Overview
Em Red Hat Enterprise Linux (RHEL) 8 e variantes, Oracle Linux 8 Red Hat Compatible Kernel (RHCK), Oracle Linux 7 e 8 Unbreakable Enterprise Kernel (UEK) 6, assim como Amazon Linux 2 sendo executado em um kernel de sistema 4.19 ou mais recente, o conector Cisco Secure Endpoint Linux não poderá monitorar movimentações de arquivos ou ativar a correlação de fluxo de dispositivos (monitoramento de rede) o pacote kernel-devel, ou pacote kernel-uek-devel no Oracle Linux UEK, está faltando para o kernel atualmente em execução. O conector levantará a identificação de falha 11 "O pacote de nível de kernel obrigatório está ausente" nessa situação. Para Debian e Ubuntu, essa falha pode ser levantada quando o pacote de cabeçalhos do linux estiver faltando.
Começando com RHEL 8, Oracle Linux 8 RHCK, Oracle Linux 7 e 8 UEK 6 e Amazon Linux 2 kernel 4.19 ou mais recente, o conector usará módulos eBPF para o sistema de arquivos em tempo real e o monitoramento de rede. Os módulos eBPF substituem os Módulos Kernel Linux usados quando executados em RHEL 6, RHEL 7, Oracle Linux 7 RHCK, Oracle Linux 7 UEK 5 e anteriores e Amazon Linux 2 kernel 4.14 ou anterior. Para o Ubuntu 18.04 e posterior, bem como para o Debian 10 e posterior, os módulos eBPF são nativos.
Para maior compatibilidade, o conector compilará automaticamente os módulos eBPF usados pelo conector antes de carregá-los e executá-los no sistema. Esta compilação exige que os arquivos do cabeçalho de desenvolvimento de kernel correspondentes ao kernel em execução no momento sejam instalados. Quando o sistema de arquivos em tempo real e o monitoramento de rede estiverem ativados, o conector compilará os módulos eBPF cada vez que o conector for iniciado, ou em tempo real quando esses recursos forem ativados como parte de uma atualização de política.
Aplicabilidade
A falha normalmente é gerada após uma nova instalação do conector Secure Endpoint Linux ou após a atualização do kernel do sistema.
Sistemas operacionais
- RHEL/CentOS/Rocky Linux/AlmaLinux 8
- RHCK Oracle Linux 8
- Oracle Linux 7 e 8 UEK 6
- Ubuntu 18.04 e posterior
- Debian 10 e posterior
- Amazon Linux 2
Versões do conector
Linux RHEL
O pacote de desenvolvimento de kernel instala os arquivos de cabeçalho de desenvolvimento de kernel necessários no diretório /usr/src/kernels, organizado de acordo com a versão do kernel.
Causas
O pacote de nível de kernel necessário para monitoramento de atividades de rede e sistema de arquivos em tempo real está ausente e a política de conector tem 'Monitorar cópias e movimentos de arquivos' ou 'Ativar correlação de fluxo de dispositivo' habilitado.
Resolução
Instale o pacote `kernel-devel` correspondente ao kernel em execução no momento.
Como alternativa, na rara situação em que o sistema de arquivos em tempo real e o monitoramento de rede não são necessários, essa falha pode ser eliminada desabilitando "Monitorar cópias e movimentações de arquivos" e "Habilitar correlação de fluxo de dispositivo" na política. Observe que o conector não fornecerá proteção em tempo real do sistema quando esses recursos estiverem desativados.
Procedimento
Para instalar o pacote de nível de kernel correspondente ao kernel em execução no momento, execute o seguinte procedimento.
dnf install -y kernel-devel-$(uname -r)
O conector deve recuperar e limpar a falha em um minuto. Se a falha não apagar em um minuto, reinicie manualmente o conector. A falha deve ser apagada em um minuto após o reinício.
OBSERVAÇÃO: se o comando acima falhar com um erro "No match for argumento", é possível que a versão atual do kernel não seja mais suportada e o responsável pela manutenção do SO removeu o pacote do repositório dnf. Nesse caso, o pacote .rpm de dispositivo kernel necessário pode ser manualmente baixado dos arquivos do sistema operacional do fornecedor e instalado manualmente ou o kernel pode ser atualizado para uma versão suportada e o comando acima tentado novamente.
Por exemplo, se não for possível usar o CentOS e atualizar o kernel para uma versão suportada pela distribuição, os pacotes .rpm antigos do kernel para CentOS poderão ser baixados manualmente em http://vault.centos.org. O nome do arquivo a ser baixado é fornecido pela saída do seguinte comando bash.
echo kernel-devel-$(uname -r).rpm
Depois de baixado, o pacote do kernel-devel pode ser instalado executando o seguinte comando bash no diretório onde o arquivo .rpm baixado é salvo.
dnf install -y kernel-devel-$(uname -r).rpm
Oracle Linux
O Oracle Linux distribui com duas alternativas de kernel diferentes, RHCK e UEK. Os pacotes kernel-devel e kernel-uek-devel instalam os arquivos de cabeçalho de desenvolvimento de kernel necessários no diretório /usr/src/kernels em RHCK e UEK, respectivamente. Os arquivos de desenvolvimento do kernel são organizados em /usr/src/kernels de acordo com a versão do kernel.
Oracle Linux RHCK
O procedimento para identificar o pacote de kernel ausente e resolver o ID de falha 11 no Oracle Linux RHCK é idêntico ao do RHEL Linux. Consulte a seção RHEL Linux acima para obter mais informações.
Oracle Linux UEK
O procedimento para identificar o pacote de kernel ausente e resolver o ID de falha 11 no Oracle Linux UEK é semelhante, mas não idêntico ao do RHEL Linux. Consulte a seção RHEL Linux acima para obter mais informações, mas substitua cada instância do "kernel-devel" por "kernel-uek-devel". Para ser específico, substitua kernel-devel-$(uname -r) por kernel-uek-devel-$(uname -r)para cada comando relevante.
NOTA: se o pacote necessário do kernel-uek-devel .rpm não puder ser encontrado ao tentar instalar a partir do repositório dnf, o pacote poderá ser baixado e instalado manualmente a partir dos arquivos Oracle em https://yum.oracle.com/.
Linux Debian/Ubuntu
O pacote linux-headers instala os arquivos de cabeçalho necessários no diretório /usr/src, organizado de acordo com a versão do kernel.
Causas
O pacote linux-headers necessário para monitoramento de atividades de rede e sistema de arquivos em tempo real está ausente e a política de conector tem 'Monitorar cópias e movimentos de arquivos' ou 'Ativar correlação de fluxo de dispositivo' habilitado.
Resolução
O pacote linux-headers pode ser instalado com o seguinte comando:
sudo apt install linux-headers-$(uname -r)
Feedback