IBM Support

ReaQta: Linux エージェント v0.60.0 でエンドポイントの登録(インストール)時に Keeperx.service のエラー「 Main process exited, code=exited, status=4/NOPERMISSION 」が発生する事象について

Troubleshooting


Problem

 Linux エージェント v0.60.0 では、エンドポイントの登録(インストール)時に「 keeper.service.Main process exited, code=exited, status=4/NOPERMISSION 」というエラーが返される場合があります。このエラーは、Linux システムで eBPF の代わりにカーネル・モジュールを使用している場合に表示される可能性があります。

Symptom

この際、エージェントの登録は成功しますが、ReaQta のダッシュボード上で該当のエンドポイントが古いバージョンである警告を表示します。また、Keeperx サービスは実行されず、エージェントの起動に失敗します。

Cause

エージェントが eBPF ではなく、カーネル・モジュールを使用する Linux システムにインストールされている場合、署名されていない Falco のカーネル・モジュールが含まれます。カーネル・モジュールの署名が「 recommended 」(推奨)に設定されている場合は、Falco のカーネル・モジュールがロードされません。このような場合、Falco のモジュールを強制的にロードさせることができます。
: Falco モジュールを強制的にロードすると、カーネルは自身を「tainted(不純)」としてマークします。もしこれがお客様の環境で受け入れられない場合は、Falco モジュールを強制的にロードさせないでください。

Diagnosing The Problem

該当のエンドポイント上で「 journalctl -xef -u keeperx 」とコマンドを入力し、 journalctl ログに以下のメッセージが出力されているか確認(検索)してください。

keeperx-loader.sh[5247]: Trying kernel module driver
keeperx-loader.sh[5247]: Your current kernel configuration does not require to load properly signed modules.
keeperx-loader.sh[5247]: However, the kernel will switch into 'tainted' state when loading unsigned modules
keeperx.service: Main process exited, code=exited, status=4/NOPERMISSION
An ExecStart= process belonging to unit keeperx.service has exited.
The process' exit code is 'exited' and its exit status is 4.
keeperx.service: Failed with result 'exit-code'.

Resolving The Problem

「 status=4/NOPERMISSION 」のエラーを解決するには、次の手順を実行します。
  1. /etc/reaqtahive.d/ 配下にある keeperx.env ファイルを vi コマンドで編集し、次の行をファイル内の最後の行に追加します。
    KMOD_IGNORE_TAINT=1
  2. 次のコマンドを実行して keeperx.env ファイルの内容を表示させて、手順1. で追加した行が存在することを確認します。
    cat/etc/reaqtahive.d/keeperx.env
    例:
    image-20221129182227-1
  3. 次のコマンドを実行し、エージェント・サービスのエラーをリセットします。
    sudo systemctl reset-failed keeperx
  4. 次のコマンドを実行し、エージェント・サービスを再起動します。
    sudo systemctl restart keeper

Document Location

Worldwide

本文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、Related Information の翻訳元 (英語) リンクよりご参照ください。

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSVOEH","label":"IBM Security ReaQta"},"ARM Category":[{"code":"a8m3p000000hBSZAA2","label":"Agent-\u003EInstallation-\u003ELinux"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]

Document Information

Modified date:
10 January 2023

UID

ibm16847261

Page Feedback