracle Linux 8 RHCK
• Oracle Linux 7 en 8 UEK 5 en 6
• Ubuntu 18.04 en hoger
• Debian 10 en hoger
• Amazon Linux 2

Connectorversies

• Linux 1.13.0 en hoger

RHEL Linux

Het kernel-devel pakket installeert de benodigde kernel ontwikkeling header bestanden in de /usr/src/kernels directory, georganiseerd volgens hun kernel versie.

Oorzaken

Het kernel-design pakket dat nodig is voor realtime bestandssysteem en netwerkactiviteit bewaking ontbreekt.

Resolutie

Installeer het 'kernel-devel'-pakket dat overeenkomt met de momenteel actieve kernel.

Procedure

Het 'kernel-devel'-pakket moet overeenkomen met de huidige actieve kernel.  Voer de volgende handelingen uit om te controleren of het huidige 'kernel-devel'-pakket is geïnstalleerd en/of ontbreekt: 

rpm -qa | grep kernel*

Het volgende is een voorbeelduitvoer ter illustratie van het 'kernel-devel'-pakket dat overeenkomt met de huidige actieve kernel.

Om het kernel-ontwikkelpakket te installeren dat overeenkomt met de momenteel actieve kernel, voert u het volgende uit.

dnf install -y kernel-devel-$(uname -r)

De connector moet binnen een minuut herstellen en de fout verwijderen. Als de fout niet binnen één minuut helder wordt, moet u de connector handmatig opnieuw opstarten. De fout moet vervolgens binnen één minuut na de herstart worden opgelost.

OPMERKING: Als de bovenstaande opdracht faalt met een fout "No match for argument" dan is het mogelijk dat de huidige kernel versie niet langer ondersteund wordt en dat de OS-onderhoudstechnicus het pakket uit de dnf-repository heeft verwijderd. In dit geval kan het benodigde kernel-devel .rpm pakket handmatig worden gedownload van de OS archieven van de verkoper en vervolgens handmatig worden geïnstalleerd, of de kernel kan worden bijgewerkt naar een ondersteunde versie en de bovenstaande opdracht opnieuw geprobeerd.

Als het bijvoorbeeld niet mogelijk is om CentOS te gebruiken en de kernel bij te werken naar een versie die wordt ondersteund door de distributie, dan kunnen oude kernel-devel .rpm pakketten voor CentOS handmatig worden gedownload van http://vault.centos.org. De naam van het te downloaden bestand wordt gegeven door de uitvoer van de volgende bash-opdracht.

echo kernel-devel-$(uname -r).rpm

Na het downloaden kan het kernel-devel pakket worden geïnstalleerd door het volgende bash commando uit te voeren in de map waarin het gedownloade .rpm bestand wordt opgeslagen.

dnf install -y kernel-devel-$(uname -r).rpm

Oracle Linux

Oracle Linux distribueert met twee verschillende kernel alternatieven, RHCK en UEK. De kernel-devel en kernel-uek-devel pakketten installeren de benodigde kernel development header bestanden in de /usr/src/kernels directory op RHCK en UEK, respectievelijk. De kernel ontwikkelingsbestanden worden georganiseerd in /usr/src/kernels volgens hun kernel versie.

Oracle Linux RHCK

De procedure voor het identificeren van het ontbrekende kernel pakket en het oplossen van fout-ID 11 op Oracle Linux RHCK is identiek aan die van RHEL Linux. Zie de RHEL Linux sectie hierboven voor meer informatie.

Oracle Linux UEK

De procedure voor het identificeren van het ontbrekende kernel pakket en het oplossen van fout ID 11 op Oracle Linux UEK is vergelijkbaar maar niet identiek aan die van RHEL Linux. Raadpleeg de bovenstaande RHEL Linux sectie voor meer informatie, maar vervang elke instantie van "kernel-devel" door "kernel-uek-devel". Om specifiek te zijn, vervangt u kernel-devel-$(uname -r) met kernel-uek-devel-$(uname -r)voor elke relevante opdracht.

OPMERKING: Als het benodigde kernel-uek-devel .rpm pakket niet kan worden gevonden bij het installeren van de dnf repository, dan kan het pakket handmatig worden gedownload en geïnstalleerd vanuit de Oracle archieven op https://yum.oracle.com/.

Debian/Ubuntu Linux

Het linux-headers pakket installeert de benodigde header bestanden in de /usr/src directory, georganiseerd volgens hun kernel versie.

Oorzaken

Het linux-headers pakket dat nodig is voor realtime bestandssysteem en netwerk activiteit monitoring ontbreekt.

U kunt de kopregels bevestigen die zijn geïnstalleerd in de map /usr/src. 

Resolutie

Het linux-headers pakket kan geïnstalleerd worden met de volgende opdracht:

sudo apt install linux-headers-$(uname -r)