Falco 在 aws ECS 中崩溃

【问题标题】:Falco crashes in aws ECSFalco 在 aws ECS 中崩溃
【发布时间】:2020-09-17 15:34:34
【问题描述】:

当我尝试在 ECS 中运行 docker 容器时,我收到以下错误。 任务定义https://github.com/sysdiglabs/falco-aws-firelens-integration/blob/master/ecs/falco/task-definition.json,但修改为采用最新的"image": "falcosecurity/falco:latest"

我什至尝试登录实例并运行 docker 命令

docker run -i -t --name falco --privileged -v /var/run/docker.sock:/host/var/run/docker.sock -v /dev:/host/dev -v /proc:/host/proc:ro -v /boot:/host/boot:ro -v /lib/modules:/host/lib/modules:ro -v /usr:/host/usr:ro falcosecurity/falco:latest

我也犯了同样的错误。

Status: Downloaded newer image for falcosecurity/falco:latest
* Setting up /usr/src links from host
* Running falco-driver-loader with: driver=module, compile=yes, download=yes
* Unloading falco module, if present
* Trying to dkms install falco module
* Running dkms build failed, couldn't find /var/lib/dkms/falco/96bd9bc560f67742738eb7255aeb4d03046b8045/build/make.log
* Trying to load a system falco driver, if present
* Trying to find locally a prebuilt falco module for kernel 4.14.173-137.229.amzn2.x86_64, if present
Detected an unsupported target system, please get in touch with the Falco community
2020-05-29T17:27:28+0000: Falco initialized with configuration file /etc/falco/falco.yaml
2020-05-29T17:27:28+0000: Loading rules from file /etc/falco/falco_rules.yaml:
2020-05-29T17:27:28+0000: Loading rules from file /etc/falco/falco_rules.local.yaml:
2020-05-29T17:27:28+0000: Loading rules from file /etc/falco/k8s_audit_rules.yaml:
2020-05-29T17:27:29+0000: Unable to load the driver. Exiting.
2020-05-29T17:27:29+0000: Runtime error: error opening device /host/dev/falco0. Make sure you have root credentials and that the falco module is loaded.. Exiting.

操作系统详情

[ec2-user@ip-172-xxxx-xxx-xxx ~]$ cat /etc/system-release
Amazon Linux release 2 (Karoo)
[ec2-user@ip-172-xxxx-xxx-xxx  ~]$ cat /etc/os-release
NAME="Amazon Linux"
VERSION="2"
ID="amzn"
ID_LIKE="centos rhel fedora"
VERSION_ID="2"
PRETTY_NAME="Amazon Linux 2"
ANSI_COLOR="0;33"
CPE_NAME="cpe:2.3:o:amazon:amazon_linux:2"
HOME_URL="https://amazonlinux.com/"

【问题讨论】:

    标签: amazon-web-services amazon-ecs falco


    【解决方案1】:

    这里是 Falco 维护者。

    导致该错误的原因有多种:

    • 您的主机没有 Linux 内核头文件(Falco 需要它来编译适合您的 Amazon Linux 2 4.14.173-137.229 内核的 Falco 驱动程序)
    • 当驱动程序编译失败时,Falco 会为您的主机内核寻找预构建的驱动程序
    • 很遗憾,您使用的 Falco 版本没有针对该内核进行预构建

    事实上,为了工作,Falco 需要一个驱动程序(有两个主要驱动程序:一个内核模块和一个 eBPF 驱动程序)。出于这个原因,Falco 容器需要具有特权:对您运行 Falco 容器的主机上的驱动程序。

    解决方案

    那么,如何解决这个问题并让 Falco 运行?

    这里有一些选项:

    • 在您的 Amazon Linux 2 主机上安装内核头文件(包 kernel-devel)
    • 更新到较新的 Falco: 最近的 Falco 版本提供了大约 4K 的预构建驱动程序,还有 one 你当时 - 无法找到

    【讨论】:

      猜你喜欢
      • 2018-07-29
      • 2021-08-05
      • 2021-12-29
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2020-10-18
      • 2022-01-19
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode