eBPF运行时安全

这篇具有很好参考价值的文章主要介绍了eBPF运行时安全。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

引言

eBPF作为当前linux系统上最为炙手可热的技术,通常被用于网络流量过滤和分析、系统调用跟踪、性能优化、安全监控,当下比较知名的项目有Cilium、Falco等。

Cilium 是一个开源的容器网络和安全性项目,致力于提供高效的容器通信和强大的安全性功能,Cilium 基于eBPF、XDP、TC等技术实现了Layer 3(IP)、Layer 4(TCP/UDP)以及 HTTP 层的负载均衡和网络防护,是一款非常优秀的网络安全工具。Falco是一个开源的云原生应用安全项目,旨在提供运行时容器安全性监控和威胁检测,Falco通过监视容器运行时环境的系统调用和其他事件,检测并报告可能的异常行为和安全威胁,使系统管理员和开发人员能够更好地了解和响应与容器运行时环境相关的安全问题。

Cilium 和Falco在其各自的领域都是非常优秀的存在,但是它们在运行时安全上面都存在一些缺失,缺少对运行时进程的实时阻断能力。这是否意味着eBPF无法实现运行时的阻断?答案是否定的,在eBPF的后续不断发展的过程中,增加了对进程和内核函数的阻断能力,这让基于eBPF构建一款运行时安全产品成为可能。

Tetragon

2022年5月,Isovalent发布了基于 eBPF 的安全可观察性和运行时执行项目Tetragon,Tetragon可以根据规则在内核中同步进行过滤、阻止和响应,从而可以防止攻击,而不是异步地对其做出反应。

eBPF运行时安全,安全

Tetragon是一款运行时安全执行和可观测性工具。这意味着Tetragon直接在内核中使用eBPF应用策略和过滤。它在内核中执行过滤、阻断和对事件的响应,而不是将事件发送到用户空间代理。对于可观测性用例,直接在内核中应用过滤器极大地减少了观测开销。通过避免昂贵的上下文切换和唤醒,特别是对于高频事件(如发送、读取或写入操作),eBPF减少了所需的资源。相反,Tetragon在eBPF中提供了丰富的过滤器(文件、套接字、二进制名称、命名空间/权限等),允许用户在其特定上下文中指定重要和相关的事件,并仅将这些事件传递到用户空间代理。

Tetragon可以钩入Linux内核中的任何函数,并在其参数、返回值以及Tetragon收集的有关进程(例如可执行文件名称)、文件和其他属性的关联元数据上进行过滤。通过编写跟踪策略,用户可以解决各种安全性和可观测性用例。关键是,Tetragon允许在内核深层进行挂钩,用户空间应用程序无法操纵数据结构,从而避免了系统调用跟踪中常见的问题,如错误读取数据、被攻击者恶意更改数据,或由于页面错误和其他用户/内核边界错误而丢失数据。Tetragon的许多开发人员同时也是内核开发人员。通过充分利用这一知识基础,Tetragon创建了一组可以解决许多常见可观测性和安全性用例的跟踪策略。

Tetragon通过eBPF技术可以访问Linux内核状态。然后,Tetragon可以将这个内核状态与Kubernetes感知或用户策略结合起来,以实时由内核执行的方式创建规则。这使得可以对进程命名空间和权限、进程与套接字的关系、进程文件描述符与文件名等进行注解和强制执行。例如,当应用程序更改其特权时,我们可以创建一个策略,触发警报甚至在进程有机会完成系统调用并可能运行其他系统调用之前终止该进程。

根据上述介绍,Tetragon具备了在内核中阻断的能力,那么到底Tetragon是如何进行阻断的呢?是使用了eBPF中的什么功能实现的呢?

