Troubleshooting
Problem
Linux エージェント v0.60.0 では、エンドポイントの登録(インストール)時に「 keeper.service.Main process exited, code=exited, status=4/NOPERMISSION 」というエラーが返される場合があります。このエラーは、Linux システムで eBPF の代わりにカーネル・モジュールを使用している場合に表示される可能性があります。
Symptom
この際、エージェントの登録は成功しますが、ReaQta のダッシュボード上で該当のエンドポイントが古いバージョンである警告を表示します。また、Keeperx サービスは実行されず、エージェントの起動に失敗します。
Cause
エージェントが eBPF ではなく、カーネル・モジュールを使用する Linux システムにインストールされている場合、署名されていない Falco のカーネル・モジュールが含まれます。カーネル・モジュールの署名が「 recommended 」(推奨)に設定されている場合は、Falco のカーネル・モジュールがロードされません。このような場合、Falco のモジュールを強制的にロードさせることができます。
注: Falco モジュールを強制的にロードすると、カーネルは自身を「tainted(不純)」としてマークします。もしこれがお客様の環境で受け入れられない場合は、Falco モジュールを強制的にロードさせないでください。
Diagnosing The Problem
該当のエンドポイント上で「 journalctl -xef -u keeperx 」とコマンドを入力し、 journalctl ログに以下のメッセージが出力されているか確認(検索)してください。
keeperx-loader.sh[5247]: Trying kernel module driver
keeperx-loader.sh[5247]: Your current kernel configuration does not require to load properly signed modules.
keeperx-loader.sh[5247]: However, the kernel will switch into 'tainted' state when loading unsigned modules
keeperx.service: Main process exited, code=exited, status=4/NOPERMISSION
An ExecStart= process belonging to unit keeperx.service has exited.
The process' exit code is 'exited' and its exit status is 4.
keeperx.service: Failed with result 'exit-code'.
Resolving The Problem
「 status=4/NOPERMISSION 」のエラーを解決するには、次の手順を実行します。
- /etc/reaqtahive.d/ 配下にある keeperx.env ファイルを vi コマンドで編集し、次の行をファイル内の最後の行に追加します。
KMOD_IGNORE_TAINT=1
- 次のコマンドを実行して keeperx.env ファイルの内容を表示させて、手順1. で追加した行が存在することを確認します。
cat/etc/reaqtahive.d/keeperx.env
例: - 次のコマンドを実行し、エージェント・サービスのエラーをリセットします。
sudo systemctl reset-failed keeperx
- 次のコマンドを実行し、エージェント・サービスを再起動します。
sudo systemctl restart keeper
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSVOEH","label":"IBM Security ReaQta"},"ARM Category":[{"code":"a8m3p000000hBSZAA2","label":"Agent-\u003EInstallation-\u003ELinux"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
10 January 2023
UID
ibm16847261