Kernelmodules voor Cisco Secure Endpoint Linux-connector bouwen

Downloadopties

  • PDF     (270.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:18 februari 2022
Document-id:217207

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit artikel wordt uitgelegd hoe u kunt bepalen wanneer vooraf samengestelde kernel modules die vereist zijn voor het bestandssysteem en netwerk bewaking van de Cisco Secure Endpoint Linux-connector niet beschikbaar zijn voor de momenteel actieve systeemkernel, en hoe u handmatig kernel-modules kunt compileren zodat bestandssysteem en netwerk bewaking operationeel zullen zijn.

    Voor de toepassing van dit artikel is een "niet-ondersteunde kernel" een kernel-versie die wordt ondersteund door de Linux-connector, maar de specifieke voorgecompileerde kernel-modules die vereist zijn voor de kernel-versie zijn niet opgenomen in het connector-installatiepakket en moeten daarom handmatig worden gecompileerd. Dit kan het geval zijn voor een gegeven Linux-connector-release die draait op een besturingssysteem dat een rolling release-update gebruikt, zoals Amazon Linux 2.

    Niet alle Linux distributies en kernel versie ondersteunen het uitvoeren van gecompileerde kernel modules. Dit artikel zal helpen bij het identificeren wanneer handmatig compileren van kernelmodules kan worden gebruikt.

    Voorwaarden

    Vereisten

    • voor op RHEL gebaseerde systemen, met distributie verstrekte gcc geïnstalleerd; kernel-devel geïnstalleerd voor het uitvoeren van kernel.
    • Voor systemen die gebruikmaken van een Unbreakable Enterprise Kernel (UEK), is door de distributie geleverde gcc geïnstalleerd; kernel-uek-devel geïnstalleerd voor het uitvoeren van kernel.

    Toepasbaarheid

    Besturingssysteem

    • RHEL/CentOS 7
    • Oracle Linux 7 Red Hat Compatible Kernel (RHCK)
    • Oracle Linux 7 UEK 5 en hoger
    • Amazon Linux 2

    Kernel Versies

    • De netwerkmodule voor het monitoren van kernelmodules kan worden samengesteld voor kernel versies 2.6 tot en met 4.14.
    • De bestandssysteem monitoring kernel module kan worden samengesteld voor kernel versies 3.10 tot en met 4.14.

    OPMERKINGEN:

    • Op kernel versies 2.6 tot 3.10, gebruikt de connector herrfs (een out-of-tree kernel module) voor bestandssysteem monitoring, wat niet toepasbaar is voor aangepaste compilatie.
    • Kernelversies tussen 4.14 en 4.19 zijn niet compatibel met de connector en zijn ook niet van toepassing voor aangepaste compilatie.
    • Voor kernel versies 4.19 en nieuwer, de connector gebruikt eBPF modules voor bestandssysteem en netwerk monitoring. Raadpleeg het artikel Linux Kernel-Devel Fault voor meer informatie over het oplossen van deze fout in die kernel versies.

    Connectorversies

    • 1.16.0 en nieuwer
    • 1.18.0 en nieuwer voor het maken van aangepaste UEK kernel modules

    Een niet-ondersteunde kern diagnosticeren

    Wanneer de connector wordt uitgevoerd op een computer met een niet-ondersteunde kern, worden fout 8 (Real time filesystem monitor is niet gestart) en fout 9 (Real time netwerk monitor is niet gestart) verhoogd en wordt de connector in een gedegenereerde toestand uitgevoerd zonder bestandssysteem of netwerkbewaking.

