Непривилегированный режим работы OneAgent в Linux - История изменений

Lobanov в 10:53, 22 января 2023

2023-01-22T10:53:47Z

Lobanov: Lobanov переименовал страницу Непривилегированный режим работы ЕдиногоАгента в Linux в Непривилегированный режим работы OneAgent в Linux

2023-01-22T10:52:31Z

Lobanov переименовал страницу Непривилегированный режим работы ЕдиногоАгента в Linux в Непривилегированный режим работы OneAgent в Linux

← Предыдущая

Версия 10:52, 22 января 2023

Lobanov: /* Ядра без внешних возможностей (версии с 2.6.26 по 4.3) */

2022-03-15T17:24:24Z

Ядра без внешних возможностей (версии с 2.6.26 по 4.3)

← Предыдущая		Версия 17:24, 15 марта 2022
Строка 16:		Строка 16:

	*При запуске в непривилегированном режиме программе установки ЕдиногоАгента требуются права суперпользователя, чтобы:		*При запуске в непривилегированном режиме программе установки ЕдиногоАгента требуются права суперпользователя, чтобы:
	Установите возможности файлов для двоичных файлов ЕдиногоАгента, расположенных в /opt/~~dynatrace~~/oneagent/agent/lib[64]/.		Установите возможности файлов для двоичных файлов ЕдиногоАгента, расположенных в /opt/{server-name}/oneagent/agent/lib[64]/.
	*Вызовите сценарий службы oneagent, чтобы запустить oneagentwatchdog.		*Вызовите сценарий службы oneagent, чтобы запустить oneagentwatchdog.
	*В системах с systemd свяжитесь с демоном systemd через d-bus, чтобы выполнить следующие команды:		*В системах с systemd свяжитесь с демоном systemd через d-bus, чтобы выполнить следующие команды:
Строка 174:		Строка 174:
	Если вы не хотите предоставлять ЕдиномуАгенту уровень разрешений суперпользователя, вы можете отключить его, добавив параметр <code>DISABLE_ROOT_FALLBACK=1</code> в команду установки ЕдиногоАгента. Например:		Если вы не хотите предоставлять ЕдиномуАгенту уровень разрешений суперпользователя, вы можете отключить его, добавив параметр <code>DISABLE_ROOT_FALLBACK=1</code> в команду установки ЕдиногоАгента. Например:

	<code>sudo /bin/sh ~~Dynatrace-~~OneAgent-Linux-1.0.0.sh NON_ROOT_MODE=1 DISABLE_ROOT_FALLBACK=1</code>		<code>sudo /bin/sh OneAgent-Linux-1.0.0.sh NON_ROOT_MODE=1 DISABLE_ROOT_FALLBACK=1</code>

	В таких случаях вы должны выполнять обновления вручную на отдельных хостах. Мы не рекомендуем использовать параметр <code>DISABLE_ROOT_FALLBACK=1</code> для ЕдиногоАгента в контейнерах Azure или Docker.		В таких случаях вы должны выполнять обновления вручную на отдельных хостах. Мы не рекомендуем использовать параметр <code>DISABLE_ROOT_FALLBACK=1</code> для ЕдиногоАгента в контейнерах Azure или Docker.

Lobanov: Новая страница: «По умолчанию ЕдиныйАгент устанавливается в непривилегированном режиме, в котором приви...»

2022-02-05T15:22:15Z

Новая страница: «По умолчанию ЕдиныйАгент устанавливается в непривилегированном режиме, в котором приви...»

Новая страница

По умолчанию ЕдиныйАгент устанавливается в непривилегированном режиме, в котором привилегии суперпользователя используются один раз для запуска процесса установки.

Затем ЕдиныйАгент запускается под непривилегированным пользователем, сохраняя при этом полный набор функций.

===='''Системные Требования'''====
Чтобы установить ЕдиныйАгент в непривилегированном режиме, ваша система должна соответствовать следующим требованиям:

*Файловая система должна поддерживать расширенные атрибуты.
*В системе должен быть установлен libcap2. Например, установка Red Hat Enterprise Linux 5 по умолчанию не содержит libcap2.
*Файловая система не должна быть смонтирована как noexec или nosuid.
*Linux Filesystem Capabilities должны быть включены. Например, в SUSE Linux Enterprise Server 11 Linux Filesystem Capabilities отключены по умолчанию. Дополнительные сведения см. в разделе «Непривилегированный режим и Linux Filesystem Capabilities» ниже.

