eBPF运行时安全

引言

eBPF作为当前linux系统上最为炙手可热的技术,通常被用于网络流量过滤和分析、系统调用跟踪、性能优化、安全监控,当下比较知名的项目有Cilium、Falco等。

Cilium 是一个开源的容器网络和安全性项目,致力于提供高效的容器通信和强大的安全性功能,Cilium 基于eBPF、XDP、TC等技术实现了Layer 3(IP)、Layer 4(TCP/UDP)以及 HTTP 层的负载均衡和网络防护,是一款非常优秀的网络安全工具。Falco是一个开源的云原生应用安全项目,旨在提供运行时容器安全性监控和威胁检测,Falco通过监视容器运行时环境的系统调用和其他事件,检测并报告可能的异常行为和安全威胁,使系统管理员和开发人员能够更好地了解和响应与容器运行时环境相关的安全问题。

Cilium 和Falco在其各自的领域都是非常优秀的存在,但是它们在运行时安全上面都存在一些缺失,缺少对运行时进程的实时阻断能力。这是否意味着eBPF无法实现运行时的阻断?答案是否定的,在eBPF的后续不断发展的过程中,增加了对进程和内核函数的阻断能力,这让基于eBPF构建一款运行时安全产品成为可能。

Tetragon

2022年5月,Isovalent发布了基于 eBPF 的安全可观察性和运行时执行项目Tetragon,Tetragon可以根据规则在内核中同步进行过滤、阻止和响应,从而可以防止攻击,而不是异步地对其做出反应。

Tetragon是一款运行时安全执行和可观测性工具。这意味着Tetragon直接在内核中使用eBPF应用策略和过滤。它在内核中执行过滤、阻断和对事件的响应,而不是将事件发送到用户空间代理。对于可观测性用例,直接在内核中应用过滤器极大地减少了观测开销。通过避免昂贵的上下文切换和唤醒,特别是对于高频事件(如发送、读取或写入操作),eBPF减少了所需的资源。相反,Tetragon在eBPF中提供了丰富的过滤器(文件、套接字、二进制名称、命名空间/权限等),允许用户在其特定上下文中指定重要和相关的事件,并仅将这些事件传递到用户空间代理。

Tetragon可以钩入Linux内核中的任何函数,并在其参数、返回值以及Tetragon收集的有关进程(例如可执行文件名称)、文件和其他属性的关联元数据上进行过滤。通过编写跟踪策略,用户可以解决各种安全性和可观测性用例。关键是,Tetragon允许在内核深层进行挂钩,用户空间应用程序无法操纵数据结构,从而避免了系统调用跟踪中常见的问题,如错误读取数据、被攻击者恶意更改数据,或由于页面错误和其他用户/内核边界错误而丢失数据。Tetragon的许多开发人员同时也是内核开发人员。通过充分利用这一知识基础,Tetragon创建了一组可以解决许多常见可观测性和安全性用例的跟踪策略。

Tetragon通过eBPF技术可以访问Linux内核状态。然后,Tetragon可以将这个内核状态与Kubernetes感知或用户策略结合起来,以实时由内核执行的方式创建规则。这使得可以对进程命名空间和权限、进程与套接字的关系、进程文件描述符与文件名等进行注解和强制执行。例如,当应用程序更改其特权时,我们可以创建一个策略,触发警报甚至在进程有机会完成系统调用并可能运行其他系统调用之前终止该进程。

根据上述介绍,Tetragon具备了在内核中阻断的能力,那么到底Tetragon是如何进行阻断的呢?是使用了eBPF中的什么功能实现的呢?

分析Tetragon的源码发现,Tetragon在使用了send_signal()函数下发FGS_SIGKILL指令给当前进程,完成阻断动作,这个动作相当于在用户态发送kill -9指令给进程。send_signal()函数是eBPF的内置函数,在linux 5.3版本内核中引入。

除了send_signal()函数,eBPF还提供了其它的阻断方式,在linux 5.7版本内核中eBPF添加了LSM的支持,开发者可以在eBPF中基于LSM实现更细粒度的管。出于兼容性的考虑,Tetragon没有选择eBPF LSM。下面通过例子演示一下这两种阻断方式。

send_signal()

send_signal()是eBPF的一个功能,它允许用户在内核空间发送信号来干预指定的进程。这个功能是Linux 5.3内核提供的一种新的方法,用于实时响应和控制系统行为。通过直接从内核空间发送信号,避免了用户空间的额外开销,从而确保信号能够在事件发生后立即被发送,大大减少了延迟。

send_signal()的主要优势包括:

