eBPF运行时安全

引言

eBPF作为当前linux系统上最为炙手可热的技术,通常被用于网络流量过滤和分析、系统调用跟踪、性能优化、安全监控,当下比较知名的项目有Cilium、Falco等。

Cilium 是一个开源的容器网络和安全性项目,致力于提供高效的容器通信和强大的安全性功能,Cilium 基于eBPF、XDP、TC等技术实现了Layer 3(IP)、Layer 4(TCP/UDP)以及 HTTP 层的负载均衡和网络防护,是一款非常优秀的网络安全工具。Falco是一个开源的云原生应用安全项目,旨在提供运行时容器安全性监控和威胁检测,Falco通过监视容器运行时环境的系统调用和其他事件,检测并报告可能的异常行为和安全威胁,使系统管理员和开发人员能够更好地了解和响应与容器运行时环境相关的安全问题。

Cilium 和Falco在其各自的领域都是非常优秀的存在,但是它们在运行时安全上面都存在一些缺失,缺少对运行时进程的实时阻断能力。这是否意味着eBPF无法实现运行时的阻断?答案是否定的,在eBPF的后续不断发展的过程中,增加了对进程和内核函数的阻断能力,这让基于eBPF构建一款运行时安全产品成为可能。

Tetragon

2022年5月,Isovalent发布了基于 eBPF 的安全可观察性和运行时执行项目Tetragon,Tetragon可以根据规则在内核中同步进行过滤、阻止和响应,从而可以防止攻击,而不是异步地对其做出反应。

Tetragon是一款运行时安全执行和可观测性工具。这意味着Tetragon直接在内核中使用eBPF应用策略和过滤。它在内核中执行过滤、阻断和对事件的响应,而不是将事件发送到用户空间代理。对于可观测性用例,直接在内核中应用过滤器极大地减少了观测开销。通过避免昂贵的上下文切换和唤醒,特别是对于高频事件(如发送、读取或写入操作),eBPF减少了所需的资源。相反,Tetragon在eBPF中提供了丰富的过滤器(文件、套接字、二进制名称、命名空间/权限等),允许用户在其特定上下文中指定重要和相关的事件,并仅将这些事件传递到用户空间代理。

Tetragon可以钩入Linux内核中的任何函数,并在其参数、返回值以及Tetragon收集的有关进程(例如可执行文件名称)、文件和其他属性的关联元数据上进行过滤。通过编写跟踪策略,用户可以解决各种安全性和可观测性用例。关键是,Tetragon允许在内核深层进行挂钩,用户空间应用程序无法操纵数据结构,从而避免了系统调用跟踪中常见的问题,如错误读取数据、被攻击者恶意更改数据,或由于页面错误和其他用户/内核边界错误而丢失数据。Tetragon的许多开发人员同时也是内核开发人员。通过充分利用这一知识基础,Tetragon创建了一组可以解决许多常见可观测性和安全性用例的跟踪策略。

Tetragon通过eBPF技术可以访问Linux内核状态。然后,Tetragon可以将这个内核状态与Kubernetes感知或用户策略结合起来,以实时由内核执行的方式创建规则。这使得可以对进程命名空间和权限、进程与套接字的关系、进程文件描述符与文件名等进行注解和强制执行。例如,当应用程序更改其特权时,我们可以创建一个策略,触发警报甚至在进程有机会完成系统调用并可能运行其他系统调用之前终止该进程。

根据上述介绍,Tetragon具备了在内核中阻断的能力,那么到底Tetragon是如何进行阻断的呢?是使用了eBPF中的什么功能实现的呢?

分析Tetragon的源码发现,Tetragon在使用了send_signal()函数下发FGS_SIGKILL指令给当前进程,完成阻断动作,这个动作相当于在用户态发送kill -9指令给进程。send_signal()函数是eBPF的内置函数,在linux 5.3版本内核中引入。

除了send_signal()函数,eBPF还提供了其它的阻断方式,在linux 5.7版本内核中eBPF添加了LSM的支持,开发者可以在eBPF中基于LSM实现更细粒度的管。出于兼容性的考虑,Tetragon没有选择eBPF LSM。下面通过例子演示一下这两种阻断方式。

send_signal()

send_signal()是eBPF的一个功能,它允许用户在内核空间发送信号来干预指定的进程。这个功能是Linux 5.3内核提供的一种新的方法,用于实时响应和控制系统行为。通过直接从内核空间发送信号,避免了用户空间的额外开销,从而确保信号能够在事件发生后立即被发送,大大减少了延迟。

send_signal()的主要优势包括:

实时响应:由于减少了延迟,信号可以在事件发生后立即被发送,实现实时响应。

准确性:减少的延迟使得我们可以获得更准确的系统状态快照,对于性能分析和异常检测尤为重要。

灵活性:send_signal()提供了更多的灵活性,开发人员可以根据不同的使用场景和需求来自定义信号的发送逻辑,从而更精确地控制和管理系统行为。

我们使用kprobe配合bpf_send_signal()来阻断内核中do_sys_openat2函数,do_sys_openat2是一个Linux内核函数,用于在指定的目录下打开文件或创建文件。例如我们可以配置阻断curl,以阻止用户使用curl对网络进行访问。

当用户使用curl的时候,eBPF程序会发送bpf_send_signal(9)杀死当前进程。

eBPF LSM

上文提到,Tetragon使用send_signal()函数来杀死当前进程,以达到运行时控制的目的。那么有没有一种更细粒度的控制方式,比如只是对进程的某个函数进程控制?答案是有的,eBPF LSM可以做到这一点。

LSM(Linux Security Module)是Linux内核中的一个安全框架,它从linux2.6版本内核开始引入。LSM 提供了一系列的安全钩子(hooks),这些钩子允许安全模块在关键系统操作发生时介入。例如,文件系统操作、网络通信、进程创建等都有相应的钩子,允许模块执行安全检查和控制。

eBPF LSM是eBPF技术的扩展,于linux 5.7版本内核引入,让eBPF程序有了使用LSM框架的能力。借助LSM框架,eBPF 程序可以阻止进程执行过程中的某个特定函数,而不用将整个程序kill掉。

下面是一个LSM BPF程序,功能是对特定应用发送网络包的行为进行阻拦,选择socket_sendmsg这个LSM钩子,当使用curl请求网络包的时候,就会进行阻拦:

可以看到这里与bpf_send_signal(9)有一些不同,使用LSM BPF只是阻止了socket_sendmsg这个调用,而非直接杀死进程。

总结

借助eBPF中的阻断能力,特别是对LSM的支持,开发者现在不光可以监控内核中的活动,也可以控制内核中函数的执行。相信在未来我们会看到越来越多基于eBPF的运行时安全产品。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/626092.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java代码审计FastJson反序列化利用链跟踪动态调试autoType绕过

目录 0x00 前言 0x01 基础参考 JNDI注入实例 使用type加入User类解析 FastJson历史漏洞简介 0x02 FastJson 1.2.24 利用链分析 调试过程 构造Poc思路 CC链关键流程 0x03 FastJson 1.2.25-1.2.47 利用链分析 1、开启autoTypeSupport:1.2.25-1.2.41 调试过…

含并行连结的网络(GoogLeNet)

目录 1.GoogLeNet 2.代码 1.GoogLeNet inception不改变高宽,只改变通道数。GoogLeNet也大量使用1*1卷积,把它当作全连接用。 V3耗内存比较多,计算比较慢,但是精度比较准确。 2.代码 import torch from torch import nn from t…

MATLAB - 使用运动学 DH 参数构建机械臂

系列文章目录 前言 一、 使用 Puma560 机械手机器人的 Denavit-Hartenberg (DH) 参数,逐步建立刚体树形机器人模型。在连接每个关节时,指定其相对 DH 参数。可视化机器人坐标系,并与最终模型进行交互。 DH 参数定义了每个刚体通过关节与其父…

非常好用的Mac清理工具CleanMyMac X 4.14.7 如何取消您对CleanMyMac X的年度订购

CleanMyMac X 4.14.7是Mac平台上的一款非常著名同时非常好用的Mac清理工具。全方位扫描您的Mac系统,让垃圾无处藏身,您只需要轻松单击2次鼠标左键即可清理数G的垃圾,就这么简单。瞬间提升您Mac速度。 CleanMyMac X 4.14.7下载地址&#xff1a…

基于LabVIEW的声音信号采集分析系统开发

摘要:以美国国家仪器(NI)公司开发的LabVIEW虚拟仪器为软件开发平台,设计了一个可以同步实现声音信号采集和分析的多功能模块化软件系统.借助LabVIEW图形化软件相应的声音读取、写入和存储函数实现对声音信号的采集、存储、时域分析和频域分析…

行为树(Behavior Trees)

行为树(Behavior Trees)是一种在游戏开发中广泛使用的AI设计模式,主要用于描述AI的行为和决策过程,实现更加智能和自然的游戏AI。它由多个节点组成,每个节点代表一个行为或决策,按照特定的方式连接在一起&a…

C#编程-自定义属性

命名自定义属性 让我们继续漏洞修复示例,在这个示例中新的自定义属性被命名为BugFixingAttribute。通常的约定是在属性名称后添加单词Attribute。编译器通过允许您调用具有短版名称的属性来支持附加。 因此,可以如以下代码段所示编写该属性: [ BugFixing ( 122,"Sara…

U-Boot学习(3):.config、defconfig文件对比及图形化配置Kconfig

在上一节中,我们介绍了U-Boot编译和.config配置文件生成分析,我们可以通过make xxx__defconfig来进行一些配置,其中xxx__defconfig对应config目录下的基于不同开发板的一些配置,指令执行完后会根据对应的配置在根目录下生成一个.c…

LLM之幻觉(二):大语言模型LLM幻觉缓减技术综述

LLM幻觉缓减技术分为两大主流,梯度方法和非梯度方法。梯度方法是指对基本LLM进行微调;而非梯度方法主要是在推理时使用Prompt工程技术。LLM幻觉缓减技术,如下图所示: LLM幻觉缓减技术值得注意的是: 检索增强生成&…

将Sqoop与Hive集成无缝的数据分析

将Sqoop与Hive集成是实现无缝数据分析的重要一步,它可以将关系型数据库中的数据导入到Hive中进行高级数据处理和查询。本文将深入探讨如何实现Sqoop与Hive的集成,并提供详细的示例代码和全面的内容,以帮助大家更好地了解和应用这一技术。 为…

bee工具的使用及创建第一个项目

前提文章:beego的安装及配置参数说明-CSDN博客 提示:beego框架下项目需要再GOPATH/src下进行开发,我的GOPATH是C:\Users\leell\go web项目创建 通过 bee new 创建web项目 C:\Users\leell\go\src>bee new beego-web 2024/01/15 21:40:0…

详细讲解Python连接Mysql的基本操作

目录 前言1. mysql.connector2. pymysql 前言 连接Mysql一般有几种方法,主要讲解mysql.connector以及pymysql的连接 后续如果用到其他库还会持续总结! 对于数据库中的表格,本人设计如下:(为了配合下面的操作) 1. mysql.connector mysql.connector 是一…

自动化的自动化(1)--OPCUA2HTML5

现在的自动化工程师是令人沮丧的,他们努力地实现各个行业的自动化系统,自己却停留在敲键盘的手工劳作的阶段,该解放自己了。这就是“自动化实现自动化”的话题。 OPC 统一架构(简称 OPC UA)是现代工厂自动化中用于机器…

漏洞复现-Yearning front 任意文件读取漏洞(附漏洞检测脚本)

免责声明 文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的…

身体互联网 (IoB)

现在,我们的互联网网关就是我们手中的一个小设备。 普渡大学副教授施里亚斯森表示。 我们不断地看着这个盒子,我们低着头走路,我们把大部分时间都花在它上面。如果我们不想让这种未来继续下去,我们就需要开发新技术。相反&#x…

#RAG##AIGC#检索增强生成 (RAG) 基本介绍和入门实操示例

本文包括RAG基本介绍和入门实操示例 RAG 基本介绍 通用语言模型可以进行微调以实现一些常见任务,例如情感分析和命名实体识别。这些任务通常不需要额外的背景知识。 对于更复杂和知识密集型的任务,可以构建基于语言模型的系统来访问外部知识源来完成任…

系统架构11 - 数据库基础(上)

数据库基础 数据库基本概念概述三级模式、两级映像概念模式外模式内模式二级映像逻辑独立性物理独立性 数据库设计需求分析概念结构设计逻辑结构设计物理设计数据库实施阶段据库运行和维护阶段 数据模型E-R模型关系模型模型转换E-R图的联系 关系代数 数据库基本概念 概述 数据…

openpyxl绘制图表

嘿,你是不是在处理Excel文件时感到束手无策?是不是想要一个简单而又强大的工具来处理数据分析和图表制作?别担心,我们有解决方案!让我向你介绍openpyxl,这是一个Python库,专门用于处理Excel文件…

使用MDT将系统升级为Win10

创建升级到Win10任务序列 右键选择Task Sequence ,然后选择NEW Task Sequence 填写ID name 默认配置 选择企业版 默认配置 填写组织 输入Administrator密码 点击下一步 等待完成 我们提前安装一台WIN7,并激活 选择打开 选择是 选择我们要创建好的升级win…

2.3 数据链路层03

2.3 数据链路层03 2.3.7 以太网交换机 1、以太网交换机的基本功能 以太网交换机是基于以太网传输数据的交换机,以太网交换机通常都有多个接口,每个接口都可以直接与一台主机或另一个以太网交换机相连,一般都工作在全双工方式。 以太网交换…