См. [[ЕдиныйАгент безопасность в Linux|Безопасность ЕдиногоАгента в Linux]], чтобы узнать о действиях по отслеживанию, выполняемых ЕдинымАгентом, для которых требуется привилегированный доступ.

===='''Привилегии во время установки'''====

*При запуске в непривилегированном режиме программе установки ЕдиногоАгента требуются права суперпользователя, чтобы:
*Установите возможности файлов для двоичных файлов ЕдиногоАгента, расположенных в /opt/dynatrace/oneagent/agent/lib[64]/*.
*Вызовите сценарий службы oneagent, чтобы запустить oneagentwatchdog.
*В системах с systemd свяжитесь с демоном systemd через d-bus, чтобы выполнить следующие команды:
**systemctl <start|stop|enable|disable> oneagent.service
**systemctl демон-перезагрузка
*В системах с SysV выполните /sbin/chkconfig, чтобы добавить сценарий службы oneagent в автозапуск или удалить его.
*Напишите в /proc/sys/kernel/core_pattern.

Привилегии суперпользователя сбрасываются при выполнении скрипта службы Ключ-Астром ЕдиныйАгент:

*В системах с systemd непривилегированный пользователь включается в определение службы (файл модуля). Таким образом, демон systemd запускает сценарий службы ЕдиныйАгент в непривилегированном режиме.
*В системах с SysV привилегии сбрасываются в сценарии при запуске процесса ЕдиныйАгент Watchdog.

===='''Linux Filesystem Capabilities'''====
Ключ-Астром ЕдиныйАгент Watchdog создаёт и запускает все остальные процессы под непривилегированным пользователем без прав суперпользователя. Двоичные файлы ЕдиногоАгента используют следующие системные возможности Linux.

Возможности двоичной системы Linux
{| class="wikitable"
!Binary
!Linux System Capabilities
|-
|oneagentwatchdog
|<code>cap_sys_resource</code>1- for setting system resource limits when starting OneAgent processes
|-
|oneagentos
|<code>cap_dac_override</code>2 - for filesystem access
<code>cap_chown</code>2 3 - for setting ownership of files replaced in the filesystem (e.g., <code>runc</code> binary)

<code>cap_fowner</code>2 - for setting ownership of files replaced in the filesystem

<code>cap_sys_ptrace</code> - for reading data from <code>/proc</code> pseudo-filesystem and tracing processes

<code>cap_sys_resource</code>3 - for reading processes resource limits

<code>cap_setuid</code>4 - for temporary elevation of privileges to execute certain operations; for details, see Automatic updates and operation

<code>cap_kill</code>3 5 6

<code>cap_setfcap</code>3 5 6

<code>cap_fsetid</code>3 5 6
|-
|oneagentnettracer
|<code>cap_bpf</code> (kernel >=5.8)7
<code>cap_perfmon</code> (kernel >=5.8)7

<code>cap_sys_admin</code> (kernel <5.8)7

<code>cap_dac_override</code>

<code>cap_sys_ptrace</code>

<code>cap_sys_resource</code>
|-
|oneagentnetwork
|<code>cap_net_raw</code> - for opening raw sockets
<code>cap_net_admin</code>8- for reading network interface information
|-
|oneagentloganalytics
|<code>cap_dac_read_search</code> - for access to all logs stored on host
<code>cap_sys_ptrace</code> - for reading data from <code>/proc</code> pseudo-filesystem
|-
|oneagentplugin
|<code>cap_set_gid</code>1- for adding docker to the process supplementary groups list, which allows for the container data to be retrieved
|-
|oneagenthelper9
|<code>cap_sys_admin</code> - for <code>mount()</code> syscall
<code>cap_dac_override</code> - for inspection and modification of filesystems of the running containers

<code>cap_sys_ptrace</code> - for tracing the <code>Docker</code> daemon

<code>cap_sys_chroot</code> - for <code>chroot()</code> syscall

<code>cap_fowner</code> - for changing ownership and permissions of files within container filesystem

<code>cap_fsetid</code> - for changing ownership and permissions of files within container filesystem
|-
|OneAgent Installer executed during auto-update
|<code>cap_dac_override</code> - for filesystem access
<code>cap_chown</code> - for filesystem access

<code>cap_fowner</code> - for filesystem access

<code>cap_fsetid</code> - for filesystem access

<code>cap_kill</code> - to be able to signal all the running processes, e.g. stopped orphaned OneAgent processes

<code>cap_setfcap</code> - for setting Linux Filesystem capabilities file capabilities on agent binaries during the installation
|-
|oneagentosconfig
|<code>cap_setuid</code> 6- for execution of privileged operations during the installation process
|-
|oneagenteventstracer
|<code>cap_sys_admin</code> - for <code>perf_event_open()</code> syscall
<code>cap_dac_override</code> - for access to <code>/sys/kernel/debug/tracing</code>
|-
|oneagentdmidecode
|<code>cap_dac_override</code> - for filesystem access
|-
|oneagentmntconstat
|<code>cap_dac_read_search</code> - for retrieving disk occupation stats with <code>statvfs64()</code>
<code>cap_sys_chroot</code> - for <code>setns()</code> syscall

<code>cap_sys_admin</code> - for <code>setns()</code> syscall

<code>cap_sys_ptrace</code> - for accessing <code>/proc/1/ns</code>
|-
| colspan="100%" |
1 Required only during initialization phase and is unconditionally dropped afterwards.

2 Not used if auto-updates and automatic injection are disabled.

3 Kept in permitted set only and raised to the effective set when needed.

4 Only if ambient capabilities aren't supported.

5 Not used if auto-updates are disabled.

6 Only if ambient capabilities are supported.

7 Only for kernels 5.8 and newer. For older kernel versions, <code>cap_sys_admin</code> is enabled instead.

8 Only on kernels older than 2.6.33.

9 Not started if automatic injection is disabled.
|}

====='''Включение Linux Filesystem Capabilities'''=====
Linux Filesystem Capabilities необходимы для установки ЕдиногоАгента в непривилегированном режиме. В SUSE Linux Enterprise Server 11 Linux Filesystem Capabilities отключены по умолчанию. Эти возможности также могут быть отключены в других поддерживаемых дистрибутивах Linux или в результате пользовательской конфигурации. Программа установки ЕдиногоАгента выводит следующее сообщение, если возможности файловой системы Linux отключены:

<code>Warning: Failed to enable non-privileged mode, kernel does not support file capabilities.</code>

Вы также можете проверить параметры загрузки ядра, чтобы увидеть, включены ли Linux Filesystem Capabilities. Выполните следующую команду, чтобы проверить параметры загрузки ядра.

<code>cat /proc/cmdline</code>

Если вы обнаружите, что <code>file_caps=1</code> в выводе, ваша установка в порядке.

Чтобы включить возможности файловой системы Linux, добавьте <code>file_caps=1</code> в параметры загрузки ядра. Например, в SUSE Linux Enterprise Server 11 используйте YaST, отредактируйте параметры загрузки ядра, добавьте <code>file_caps=1</code> и перезагрузите машину.

===='''Привилегии при автоматических обновлениях и работе'''====
Объем привилегий, требуемых ЕдиномуАгенту, зависит от того, поддерживает ли ядро Linux ambient capabilities. Как правило, ядро версии 4.3+ поддерживает Linux ambient capabilities. Однако в случае с Red Hat Enterprise Linux они могут поддерживаться в более старых версиях ядра из-за политики Red Hat по резервному переносу исправлений. Это означает, что Linux ambient capabilities поддерживается версиями ядра, начиная с 3.10.x.

====='''Ядра с поддержкой Linux ambient capabilities (версия 4.3+)'''=====
Во время автоматического обновления установщик запускается под непривилегированным пользователем dtuser с установленными надлежащими возможностями окружения. ЕдиныйАгент не требует корневого доступа для выполнения автоматического обновления.

Red Hat Enterprise Linux 7 имеет слишком низкий <code>systemd</code> (v219 вместо необходимого v221), и чтобы иметь возможность запускать автоматические обновления в непривилегированном режиме, мы временно повышаем привилегии для запуска <code>systemctl <start|stop|enable|disable> oneagent.service</code>.

====='''Ядра без внешних возможностей (версии с 2.6.26 по 4.3)'''=====
В большинстве случаев ЕдиныйАгент будет работать под непривилегированным <code>dtuser</code>. Когда ядро не предоставляет ambient capabilities, оно автоматически повышает свои привилегии до уровня суперпользователя, используя <code>setuid(0)</code> в следующих случаях:

*Автоматические обновления ЕдиногоАгента
*Генерация идентификатора OSI узла на узлах Azure
*Определение свойств контейнеров Docker
*Самодиагностика

Если вы не хотите предоставлять ЕдиномуАгенту уровень разрешений суперпользователя, вы можете отключить его, добавив параметр <code>DISABLE_ROOT_FALLBACK=1</code> в команду установки ЕдиногоАгента. Например:

<code>sudo /bin/sh Dynatrace-OneAgent-Linux-1.0.0.sh NON_ROOT_MODE=1 DISABLE_ROOT_FALLBACK=1</code>

В таких случаях вы должны выполнять обновления вручную на отдельных хостах. Мы не рекомендуем использовать параметр <code>DISABLE_ROOT_FALLBACK=1</code> для ЕдиногоАгента в контейнерах Azure или Docker.

===='''Как узнать, работает ли ЕдиныйАгент в непривилегированном режиме?'''====
Программа установки распечатывает сообщение в конце установки OneAgent. В зависимости от версии ядра и его поддержки внешних возможностей вы увидите одно из следующих сообщений:

<code>Non-privileged mode is enabled</code>

Ядро поддерживает ambient capabilities, нет необходимости использовать доступ суперпользователя для обновлений или операций.

<code>Enabled non-privileged mode, but ambient capabilities are not supported by kernel</code>

Ядро находится в пределах минимальной поддерживаемой версии, но из-за неподдерживаемых ambient capabilities, ЕдиномуАгенту необходимо повышать привилегии в некоторых случаях, см. выше.

<code>Failed to enable non-privileged mode</code>

Ядро не соответствует минимальным требованиям к версии для включения непривилегированного режима.

← Предыдущая		Версия 10:53, 22 января 2023
Строка 1:		Строка 1:
	По умолчанию ~~ЕдиныйАгент~~ устанавливается в непривилегированном режиме, в котором привилегии суперпользователя используются один раз для запуска процесса установки.		По умолчанию OneAgent устанавливается в непривилегированном режиме, в котором привилегии суперпользователя используются один раз для запуска процесса установки.

	Затем ~~ЕдиныйАгент~~ запускается под непривилегированным пользователем, сохраняя при этом полный набор функций.		Затем OneAgent запускается под непривилегированным пользователем, сохраняя при этом полный набор функций.

	===='''Системные Требования'''====		===='''Системные Требования'''====
	Чтобы установить ~~ЕдиныйАгент~~ в непривилегированном режиме, ваша система должна соответствовать следующим требованиям:		Чтобы установить OneAgent в непривилегированном режиме, ваша система должна соответствовать следующим требованиям:

	*Файловая система должна поддерживать расширенные атрибуты.		*Файловая система должна поддерживать расширенные атрибуты.
Строка 11:		Строка 11:
	*Linux Filesystem Capabilities должны быть включены. Например, в SUSE Linux Enterprise Server 11 Linux Filesystem Capabilities отключены по умолчанию. Дополнительные сведения см. в разделе «Непривилегированный режим и Linux Filesystem Capabilities» ниже.		*Linux Filesystem Capabilities должны быть включены. Например, в SUSE Linux Enterprise Server 11 Linux Filesystem Capabilities отключены по умолчанию. Дополнительные сведения см. в разделе «Непривилегированный режим и Linux Filesystem Capabilities» ниже.

	См. [[~~ЕдиныйАгент~~ безопасность в Linux\|Безопасность ~~ЕдиногоАгента~~ в Linux]], чтобы узнать о действиях по отслеживанию, выполняемых ~~ЕдинымАгентом~~, для которых требуется привилегированный доступ.		См. [[OneAgent безопасность в Linux\|Безопасность OneAgent в Linux]], чтобы узнать о действиях по отслеживанию, выполняемых OneAgent, для которых требуется привилегированный доступ.

	===='''Привилегии во время установки'''====		===='''Привилегии во время установки'''====

	*При запуске в непривилегированном режиме программе установки ~~ЕдиногоАгента~~ требуются права суперпользователя, чтобы:		*При запуске в непривилегированном режиме программе установки OneAgent требуются права суперпользователя, чтобы:
	Установите возможности файлов для двоичных файлов ~~ЕдиногоАгента~~, расположенных в /opt/{server-name}/oneagent/agent/lib[64]/.		Установите возможности файлов для двоичных файлов OneAgent, расположенных в /opt/{server-name}/oneagent/agent/lib[64]/.
	*Вызовите сценарий службы oneagent, чтобы запустить oneagentwatchdog.		*Вызовите сценарий службы oneagent, чтобы запустить oneagentwatchdog.
	*В системах с systemd свяжитесь с демоном systemd через d-bus, чтобы выполнить следующие команды:		*В системах с systemd свяжитесь с демоном systemd через d-bus, чтобы выполнить следующие команды:
Строка 24:		Строка 24:
	*Напишите в /proc/sys/kernel/core_pattern.		*Напишите в /proc/sys/kernel/core_pattern.

	Привилегии суперпользователя сбрасываются при выполнении скрипта службы ~~Ключ-Астром ЕдиныйАгент~~:		Привилегии суперпользователя сбрасываются при выполнении скрипта службы Dynatrace OneAgent:

	*В системах с systemd непривилегированный пользователь включается в определение службы (файл модуля). Таким образом, демон systemd запускает сценарий службы ~~ЕдиныйАгент~~ в непривилегированном режиме.		*В системах с systemd непривилегированный пользователь включается в определение службы (файл модуля). Таким образом, демон systemd запускает сценарий службы OneAgent в непривилегированном режиме.
	*В системах с SysV привилегии сбрасываются в сценарии при запуске процесса ~~ЕдиныйАгент~~ Watchdog.		*В системах с SysV привилегии сбрасываются в сценарии при запуске процесса OneAgent Watchdog.

	===='''Linux Filesystem Capabilities'''====		===='''Linux Filesystem Capabilities'''====
	~~Ключ-Астром ЕдиныйАгент~~ Watchdog создаёт и запускает все остальные процессы под непривилегированным пользователем без прав суперпользователя. Двоичные файлы ~~ЕдиногоАгента~~ используют следующие системные возможности Linux.		Dynatrace OneAgent Watchdog создаёт и запускает все остальные процессы под непривилегированным пользователем без прав суперпользователя. Двоичные файлы OneAgent используют следующие системные возможности Linux.

	Возможности двоичной системы Linux		Возможности двоичной системы Linux
Строка 144:		Строка 144:

	====='''Включение Linux Filesystem Capabilities'''=====		====='''Включение Linux Filesystem Capabilities'''=====
	Linux Filesystem Capabilities необходимы для установки ~~ЕдиногоАгента~~ в непривилегированном режиме. В SUSE Linux Enterprise Server 11 Linux Filesystem Capabilities отключены по умолчанию. Эти возможности также могут быть отключены в других поддерживаемых дистрибутивах Linux или в результате пользовательской конфигурации. Программа установки ~~ЕдиногоАгента~~ выводит следующее сообщение, если возможности файловой системы Linux отключены:		Linux Filesystem Capabilities необходимы для установки OneAgent в непривилегированном режиме. В SUSE Linux Enterprise Server 11 Linux Filesystem Capabilities отключены по умолчанию. Эти возможности также могут быть отключены в других поддерживаемых дистрибутивах Linux или в результате пользовательской конфигурации. Программа установки OneAgent выводит следующее сообщение, если возможности файловой системы Linux отключены:

	<code>Warning: Failed to enable non-privileged mode, kernel does not support file capabilities.</code>		<code>Warning: Failed to enable non-privileged mode, kernel does not support file capabilities.</code>
Строка 157:		Строка 157:

	===='''Привилегии при автоматических обновлениях и работе'''====		===='''Привилегии при автоматических обновлениях и работе'''====
	Объем привилегий, требуемых ~~ЕдиномуАгенту~~, зависит от того, поддерживает ли ядро Linux ambient capabilities. Как правило, ядро версии 4.3+ поддерживает Linux ambient capabilities. Однако в случае с Red Hat Enterprise Linux они могут поддерживаться в более старых версиях ядра из-за политики Red Hat по резервному переносу исправлений. Это означает, что Linux ambient capabilities поддерживается версиями ядра, начиная с 3.10.x.		Объем привилегий, требуемых OneAgent, зависит от того, поддерживает ли ядро Linux ambient capabilities. Как правило, ядро версии 4.3+ поддерживает Linux ambient capabilities. Однако в случае с Red Hat Enterprise Linux они могут поддерживаться в более старых версиях ядра из-за политики Red Hat по резервному переносу исправлений. Это означает, что Linux ambient capabilities поддерживается версиями ядра, начиная с 3.10.x.

	====='''Ядра с поддержкой Linux ambient capabilities (версия 4.3+)'''=====		====='''Ядра с поддержкой Linux ambient capabilities (версия 4.3+)'''=====
	Во время автоматического обновления установщик запускается под непривилегированным пользователем dtuser с установленными надлежащими возможностями окружения. ~~ЕдиныйАгент~~ не требует корневого доступа для выполнения автоматического обновления.		Во время автоматического обновления установщик запускается под непривилегированным пользователем dtuser с установленными надлежащими возможностями окружения. OneAgent не требует корневого доступа для выполнения автоматического обновления.

	Red Hat Enterprise Linux 7 имеет слишком низкий <code>systemd</code> (v219 вместо необходимого v221), и чтобы иметь возможность запускать автоматические обновления в непривилегированном режиме, мы временно повышаем привилегии для запуска <code>systemctl <start\|stop\|enable\|disable> oneagent.service</code>.		Red Hat Enterprise Linux 7 имеет слишком низкий <code>systemd</code> (v219 вместо необходимого v221), и чтобы иметь возможность запускать автоматические обновления в непривилегированном режиме, мы временно повышаем привилегии для запуска <code>systemctl <start\|stop\|enable\|disable> oneagent.service</code>.

	====='''Ядра без внешних возможностей (версии с 2.6.26 по 4.3)'''=====		====='''Ядра без внешних возможностей (версии с 2.6.26 по 4.3)'''=====
	В большинстве случаев ~~ЕдиныйАгент~~ будет работать под непривилегированным <code>dtuser</code>. Когда ядро не предоставляет ambient capabilities, оно автоматически повышает свои привилегии до уровня суперпользователя, используя <code>setuid(0)</code> в следующих случаях:		В большинстве случаев OneAgent будет работать под непривилегированным <code>dtuser</code>. Когда ядро не предоставляет ambient capabilities, оно автоматически повышает свои привилегии до уровня суперпользователя, используя <code>setuid(0)</code> в следующих случаях:

	*Автоматические обновления ~~ЕдиногоАгента~~		*Автоматические обновления OneAgent
	*Генерация идентификатора OSI узла на узлах Azure		*Генерация идентификатора OSI узла на узлах Azure
	*Определение свойств контейнеров Docker		*Определение свойств контейнеров Docker
	*Самодиагностика		*Самодиагностика

	Если вы не хотите предоставлять ~~ЕдиномуАгенту~~ уровень разрешений суперпользователя, вы можете отключить его, добавив параметр <code>DISABLE_ROOT_FALLBACK=1</code> в команду установки ~~ЕдиногоАгента~~. Например:		Если вы не хотите предоставлять OneAgent уровень разрешений суперпользователя, вы можете отключить его, добавив параметр <code>DISABLE_ROOT_FALLBACK=1</code> в команду установки OneAgent. Например:

	<code>sudo /bin/sh OneAgent-Linux-1.0.0.sh NON_ROOT_MODE=1 DISABLE_ROOT_FALLBACK=1</code>		<code>sudo /bin/sh OneAgent-Linux-1.0.0.sh NON_ROOT_MODE=1 DISABLE_ROOT_FALLBACK=1</code>

	В таких случаях вы должны выполнять обновления вручную на отдельных хостах. Мы не рекомендуем использовать параметр <code>DISABLE_ROOT_FALLBACK=1</code> для ~~ЕдиногоАгента~~ в контейнерах Azure или Docker.		В таких случаях вы должны выполнять обновления вручную на отдельных хостах. Мы не рекомендуем использовать параметр <code>DISABLE_ROOT_FALLBACK=1</code> для OneAgent в контейнерах Azure или Docker.

	===='''Как узнать, работает ли ~~ЕдиныйАгент~~ в непривилегированном режиме?'''====		===='''Как узнать, работает ли OneAgent в непривилегированном режиме?'''====
	Программа установки распечатывает сообщение в конце установки OneAgent. В зависимости от версии ядра и его поддержки внешних возможностей вы увидите одно из следующих сообщений:		Программа установки распечатывает сообщение в конце установки OneAgent. В зависимости от версии ядра и его поддержки внешних возможностей вы увидите одно из следующих сообщений:

Строка 187:		Строка 187:
	<code>Enabled non-privileged mode, but ambient capabilities are not supported by kernel</code>		<code>Enabled non-privileged mode, but ambient capabilities are not supported by kernel</code>

	Ядро находится в пределах минимальной поддерживаемой версии, но из-за неподдерживаемых ambient capabilities, ~~ЕдиномуАгенту~~ необходимо повышать привилегии в некоторых случаях, см. выше.		Ядро находится в пределах минимальной поддерживаемой версии, но из-за неподдерживаемых ambient capabilities, OneAgent необходимо повышать привилегии в некоторых случаях, см. выше.

	<code>Failed to enable non-privileged mode</code>		<code>Failed to enable non-privileged mode</code>

	Ядро не соответствует минимальным требованиям к версии для включения непривилегированного режима.		Ядро не соответствует минимальным требованиям к версии для включения непривилегированного режима.