实时响应:由于减少了延迟,信号可以在事件发生后立即被发送,实现实时响应。

准确性:减少的延迟使得我们可以获得更准确的系统状态快照,对于性能分析和异常检测尤为重要。

灵活性:send_signal()提供了更多的灵活性,开发人员可以根据不同的使用场景和需求来自定义信号的发送逻辑,从而更精确地控制和管理系统行为。

我们使用kprobe配合bpf_send_signal()来阻断内核中do_sys_openat2函数,do_sys_openat2是一个Linux内核函数,用于在指定的目录下打开文件或创建文件。例如我们可以配置阻断curl,以阻止用户使用curl对网络进行访问。

当用户使用curl的时候,eBPF程序会发送bpf_send_signal(9)杀死当前进程。

eBPF LSM

上文提到,Tetragon使用send_signal()函数来杀死当前进程,以达到运行时控制的目的。那么有没有一种更细粒度的控制方式,比如只是对进程的某个函数进程控制?答案是有的,eBPF LSM可以做到这一点。

LSM(Linux Security Module)是Linux内核中的一个安全框架,它从linux2.6版本内核开始引入。LSM 提供了一系列的安全钩子(hooks),这些钩子允许安全模块在关键系统操作发生时介入。例如,文件系统操作、网络通信、进程创建等都有相应的钩子,允许模块执行安全检查和控制。

eBPF LSM是eBPF技术的扩展,于linux 5.7版本内核引入,让eBPF程序有了使用LSM框架的能力。借助LSM框架,eBPF 程序可以阻止进程执行过程中的某个特定函数,而不用将整个程序kill掉。

下面是一个LSM BPF程序,功能是对特定应用发送网络包的行为进行阻拦,选择socket_sendmsg这个LSM钩子,当使用curl请求网络包的时候,就会进行阻拦:

可以看到这里与bpf_send_signal(9)有一些不同,使用LSM BPF只是阻止了socket_sendmsg这个调用,而非直接杀死进程。

总结

借助eBPF中的阻断能力,特别是对LSM的支持,开发者现在不光可以监控内核中的活动,也可以控制内核中函数的执行。相信在未来我们会看到越来越多基于eBPF的运行时安全产品。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/240733.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java异常处理--异常处理知识点总结及企业真题

文章目录 一、知识点总结(1)异常处理概述(2)异常处理的方式1:try-catch-finally(3)异常处理的方式2:throws(4)throw手动抛出异常对象(5&#xff0…

2024美赛数学建模思路 - 案例:ID3-决策树分类算法

文章目录 0 赛题思路1 算法介绍2 FP树表示法3 构建FP树4 实现代码 建模资料 0 赛题思路 (赛题出来以后第一时间在CSDN分享) https://blog.csdn.net/dc_sinor?typeblog 1 算法介绍 FP-Tree算法全称是FrequentPattern Tree算法,就是频繁模…

IOS-UIAlertController简单使用-Swift

UIAlertControlle时IOS的对话框控制器(警报控制器),简单使用方法如下: 步骤都一样,先是创建UIAlertController,然后创建UIAlertAction,再将UIAlertAction添加到UIAlertController中,…

如何安装配置VisualSVN服务并实现公网访问本地服务【内网穿透】

文章目录 前言1. VisualSVN安装与配置2. VisualSVN Server管理界面配置3. 安装cpolar内网穿透3.1 注册账号3.2 下载cpolar客户端3.3 登录cpolar web ui管理界面3.4 创建公网地址 4. 固定公网地址访问 前言 SVN 是 subversion 的缩写,是一个开放源代码的版本控制系统…

【嘉立创EDA-PCB设计指南】3.网络表概念解读+板框绘制

前言:本文对网络表概念解读板框绘制(确定PCB板子轮廓) 网络表概念解读 在本专栏的上一篇文章【嘉立创EDA-PCB设计指南】2,将设计的原理图转为了PCB,在PCB界面下出现了所有的封装,以及所有的飞线属性&…

每日一题 2171. 拿出最少数目的魔法豆(中等)

只有两种拿法,要么全拿光,剩下的要取到和最少魔法豆的袋子的数目相等,显然关键在于每个袋子的最少豆子数量是多少(少于这个数量的袋子是全拿出的)想到了从小到大排序先把最少豆子的袋子认为是基线(最少数量…

计算机毕业设计 基于Java的国产动漫网站的设计与实现 Java实战项目 附源码+文档+视频讲解

博主介绍:✌从事软件开发10年之余,专注于Java技术领域、Python人工智能及数据挖掘、小程序项目开发和Android项目开发等。CSDN、掘金、华为云、InfoQ、阿里云等平台优质作者✌ 🍅文末获取源码联系🍅 👇🏻 精…

React与Vue性能对比:两大前端框架的性能

React和Vue是当前最流行的前端框架之一,它们在性能方面具有一些差异。 React的虚拟DOM机制使得它在渲染大型应用时表现出色。它通过将页面抽象为虚拟DOM树,并且只更新改变了的部分,从而减少了实际DOM的操作次数。这种优化可以提高应用的性能&…

