封面图加载中
煙沫凡塵
以下安装方式适用于 Debian 和 Ubuntu
添加密钥
添加 falcosecurity GPG 密钥
curl -fsSL https://falco.org/repo/falcosecurity-packages.asc | sudo gpg --dearmor -o /usr/share/keyrings/falco-archive-keyring.gpg
安装构建
配置 apt 存储库
echo "deb [signed-by=/usr/share/keyrings/falco-archive-keyring.gpg] https://download.falco.org/packages/deb stable main" | sudo tee -a /etc/apt/sources.list.d/falcosecurity.list
更新包列表
sudo apt-get update -y
安装构建内核模块和 eBPF 探针所需的一些依赖项,注意,如果想使用 Modern eBPF,则不需要安装以下依赖项:
sudo apt install -y dkms make linux-headers-$(uname -r)
sudo apt install -y clang llvm
sudo apt install -y dialog安装 falco 包
sudo apt-get install -y falco
官方推荐自动选择适合的驱动
是否需要自动更新规则集服务,如果不需要选择 No,我这里选择 Yes
安装完成后查看 falco 启动的服务
sudo systemctl status falco*可以看到安装完成后默认开启了两项服务
有两项服务启动
falco-modern-bpf.service
falcoctl-artifact-follow.service
查看与 falco 有关的所有服务
sudo systemctl list-unit-files "falco*"输出
测试
生成一项可疑事件让 falco 捕获
sudo cat /etc/shadow > /dev/null结果可使用 journalctl 和在 /var/log/syslog 中查看
# 使用 journalctl
sudo journalctl _COMM=falco -p warning
# 使用 /var/log/syslog
sudo grep Sensitive /var/log/syslog
falco 捕获到了这个危险操作行为。