Linux 内核被污染

Linux 内核被污染

我们的网络安全团队已在我们的 SAP 系统 Linux 服务器上安装了 Crowdstrike Falcon 传感器。这导致内核受到污染。以下是通过用户 root 在 Linux 服务器上运行的 supportconfig 摘录。有没有什么想法可以修复此错误并使内核无错误?

#==[ Configuration File ]===========================#
# /proc/sys/kernel/tainted
1073754113


Kernel Status -- Tainted: P           OE   N 
  TAINT: (P) Proprietary module has been loaded
  TAINT: (O) Out-of-tree module has been loaded
  TAINT: (E) Unsigned module has been loaded
  TAINT: (N) Unsupported modules loaded

module=falcon_lsm_serviceable ERROR                     Module info unavailable  
module=falcon_nf_netcontain ERROR                     Module info unavailable  
module=falcon_lsm_pinned_7103 ERROR                     Module info unavailable  
module=falcon_lsm_pinned_7002 ERROR                     Module info unavailable  
module=falcon_lsm_pinned_6903 ERROR                     Module info unavailable  
module=falcon_lsm_pinned_6805 ERROR                     Module info unavailable  
module=falcon_lsm_pinned_6703 ERROR                     Module info unavailable  
module=falcon_lsm_pinned_6602 ERROR                     Module info unavailable  
module=falcon_lsm_pinned_6404 ERROR                     Module info unavailable  
module=falcon_lsm_pinned_6402 ERROR                     Module info unavailable  
module=falcon_lsm_pinned_6401 ERROR                     Module info unavailable  
module=falcon_lsm_pinned_6109 ERROR                     Module info unavailable  
module=falcon_lsm_pinned_6106 ERROR                     Module info unavailable  

答案1

受污染的内核表示上游 Linux 开发人员可能不支持该情况。LKML 上的大多数维护人员都会要求在未受污染的内核上重现该问题。

专有或树外内核模块是报告此问题的一个非常常见的原因。但并非唯一原因,例如,记录机器检查异常的处理器将受到污染。故障 CPU 可能导致各种奇怪的行为,因此在声称存在内核错误之前更换它是明智的。

其他支持渠道(例如您的发行版操作系统支持)可能愿意处理受污染的内核,请咨询他们。该错误不一定是功能问题,只是脚本无法识别专有模块的详细信息。

答案2

简单来说,您使用的是内核中未附带的某些内容,或者您​​更改了内核中的某些内容,即使您撤消了导致污染的原因(即卸载专有内核模块),内核仍会受到污染,这表明内核仍然不可信。重新分级错误,您应该检查模块的来源或与提供模块或模块未正确构建的供应商联系。

相关内容