Debian中Elkeid配置的两个问题
巩枫
1.service_discovery组件与manager组件通信错误问题:
Debian默认的系统里没有进程保护,所以刚刚配置好的sd组件启动后在接收第一次manager传来的信息后会自动杀死端口监听进程。可以下载supervisor或其他工具保护sd的监听进程。
2.driver组件的编译失败问题:
我这的问题包含两个内容,一个是Elkeid没有及时更新到最新版,导致对内核的识别出现了问题。
第二个是driver/LKLM/include/trace.h中关于CentOS的backporting兼容处理与Debian 10的4.19.0-18内核有冲突(官方给出的答复),但我不确定是不是其他版本也有这个问题。官方给的解决方案是删除driver/LKLM/include/trace.h中的以下代码段:
/* workaround for ringbuffer backporting: CentOS8 4.18.0-305.10.2.el8_4.x86_64 */
#ifndef SMITH_RINGBUFFER_STRUCT
#define ring_buffer trace_buffer
#endif
Elkeid的组件配合比较丰富,所以各个组件的配置比较复杂,建议把所有的配置文档当读一遍,捋清楚各个组件之间的关系再配置。另外出现问题及时与官方沟通,官方的各位大佬是会很及时的给出答复的!最后祝Elkeid越来越好(我做实验也能越方便doge~)!
补充一个问题,git clone 下来的文件中,agent/support/rust里的flexi_logger是一个连接,引用了另一个git项目,git clone的过程不会下载这个项目,所以初始状态该文件夹为空,需要cd到该文件夹下然后git flexi_logger项目。
类似资料: