Hi,
dies ist nur eine vorab Info, mehr (noch) nicht.
Unser Alarmserver hat mich geweckt und mir Probleme gemeldet.
Wir haben ein VMWare VSphere Umfeld mit mehreren ESX Hosts.
Dort sind alle aktuellen Debian Server (Asset Mgm, Wiki, Icinga, NetCore) stehen geblieben - alle haben den aktuellsten Stable Kernel 6.1.0-20 aktiv.
Reboots brachten nichts, auch eine Migration auf andere Hosts brachte keine Hilfe.
Erst das Laden (im Grub) von Kernel 6.1.0-18 brachte die Server wieder hoch.
Ich habe nun heute Nacht nicht so wirklich noch den Willen genauer einzusteigen, die Kisten laufen ja nun erstmal wieder.
Den Rest dann in Ruhe, ggfs. auch erst am Montag...
Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor
-
Snoopy
- Beiträge: 4296
- Registriert: 17.11.2003 18:26:56
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Rh.- Pflz.
Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor
Zuletzt geändert von Snoopy am 22.04.2024 14:54:24, insgesamt 1-mal geändert.
-
Snoopy
- Beiträge: 4296
- Registriert: 17.11.2003 18:26:56
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Rh.- Pflz.
Re: Kernel Panic 6.1.0-20 auf ESX Servern
Hi,
es liegt nicht an der Virtualisierung, sondern am Falcon Sensor von Crowdstrike.
Das Problem haben mittlerweile auch andere erkannt, ein Update auf die neueste Version brachte Abhilfe.
Damit startet der Server wieder mit der neuesten Kernel Version.
Bei mir nur eine gewisse Zeit, dann knipst sich der Server erneut weg.
Ich suche mal weiter, ich gehe davon aus, dass er läuft bis Falcon irgendwas machen möchte...
es liegt nicht an der Virtualisierung, sondern am Falcon Sensor von Crowdstrike.
Das Problem haben mittlerweile auch andere erkannt, ein Update auf die neueste Version brachte Abhilfe.
Damit startet der Server wieder mit der neuesten Kernel Version.
Bei mir nur eine gewisse Zeit, dann knipst sich der Server erneut weg.
Ich suche mal weiter, ich gehe davon aus, dass er läuft bis Falcon irgendwas machen möchte...
Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor
Hi,
das Problem tritt bei uns auch auf und liegt scheinbar an Version 7.13.0.16604 des Falcon Client.
Wir haben die neueste Version 7.14.0.16703 installiert und das System startete einwandfrei mit Kernel 6.1.0.20.
Nach ein paar Minuten blieb es dennoch wieder hängen.
Wir haben dann festgestellt, dass der Falcon Client wieder auf Version 7.13.0.16604 war.
Es muss also sichergestellt werden, dass Seitens Crowdstrike der letzte Client Version 7.14.0.16703 installiert wird und nicht mehr Version 7.13.0.16604.
das Problem tritt bei uns auch auf und liegt scheinbar an Version 7.13.0.16604 des Falcon Client.
Wir haben die neueste Version 7.14.0.16703 installiert und das System startete einwandfrei mit Kernel 6.1.0.20.
Nach ein paar Minuten blieb es dennoch wieder hängen.
Wir haben dann festgestellt, dass der Falcon Client wieder auf Version 7.13.0.16604 war.
Es muss also sichergestellt werden, dass Seitens Crowdstrike der letzte Client Version 7.14.0.16703 installiert wird und nicht mehr Version 7.13.0.16604.
-
Snoopy
- Beiträge: 4296
- Registriert: 17.11.2003 18:26:56
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Rh.- Pflz.
Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor
Hi,
bei uns ist genau daselbe Problem.
Der Falcon-Sensor macht den Downgrade nach Installation von 7.14 auf 7.13 und dann war's das.
P.S.: Willkommen im Forum!
bei uns ist genau daselbe Problem.
Der Falcon-Sensor macht den Downgrade nach Installation von 7.14 auf 7.13 und dann war's das.
P.S.: Willkommen im Forum!
Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor
wir haben von unserem Support die Nachricht bekommen, dass das Problem inzwischen Support-Artikel bei Crowdstrike hat (veröffentlicht am 24. April, Titel "Kernel Crash Will Occur for Linux Sensor Running in Kernel Mode on Hosts When Running on Debian 12 Kernel[...]")
"This issue is caused by a change in the kernel that CrowdStrike is currently investigating."
Betroffen seien die Kernel 6.1.0.20-amd64 und 6.1.0.20-cloud-amd64
Lösung: man soll das Backend von Kernel-Mode auf User-Mode umstellen. Entweder über
/opt/CrowdStrike/falconctl -s --backend=bpf
oder indem man in Grub den Kernel-Boot-Parameter "falcon_disable" mitgibt.
"This issue is caused by a change in the kernel that CrowdStrike is currently investigating."
Betroffen seien die Kernel 6.1.0.20-amd64 und 6.1.0.20-cloud-amd64
Lösung: man soll das Backend von Kernel-Mode auf User-Mode umstellen. Entweder über
/opt/CrowdStrike/falconctl -s --backend=bpf
oder indem man in Grub den Kernel-Boot-Parameter "falcon_disable" mitgibt.