分析Tetragon的源码发现,Tetragon在使用了send_signal()函数下发FGS_SIGKILL指令给当前进程,完成阻断动作,这个动作相当于在用户态发送kill -9指令给进程。send_signal()函数是eBPF的内置函数,在linux 5.3版本内核中引入。

除了send_signal()函数,eBPF还提供了其它的阻断方式,在linux 5.7版本内核中eBPF添加了LSM的支持,开发者可以在eBPF中基于LSM实现更细粒度的管。出于兼容性的考虑,Tetragon没有选择eBPF LSM。下面通过例子演示一下这两种阻断方式。

send_signal()

send_signal()是eBPF的一个功能,它允许用户在内核空间发送信号来干预指定的进程。这个功能是Linux 5.3内核提供的一种新的方法,用于实时响应和控制系统行为。通过直接从内核空间发送信号,避免了用户空间的额外开销,从而确保信号能够在事件发生后立即被发送,大大减少了延迟。

send_signal()的主要优势包括:

实时响应:由于减少了延迟,信号可以在事件发生后立即被发送,实现实时响应。

准确性:减少的延迟使得我们可以获得更准确的系统状态快照,对于性能分析和异常检测尤为重要。

灵活性:send_signal()提供了更多的灵活性,开发人员可以根据不同的使用场景和需求来自定义信号的发送逻辑,从而更精确地控制和管理系统行为。

我们使用kprobe配合bpf_send_signal()来阻断内核中do_sys_openat2函数,do_sys_openat2是一个Linux内核函数,用于在指定的目录下打开文件或创建文件。例如我们可以配置阻断curl,以阻止用户使用curl对网络进行访问。

eBPF运行时安全,安全

当用户使用curl的时候,eBPF程序会发送bpf_send_signal(9)杀死当前进程。

eBPF运行时安全,安全

eBPF LSM

上文提到,Tetragon使用send_signal()函数来杀死当前进程,以达到运行时控制的目的。那么有没有一种更细粒度的控制方式,比如只是对进程的某个函数进程控制?答案是有的,eBPF LSM可以做到这一点。

LSM(Linux Security Module)是Linux内核中的一个安全框架,它从linux2.6版本内核开始引入。LSM 提供了一系列的安全钩子(hooks),这些钩子允许安全模块在关键系统操作发生时介入。例如,文件系统操作、网络通信、进程创建等都有相应的钩子,允许模块执行安全检查和控制。

eBPF LSM是eBPF技术的扩展,于linux 5.7版本内核引入,让eBPF程序有了使用LSM框架的能力。借助LSM框架,eBPF 程序可以阻止进程执行过程中的某个特定函数,而不用将整个程序kill掉。

下面是一个LSM BPF程序,功能是对特定应用发送网络包的行为进行阻拦,选择socket_sendmsg这个LSM钩子,当使用curl请求网络包的时候,就会进行阻拦:

eBPF运行时安全,安全

eBPF运行时安全,安全

可以看到这里与bpf_send_signal(9)有一些不同,使用LSM BPF只是阻止了socket_sendmsg这个调用,而非直接杀死进程。

总结

借助eBPF中的阻断能力,特别是对LSM的支持,开发者现在不光可以监控内核中的活动,也可以控制内核中函数的执行。相信在未来我们会看到越来越多基于eBPF的运行时安全产品。文章来源地址https://www.toymoban.com/news/detail-810210.html

到了这里,关于eBPF运行时安全的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • eBPF 开发实践:使用 eBPF 隐藏进程或文件信息

    eBPF(扩展的伯克利数据包过滤器)是 Linux 内核中的一个强大功能,可以在无需更改内核源代码或重启内核的情况下,运行、加载和更新用户定义的代码。这种功能让 eBPF 在网络和系统性能分析、数据包过滤、安全策略等方面有了广泛的应用。 在本篇教程中,我们将展示如何

    2024年02月07日
    浏览(61)
  • 【eBPF-01】初见:基于 BCC 框架的第一个 eBPF 程序

    闲言少叙,本文记录了如何零基础通过 BCC 框架,入门 eBPF 程序的开发,并实现几个简易的程序。 有关 eBPF 的介绍,网络上的资料有很多,本文暂且先不深入讨论,后面会再出一篇文章详细分析其原理和功能。 我们目前只需要知道, eBPF 实际上是一种过滤器,这种过滤器 几

