CrowdStrike Falcon for Linux¶
Falcon сенсор для Linux — це легковаговий агент, що забезпечує захист кінцевих точок у реальному часі. Працює в User mode (eBPF) або Kernel mode залежно від конфігурації ядра.
Системні вимоги¶
- Архітектура: x86_64 (amd64), ARM64 (aarch64), s390x (IBM zSeries)
- Ядро: 3.10+ (Kernel mode), 4.18+ з підтримкою eBPF (User mode)
- Дисковий простір: ~100 MB
- Оперативна пам'ять: ~200-500 MB залежно від навантаження
- Мережа: HTTPS (порт 443) до хмари CrowdStrike
Підтримувані дистрибутиви (x86_64)¶
| Дистрибутив | Підтримувані версії |
|---|---|
| RHEL | 7.4–7.9, 8.0–8.10, 9.0–9.5, 9.6–9.7 (User mode), 10.1 (User mode) |
| CentOS | 7.4–7.9, 8.0–8.5; CentOS Stream 9–10 (User mode) |
| Ubuntu | 16.04, 18.04, 20.04, 22.04, 24.04 LTS |
| Debian | 9.1–9.4, 10, 11, 12 |
| Amazon Linux | 2, 2023 |
| SUSE / SLES | 12.2–12.5, 15–15.5 |
| Oracle Linux | 7 (UEK 3–6), 8 (UEK 6–7), 9 (UEK 7–8), 10 (UEK 8, User mode) |
| Rocky Linux | 8.4–8.10, 9.0–9.5 |
| AlmaLinux | 8.4–8.10, 9.0–9.6 |
| Fedora | CoreOS for OKD 4.10+ (DaemonSet) |
| OpenSUSE Leap | 15.3–15.5 |
Актуальний список
Повний та актуальний список підтримуваних ОС та ядер доступний в офіційній документації CrowdStrike (потрібна авторизація).
Встановлення¶
Найшвидший спосіб встановити сенсор — через Pike. Детальний гайд: Розгортання сенсорів.
Ручне встановлення:
Після встановлення налаштуйте CID та запустіть сервіс:
Provisioning token
Якщо для вашого CID увімкнено вимогу installation tokens, додайте параметр --provisioning-token:
Перевірка встановлення¶
# Перевірити що процес сенсора запущено
ps -e | grep falcon-sensor
# Перевірити підключення до хмари CrowdStrike
sudo netstat -tapn | grep falcon
Якщо сенсор працює, ps покаже процес falcon-sensor (або falcon-sensor-bpf у User mode). Команда netstat повинна показати з'єднання на порт 443.
Основні команди falconctl¶
falconctl — утиліта для управління сенсором Falcon. Розташована в /opt/CrowdStrike/falconctl.
Перегляд конфігурації¶
# Всі параметри
sudo /opt/CrowdStrike/falconctl -g
# Agent ID
sudo /opt/CrowdStrike/falconctl -g --aid
# CID
sudo /opt/CrowdStrike/falconctl -g --cid
# Версія сенсора
sudo /opt/CrowdStrike/falconctl -g --version
# Стан RFM
sudo /opt/CrowdStrike/falconctl -g --rfm-state
# Історія RFM
sudo /opt/CrowdStrike/falconctl -g --rfm-history
# Grouping tags
sudo /opt/CrowdStrike/falconctl -g --tags
# Режим роботи (backend)
sudo /opt/CrowdStrike/falconctl -g --backend
# Налаштування проксі
sudo /opt/CrowdStrike/falconctl -g --aph --app
Налаштування¶
# Встановити CID
sudo /opt/CrowdStrike/falconctl -s --cid=<CID>
# Встановити grouping tags
sudo /opt/CrowdStrike/falconctl -s --tags="tag1,tag2"
# Очистити grouping tags
sudo /opt/CrowdStrike/falconctl -d -f --tags
Зміни тегів потребують перезапуску
Після зміни або очищення grouping tags необхідно перезапустити сенсор:
Налаштування проксі¶
# Встановити проксі
sudo /opt/CrowdStrike/falconctl -s --aph=<proxy_host> --app=<proxy_port>
# Увімкнути проксі
sudo /opt/CrowdStrike/falconctl -s --apd=FALSE
# Вимкнути проксі
sudo /opt/CrowdStrike/falconctl -s --apd=TRUE
Після зміни налаштувань проксі перезапустіть сенсор: sudo systemctl restart falcon-sensor
Note
Сенсор не підтримує автентифікацію через проксі.
Управління сервісом¶
# Статус сенсора
sudo systemctl status falcon-sensor
# Перезапуск сенсора
sudo systemctl restart falcon-sensor
# Логи сенсора (systemd)
sudo journalctl -u falcon-sensor --no-pager -n 50
Логи також зберігаються в syslog (/var/log/messages, /var/log/syslog):
Видалення¶
Maintenance token
Якщо в Falcon Console увімкнено захист від видалення (Uninstall and maintenance protection), перед деінсталяцією введіть maintenance token:
Token можна отримати в Host setup and management > Host management -> три крапки на хості -> Reveal maintenance token або через API.
Подальше читання¶
- Режими роботи — User mode, Kernel mode та автоматичне перемикання
- Reduced Functionality Mode — діагностика та виправлення RFM