    De volgende stappen kunnen vanuit een terminalvenster worden uitgevoerd om vast te stellen of de connector op een niet-ondersteunde kernel loopt:

    1. Controleer of fout 8 en/of fout 9 is opgetreden in de connector:
      $ /opt/cisco/amp/bin/ampcli status
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
Status:		Connected
Mode:		Degraded
Scan:		Ready for scan
Last Scan:	none
Policy:		unsupported kernel example (#7607)
Command-line:	Enabled
Faults:		2 Critical
Fault IDs:	8, 9
		ID 8 - Critical: Realtime filesystem monitor failed to start.
		ID 9 - Critical: Realtime network monitor failed to start.​
    2. Controleer of de huidige lopende kernel tussen 2.6 en 4.14 ligt, inclusief, en of deze niet overeenkomt met een van de voorgecompileerde kernel module versies.
      De volgende opdracht toont de huidige actieve kernel-versie:
      $ uname -r
4.14.97-90.72.amzn2.x86_64​

      De beschikbare voorgecompileerde versies van de kernelmodule die met de connector zijn verpakt, worden vermeld met de volgende opdracht:

    3. $ ls /opt/cisco/amp/bin/modules/
4.14.186-146.268.amzn2.x86_64  4.14.198-152.320.amzn2.x86_64  4.14.209-160.335.amzn2.x86_64  4.14.219-161.340.amzn2.x86_64  4.14.225-169.362.amzn2.x86_64
4.14.192-147.314.amzn2.x86_64  4.14.200-155.322.amzn2.x86_64  4.14.209-160.339.amzn2.x86_64  4.14.219-164.354.amzn2.x86_64  4.14.231-173.360.amzn2.x86_64
4.14.193-149.317.amzn2.x86_64  4.14.203-156.332.amzn2.x86_64  4.14.214-160.339.amzn2.x86_64  4.14.225-168.357.amzn2.x86_64  4.14.231-173.361.amzn2.x86_64

      In het bovenstaande voorbeeld is kernel versie 4.14.97-90.72.amzn2.x86_64 niet opgenomen in de lijst van beschikbare kernel modules.

    De Linux-connector is geschikt voor het compileren van aangepaste kernel-modules als alle volgende eigenschappen waar zijn:

    • De fout(en) 8 en/of 9 zijn verhoogd.
    • De huidige kernelversie is inclusief tussen 2.6 en 4.14.
    • De huidige kernelversie is niet opgenomen in de lijst van voorgecompileerde kernelmodules /opt/cisco/amp/bin/modules

    Resolutie

    Als een Linux-connector op een niet-ondersteunde kernel draait, kan de volgende procedure worden gebruikt om aangepaste kernel-modules voor het systeem te compileren:

    1. Installeer de vereiste systeemafhankelijkheden:
      $ yum install gcc

      gcc is nodig om de kernelmodules met specifieke opties samen te stellen.

      1. Op systemen die een op RHEL gebaseerde kernel gebruiken, gebruikt u de volgende opdracht om het vereiste kernel-pakket te installeren:
        $ yum install kernel-devel-$(uname -r)​

      2. Op systemen die UEK gebruiken, gebruik de volgende opdracht om het vereiste kernel pakket te installeren:

        $ yum install kernel-uek-devel-$(uname -r)
         Afhankelijk van uw systeem, is kernel-devel-$(uname -r) orkernel-uek-devel-$(uname -r) nodig om de kernel modules voor de huidige lopende kernel samen te stellen.

    2. Draai het script compile_kmods.sh met root priviledges:

      $ sudo /opt/cisco/amp/bin/compile_kmods.sh

      Het compile_kmods.sh script zal proberen om filesystem en netwerk monitoring kernel modules te compileren voor de huidige lopende kernel versie. De aangepaste kernelmodules worden gecreëerd onder de directory /opt/cisco/amp/extras/modules. Aan het eind van de uitvoering zal het script de connector automatisch opnieuw opstarten zodat de nieuw samengestelde kernel modules op het systeem kunnen worden geladen.

    3. Bevestig dat de fouten 8 en 9 zijn gezuiverd:
      $ /opt/cisco/amp/bin/ampcli status
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
Status:		Connected
Mode:		Normal
Scan:		Ready for scan
Last Scan:	2021-06-14 05:53 PM
Policy:		unsupported kernel example (#7607)
Command-line:	Enabled
Faults:		None​

    Meer opdrachten

    Compile_kmods.sh executable is beschikbaar in Secure Endpoint Linux connector versies 1.16.0 en nieuwer, en het is automatisch geïnstalleerd op compatibele OS distributies. De uitvoerbare compilatie_kmods.sh werd verbeterd in Secure Endpoint Linux-connector versie 1.18.0 en nieuwer om de aangepaste compilatie van UEK's te ondersteunen.

