发布在K3s (PopOS)上安装Falco

Question

我正试图在我的家庭实验室安装Falco (K3s v1.23.6+k3s1 on Pop!_OS v20.04)。对于工作，我需要创建一个响应引擎，因为我选择了FalcoSidekick和OpenFAAS --在将其带到EKS之前，我想在本地测试它。

我正在使用标准的Helm图表：

kubectl create ns falco
helm upgrade --install falco \
  --set falco.jsonOutput=true --set auditLog.enabled=true \
  --set image.repository=falcosecurity/falco-no-driver \
  --set falcosidekick.enabled=true \
  --set falcosidekick.config.openfaas.functionname="falco-pod-delete" \
  --namespace falco \
  falcosecurity/falco

这个问题发生在falco驱动程序加载InitContainer无法从my下载驱动程序时(从这里，因此它试图构建驱动程序，但失败)。

* Looking for a falco module locally (kernel 5.17.5-76051705-generic)
* Trying to download a prebuilt falco module from https://download.falco.org/driver/2.0.0%2Bdriver/x86_64/falco_pop_5.17.5-76051705-generic_202204271406.ko
curl: (22) The requested URL returned error: 404 
Unable to find a prebuilt falco module
* Trying to dkms install falco module with GCC /usr/bin/gcc
warning: the compiler differs from the one used to build the kernel
  The kernel was built by: gcc (Ubuntu 11.2.0-19ubuntu1) 11.2.0
  You are using:           gcc (Debian 5.5.0-12) 5.5.0 20171010
  CC [M]  /var/lib/dkms/falco/2.0.0+driver/build/main.o
gcc: error: unrecognized command line option '-mharden-sls=all'
gcc: error: unrecognized command line option '-Wimplicit-fallthrough=5'
make[2]: *** [scripts/Makefile.build:288: /var/lib/dkms/falco/2.0.0+driver/build/main.o] Error 1

我想知道我是否能够使用Ubuntu驱动程序，如果是的话，我怎样才能覆盖这个驱动程序呢？

Answer 1

我需要为我的系统安装内核头，并增加一些fx.inotify sysctl参数。

Answer 2

您试图使用的编译器(GCC 5.5)似乎不支持某些选项。内核是用5.11编译的，所以我建议使用该内核。

以一种简单的方式编译Falco驱动程序的工具是Falco Driverkit。它使用Docker/Kubernetes来拆分一个容器，包括必要的工具，并接收带有内核版本的配置，而驱动程序必须为此生成内核版本。

不久前，我写了一个关于如何使用博客帖子的文章。我还想邀请您访问Falco板条通道，在那里您可以从社区获得更快的响应。