    2024年02月04日
    浏览(64)
  • [RSA议题分析] eBPF Warfare - Detecting Kernel & eBPF Rootkits with Tracee

    eBPF在恶意活动检测方面仍是未知领域。随着威胁的不断出现,我们需要采取主动。参与者将了解到不同类型的rootkits,它们的攻击流程,它们的运作方式以及如何检测它们。最后,他们将学习如何使用Tracee,这是一个利用eBPF来检测这些威胁并在攻击者面前获得优势的开源工具

    2024年02月07日
    浏览(37)
  • eBPF 入门开发实践教程十:在 eBPF 中使用 hardirqs 或 softirqs 捕获中断事件

    eBPF (Extended Berkeley Packet Filter) 是 Linux 内核上的一个强大的网络和性能分析工具。它允许开发者在内核运行时动态加载、更新和运行用户定义的代码。 本文是 eBPF 入门开发实践教程的第十篇,在 eBPF 中使用 hardirqs 或 softirqs 捕获中断事件。 hardirqs 和 softirqs 是 Linux 内核中两种不

    2024年02月07日
    浏览(48)
  • ebpf简介

    eBPF 是什么呢? 从它的全称“扩展的伯克利数据包过滤器 (Extended Berkeley Packet Filter)” 来看,它是一种数据包过滤技术,是从 BPF (Berkeley Packet Filter) 技术扩展而来的。顾名思义BPF来源于伯克利大学, 最早应用于网络数据包过滤器,它比当时最先进的抓包技术快20倍,其主要得

    2024年02月07日
    浏览(36)
  • ebpf学习

    学习ebpf相关知识 参考资料: awesome-ebpf 最开始接触到的是经典bpf,即cbpf,可以通过生成的字节码给raw socket设定过滤器,这过程中了解到了ebpf,被他的强大所吸引,过去我就对内核观测方面缺少了解,而现有的一些手段显的有点麻烦,不是那么易用,我当时就感觉ebpf可能可以

    2024年01月23日
    浏览(29)
  • 【Learning eBPF-0】引言

    本系列为《Learning eBPF》一书的翻译系列。 (内容并非机翻,部分夹带私货)笔者学习自用,欢迎大家讨论学习。 转载请联系笔者或注明出处,谢谢。 各个章节内容: 1)背景介绍:为啥 eBPF 很吊,以及内核如何支持这种超能力的。 2)给出一个 “Hello World” 例子,介绍 eB

    2024年04月08日
    浏览(43)
  • 1.1 什么是eBPF?(上)

        大多数介绍eBPF的文章都是用“eBPF是一种革命性的内核技术”来描绘的。这样讲一点也不夸张。因为它允许在Linux的内核中执行沙盒程序,在不改变内核源码或加载内核模块的前提下直接地,安全地,快捷地扩展内核,并改变内核的行为。可以想像在运行时,将用户空间的

    2024年02月06日
    浏览(27)
  • eBPF 入门开发实践教程十一:在 eBPF 中使用 libbpf 开发用户态程序并跟踪 exec() 和 exit() 系统调用

    eBPF (Extended Berkeley Packet Filter) 是 Linux 内核上的一个强大的网络和性能分析工具。它允许开发者在内核运行时动态加载、更新和运行用户定义的代码。 在本教程中,我们将了解内核态和用户态的 eBPF 程序是如何协同工作的。我们还将学习如何使用原生的 libbpf 开发用户态程序,

    2024年02月07日
    浏览(48)
  • Linux之ebpf(1)基础使用

    Author: Once Day Date: 2024年4月20日 一位热衷于Linux学习和开发的菜鸟,试图谱写一场冒险之旅,也许终点只是一场白日梦… 漫漫长路,有人对你微笑过嘛… 全系列文章可以参考专栏:Linux基础知识_Once-Day的博客-CSDN博客。 参考文章: eBPF 完全入门指南.pdf(万字长文) - 知乎 (zhih

    2024年04月26日
    浏览(24)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包