    Aangepaste compileren kernel modules voor netwerkbewaking worden ondersteund op kernel versies 2.6 tot en met 4.14, terwijl aangepaste compileren kernel modules voor bestandssysteembewaking worden ondersteund op kernel versies 3.10 tot en met 4.14.

    Beschikbare opdrachten

    OPMERKING: compileren_kmods.sh uitvoerbaar moet met wortelvoorrechten worden in werking gesteld.

    • De optie-h/—help toont de volledige lijst met beschikbare opties:
      $ /opt/cisco/amp/bin/compile_kmods.sh --help
Usage: compile_kmods [OPTIONS]

OPTIONS: 

	-f, --force      	 force overwriting compiled kmod
	-h, --help       	 show help​
    • De optie -f/—force kan worden gebruikt om een eerder gecompileerde aangepaste kernel module te forceren voor de momenteel actieve kernel die moet worden overschreven. Dit moet worden gebruikt wanneer de huidige aangepaste kernelmodule is gebouwd met een oudere versie van de connector en opnieuw moet worden gecompileerd met een bijgewerkte versie van de connector. Het connector update proces hercompileert de Customer kernel modules niet als onderdeel van de update.

    Probleemoplossing

    Als de fouten 8 en/of 9 nog steeds worden gesignaleerd nadat de stappen voor de oplossing zijn gevolgd, kunnen de volgende stappen worden uitgevoerd om het probleem nader te onderzoeken:

    • Zoek logregels in het systeem log/var/log/berichten die vergelijkbaar zijn met het volgende:
      • In het volgende logbestand wordt aangegeven dat de huidige actieve kernel-versie op de computer geen kernel-modules gebruikt voor bestandssysteem- en netwerkbewaking. Op kernel versies groter dan of gelijk aan 4.18, worden het bestandssysteem en het netwerk bewaakt met behulp van eBPF modules.
        init: cisco-amp pre-start: AMP kernel modules are not required on this kernel version '5.4.117-58.216.amzn2.x86_64'; skipping reinstalling kernel modules
      • In het volgende logbestand wordt aangegeven dat er geen kernelversies worden gevonden in de directory van voorgecompileerde kernelmodules, /opt/cisco/amp/bin/modules, die compatibel zijn met de huidige versie van de lopende kern:
        init: cisco-amp pre-start: finding compatible kernel modules in /opt/cisco/amp/bin/modules to install
init: cisco-amp pre-start: failed to find kernel versions
init: cisco-amp pre-start: failed to install and load all required kernel modules in /opt/cisco/amp/bin/modules, continuing without some modules loaded
      • In het volgende logbestand wordt aangegeven dat er geen kernelversies worden gevonden in de op maat gecompileerde map voor kernelmodules, /opt/cisco/amp/extra/modules, die compatibel zijn met de huidige versie van de lopende kern:
        init: cisco-amp pre-start: finding compatible kernel modules in /opt/cisco/amp/extra/modules to install
init: cisco-amp pre-start: failed to find kernel versions
init: cisco-amp pre-start: failed to install and load all required kernel modules in /opt/cisco/amp/extra/modules, continuing without some modules loaded
    •  Controleer of Secure Endpoint Linux-connector, bestandssysteem en netwerkbewakingskernel-modules zijn geladen:
      $ lsmod | grep ampfsm
ampfsm                 24576  0​
      $ lsmod | grep ampnetworkflow
ampnetworkflow         65536  0​
    • Upgrade de Secure Endpoint Linux-connector naar een nieuwere versie, indien beschikbaar.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    18-Feb-2022
    Aangeboden begeleiding voor het bouwen van aangepaste UEK kmods
    1.0
    22-Jun-2021
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten