أستكشاف أخطاء معرف 11 وإصلاحها على نقطة نهاية SUSE Linux الآمنة

المقدمة

يصف هذا وثيقة العملية أن يحل Fault ID 11 من Secure Endpoint تشغيل SUSE Linux Enterprise 15 SP2 .

المتطلبات

واجهة سطر الأوامر (CLI) لكافة مستخدمي النظام، على الرغم من أن توفر بعض الأوامر يعتمد على تكوين النهج و/أو أذونات الجذر. والاوامر التي تعتمد عليها يكشف عنها في كل هذه المقالة.

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• Linux Command Line

• Secure Endpoint

المكونات المستخدمة

أسست المعلومة يستعمل في الوثيقة على هذا برمجية صيغة:

• Secure Endpoint  1.20

• SUSE Linux Enterprise 15 SP2  Kernel الإصدار 5.3.18-24.96-default

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

تشغيل SUSE Linux Enterprise 15 Service Pack (SP) 2، مع إصدارات kernel الأكبر من أو تساوي 5.3.18، يستخدم الموصل eBPF وحدات مثالية لنظام الملفات في الوقت الفعلي ومراقبة الشبكة. يعرض الأمر eBPF الوحدات النمطية تحل محل لينكس Kernel الوحدات النمطية المستخدمة عند تشغيلها RHEL 6, RHEL 7, Oracle Linux 7 RHCK, Oracle Linux 7 UEK 5 وفي وقت سابق، و Amazon Linux 2 نواة 4. 14 أو ما قبله.  من أجل Ubuntu الإصدار 18.04 والإصدارات اللاحقة، فضلا عن Debian 10 وما بعده، eBPF الوحدات الأصلية.

للتوافق المناسب، يقوم الموصل تلقائيا بتجميع eBPF الوحدات النمطية التي يستخدمها الموصل قبل تحميلها وتشغيلها على النظام. يتطلب هذا التحويل البرمجي أن تكون ملفات رأس تطوير kernel التي تتوافق مع الحالي kernel-devel تم تثبيتها. في الوقت الحقيقي filesystem ويتم تمكين مراقبة الشبكة، ويقوم الموصل بتجميع eBPF الوحدات النمطية في كل مرة يتم فيها تشغيل الموصل أو في الوقت الحقيقي عند تمكين هذه الميزات، كجزء من تحديث النهج.

عندما يفتقد النظام حزمة kernel-devel الحالية، يزيد الموصل معرف الخطأ 11: لا تتوفر شبكة RealTime ومراقبة الملفات. قم بتثبيت حزمة kernel-devel لنواة kernel التي تعمل حاليا ثم أعد تشغيل الموصل. المشكلة مع هذا الخطأ أن موصل لينوكس يعمل في حالة متدهورة، ما يعني أنه لا يعمل كما هو متوقع حتى يتم حل الخطأ.

استكشاف الأخطاء وإصلاحها

إن يكون خطأ 11 مرتفع، بعد ذلك يظهر هذا خطأ سجل: 

• البحث عن سطور السجل في سجل النظام /var/log/messages مشابهة لهذه: 

init: cisco-amp pre-start: AMP kernel modules are not required on this kernel version '5.3.18-24.96-default'; skipping reinstalling kernel modules

يشير السجل إلى أن إصدار kernel الحالي على الكمبيوتر لا يستخدم وحدات kernel ل filesystem ومراقبة الشبكة. في إصدارات kernel الأكبر من أو تساوي 4.18، فإن filesystem ويتم مراقبة الشبكة باستخدام eBPF الوحدات النمطية.

كيفية تعريف رؤوس kernel الغائبة

عند تشغيل الموصل على جهاز كمبيوتر بدون رؤوس kernel، Fault ID 11 (Realtime network and file monitoring is unavailable)، الموصل يعمل في حالة متدهورة دون filesystem أو مراقبة الشبكة.
يمكن تنفيذ هذه الخطوات من نافذة طرفية لتحديد ما إذا كان الموصل kernel-header موجود أو لا.

الخطوة 1. من الجهاز المتأثر، تأكد من أن الموصل لديه Fault ID 11 :

# /opt/cisco/amp/bin/ampcli 
# status
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2022-08-03 06:31:42 PM
Policy: iscarden - Linux (#22192)
Command-line: Enabled
Orbital: Disabled
Faults: 1 Critical
Fault IDs: 11
           ID 11 - Critical: Realtime network and file monitoring is unavailable. Install the kernel-devel package for the currently running kernel, then, restart the Connector.

من وحدة تحكم نقطة النهاية الآمنة، اعثر على الجهاز المتأثر ووسع التفاصيل للتحقق من قسم "الخطأ".

الخطوة 2. تحقق من kernel الحالي باستخدام هذا الأمر:

$ uname -r
5.3.18-150200.24.115-default

الخطوة 3. للتحقق مما إذا كانت رؤوس الكبلات مثبتة أم لا:

# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//") # zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//")

يجب أن يكون الإخراج كما يلي:

حيث يشير i+ إلى أن الحزمة مثبتة. إذا كان العامود الأيسر v أو فارغ، يجب تثبيت الحزمة.

يعرض الأمر SUSE يناسب الكمبيوتر تثبيت رؤوس kernel إذا كانت جميع هذه العناوين صحيحة:

• يحتوي الموصل على معرف الخطأ 11.
• الحد الأدنى kernel الإصدار هو 5.3.18.
• يعرض الأمر kernel لم يتم تثبيت الرؤوس.

قرار

إذا SUSE لا يحتوي الجهاز على رؤوس kernel المطلوبة، ثم يمكن إستخدام هذا الإجراء لتثبيت رؤوس kernel المطلوبة على الجهاز.

الخطوة 1. تثبيت رؤوس kernel الضرورية:

# sudo zypper install --oldpackage kernel-default-devel=$(uname -r | sed 's/-default//')

# sudo zypper install --oldpackage kernel-devel=$(uname -r | sed 's/-default//') 

الخطوة 2. أعد تشغيل الموصل:

# sudo systemctl stop cisco-amp # sudo systemctl start cisco-amp 

الخطوة 3. تأكد من مسح الخطأ:

# /opt/cisco/amp/bin/ampcli
# status

Trying to connect...
Connected.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2022-08-05 01:29:47 PM
Policy: iscarden - Linux (#22201)
Command-line: Enabled
Orbital: Disabled
Faults: None
ampcli > quit 

التحقق من الصحة

للتحقق من تثبيت رؤوس kernel الآن، قم بتشغيل الأوامر التالية:

# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")

# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//") 

قبل أن تقوم بالتبديل، كان لديك مخرجات مماثلة لهذا:

بعد أن تقوم بالتبديل، يجب أن يكون المخرج مماثلا لهذا:

معلومات ذات صلة

• تحقق من توافق نظام تشغيل موصل Linux الآمن
• خطأ Linux Kernel-Devel
• بناء الوحدات النمطية لنواة نقطة النهاية الآمنة Cisco Secure Endpoint Connector Linux Kernel Modules