C语言——atoi函数解析

目录 前言 atoi函数的介绍 atoi函数的使用 atoi函数的模拟实现 前言 对于atoi函数大家可能会有些陌生&#xff0c;不过当你选择并阅读到这里时&#xff0c;请往下阅读&#xff0c;我相信你能对atoi函数熟悉该函数的头文件为<stdlib.h> 或 <cstdlib> atoi函数的…

区间预测 | Matlab实现GRU-Adaboost-ABKDE的集成门控循环单元自适应带宽核密度估计多变量回归区间预测

区间预测 | Matlab实现GRU-Adaboost-ABKDE的集成门控循环单元自适应带宽核密度估计多变量回归区间预测 目录 区间预测 | Matlab实现GRU-Adaboost-ABKDE的集成门控循环单元自适应带宽核密度估计多变量回归区间预测效果一览基本介绍程序设计参考资料 效果一览 基本介绍 1.Matlab实…

从零开始学习Zeppelin:大数据可视化分析的交互式开发系统!

介绍&#xff1a;Apache Zeppelin是一个基于Web的交互式开发系统&#xff0c;主要用于进行大数据可视化分析。其核心概念是notebook&#xff0c;所有的操作都可以在notebook中完成。Zeppelin提供了一套非常全面的数据分析解决方案&#xff0c;支持数据采集、数据发现、数据分析…

ES自动补全

安装IK分词器 要实现根据字母做补全&#xff0c;就必须对文档按照拼音分词。在GitHub上恰好有elasticsearch的拼音分词插件。地址&#xff1a;GitHub - medcl/elasticsearch-analysis-pinyin: This Pinyin Analysis plugin is used to do conversion between Chinese characte…

Verilog刷题笔记15

题目&#xff1a; An adder-subtractor can be built from an adder by optionally negating one of the inputs, which is equivalent to inverting the input then adding 1. The net result is a circuit that can do two operations: (a b 0) and (a ~b 1). See Wikipe…

openssl3.2 - 官方demo学习 - test - certs

文章目录 openssl3.2 - 官方demo学习 - test - certs概述笔记.sh的执行语句打印的方法要修改的实际函数END openssl3.2 - 官方demo学习 - test - certs 概述 官方demos目录有证书操作的例子 已经做了笔记 openssl3.2 - 官方demo学习 - certs 但是这个demos/certs目录的脚本,…

PXE——高效批量网络装机

目录 部署PXE远程安装服务 1.PXE概述 2.实现过程 3.实验操作 3.1安装dhcp、vsftpd、tftp-server.x86_64、syslinux服务 3.2修改配置文件——DHCP 3.3修改配置文件——TFTP 3.4kickstart——无人值守安装 3.4.1选择程序 3.4.2修改基础配置 3.4.3修改安装方法 3.4.4…

《TrollStore巨魔商店》TrollStore2安装使用教程支持IOS14.0-16.6.1

TrollStore(巨魔商店) 简单的说就相当于一个永久的免费证书&#xff0c;它可以给你的iPhone和iPad安装任何你想要安装的App软件&#xff0c;而且不需要越狱,不用担心证书签名过期的问题&#xff0c;不需要个人签名和企业签名。 支持的版本&#xff1a; TrollStore安装和使用教…

(二十)Flask之上下文管理第一篇(粗糙缕一遍源码)

每篇前言&#xff1a; &#x1f3c6;&#x1f3c6;作者介绍&#xff1a;【孤寒者】—CSDN全栈领域优质创作者、HDZ核心组成员、华为云享专家Python全栈领域博主、CSDN原力计划作者 &#x1f525;&#x1f525;本文已收录于Flask框架从入门到实战专栏&#xff1a;《Flask框架从入…

基于Xilinx K7-410T的高速DAC之AD9129开发笔记(二)

引言&#xff1a;上一篇文章我们简单介绍了AD9129的基础知识&#xff0c;包括芯片的重要特性&#xff0c;外部接口相关的信号特性等。本篇我们重点介绍下项目中FPGA与AD9129互联的原理图设计&#xff0c;包括LVDS IO接口设计、时钟电路以、供电设计以及PCB设计。 LVDS数据接口设…

MySQL中根据出生日期计算年龄

创建student表 mysql> create table student( -> sid int primary key comment 学生号, -> sname varchar(20) comm…

TCP 拥塞控制对数据延迟的影响

哈喽大家好&#xff0c;我是咸鱼 今天分享一篇文章&#xff0c;是关于 TCP 拥塞控制对数据延迟产生的影响的。作者在服务延迟变高之后进行抓包分析&#xff0c;结果发现时间花在了 TCP 本身的机制上面&#xff1a;客户端并不是将请求一股脑发送给服务端&#xff0c;而是只发送…