怎么在搜索引擎里做网站网页,东营建设信息网招聘,怎样优化手机网站,企业服务平台建设方案引言
eBPF作为当前linux系统上最为炙手可热的技术#xff0c;通常被用于网络流量过滤和分析、系统调用跟踪、性能优化、安全监控#xff0c;当下比较知名的项目有Cilium、Falco等。
Cilium 是一个开源的容器网络和安全性项目#xff0c;致力于提供高效的容器通信和强大的安…引言
eBPF作为当前linux系统上最为炙手可热的技术通常被用于网络流量过滤和分析、系统调用跟踪、性能优化、安全监控当下比较知名的项目有Cilium、Falco等。
Cilium 是一个开源的容器网络和安全性项目致力于提供高效的容器通信和强大的安全性功能Cilium 基于eBPF、XDP、TC等技术实现了Layer 3IP、Layer 4TCP/UDP以及 HTTP 层的负载均衡和网络防护是一款非常优秀的网络安全工具。Falco是一个开源的云原生应用安全项目旨在提供运行时容器安全性监控和威胁检测Falco通过监视容器运行时环境的系统调用和其他事件检测并报告可能的异常行为和安全威胁使系统管理员和开发人员能够更好地了解和响应与容器运行时环境相关的安全问题。
Cilium 和Falco在其各自的领域都是非常优秀的存在但是它们在运行时安全上面都存在一些缺失缺少对运行时进程的实时阻断能力。这是否意味着eBPF无法实现运行时的阻断答案是否定的在eBPF的后续不断发展的过程中增加了对进程和内核函数的阻断能力这让基于eBPF构建一款运行时安全产品成为可能。
Tetragon
2022年5月Isovalent发布了基于 eBPF 的安全可观察性和运行时执行项目TetragonTetragon可以根据规则在内核中同步进行过滤、阻止和响应从而可以防止攻击而不是异步地对其做出反应。 Tetragon是一款运行时安全执行和可观测性工具。这意味着Tetragon直接在内核中使用eBPF应用策略和过滤。它在内核中执行过滤、阻断和对事件的响应而不是将事件发送到用户空间代理。对于可观测性用例直接在内核中应用过滤器极大地减少了观测开销。通过避免昂贵的上下文切换和唤醒特别是对于高频事件如发送、读取或写入操作eBPF减少了所需的资源。相反Tetragon在eBPF中提供了丰富的过滤器文件、套接字、二进制名称、命名空间/权限等允许用户在其特定上下文中指定重要和相关的事件并仅将这些事件传递到用户空间代理。
Tetragon可以钩入Linux内核中的任何函数并在其参数、返回值以及Tetragon收集的有关进程例如可执行文件名称、文件和其他属性的关联元数据上进行过滤。通过编写跟踪策略用户可以解决各种安全性和可观测性用例。关键是Tetragon允许在内核深层进行挂钩用户空间应用程序无法操纵数据结构从而避免了系统调用跟踪中常见的问题如错误读取数据、被攻击者恶意更改数据或由于页面错误和其他用户/内核边界错误而丢失数据。Tetragon的许多开发人员同时也是内核开发人员。通过充分利用这一知识基础Tetragon创建了一组可以解决许多常见可观测性和安全性用例的跟踪策略。
Tetragon通过eBPF技术可以访问Linux内核状态。然后Tetragon可以将这个内核状态与Kubernetes感知或用户策略结合起来以实时由内核执行的方式创建规则。这使得可以对进程命名空间和权限、进程与套接字的关系、进程文件描述符与文件名等进行注解和强制执行。例如当应用程序更改其特权时我们可以创建一个策略触发警报甚至在进程有机会完成系统调用并可能运行其他系统调用之前终止该进程。
根据上述介绍Tetragon具备了在内核中阻断的能力那么到底Tetragon是如何进行阻断的呢是使用了eBPF中的什么功能实现的呢
分析Tetragon的源码发现Tetragon在使用了send_signal()函数下发FGS_SIGKILL指令给当前进程完成阻断动作这个动作相当于在用户态发送kill -9指令给进程。send_signal()函数是eBPF的内置函数在linux 5.3版本内核中引入。
除了send_signal()函数eBPF还提供了其它的阻断方式在linux 5.7版本内核中eBPF添加了LSM的支持开发者可以在eBPF中基于LSM实现更细粒度的管。出于兼容性的考虑Tetragon没有选择eBPF LSM。下面通过例子演示一下这两种阻断方式。
send_signal()
send_signal()是eBPF的一个功能它允许用户在内核空间发送信号来干预指定的进程。这个功能是Linux 5.3内核提供的一种新的方法用于实时响应和控制系统行为。通过直接从内核空间发送信号避免了用户空间的额外开销从而确保信号能够在事件发生后立即被发送大大减少了延迟。
send_signal()的主要优势包括
实时响应由于减少了延迟信号可以在事件发生后立即被发送实现实时响应。
准确性减少的延迟使得我们可以获得更准确的系统状态快照对于性能分析和异常检测尤为重要。
灵活性send_signal()提供了更多的灵活性开发人员可以根据不同的使用场景和需求来自定义信号的发送逻辑从而更精确地控制和管理系统行为。
我们使用kprobe配合bpf_send_signal()来阻断内核中do_sys_openat2函数do_sys_openat2是一个Linux内核函数用于在指定的目录下打开文件或创建文件。例如我们可以配置阻断curl以阻止用户使用curl对网络进行访问。 当用户使用curl的时候eBPF程序会发送bpf_send_signal(9)杀死当前进程。 eBPF LSM
上文提到Tetragon使用send_signal()函数来杀死当前进程以达到运行时控制的目的。那么有没有一种更细粒度的控制方式比如只是对进程的某个函数进程控制答案是有的eBPF LSM可以做到这一点。
LSMLinux Security Module是Linux内核中的一个安全框架它从linux2.6版本内核开始引入。LSM 提供了一系列的安全钩子hooks这些钩子允许安全模块在关键系统操作发生时介入。例如文件系统操作、网络通信、进程创建等都有相应的钩子允许模块执行安全检查和控制。
eBPF LSM是eBPF技术的扩展于linux 5.7版本内核引入让eBPF程序有了使用LSM框架的能力。借助LSM框架eBPF 程序可以阻止进程执行过程中的某个特定函数而不用将整个程序kill掉。
下面是一个LSM BPF程序功能是对特定应用发送网络包的行为进行阻拦选择socket_sendmsg这个LSM钩子当使用curl请求网络包的时候就会进行阻拦 可以看到这里与bpf_send_signal(9)有一些不同使用LSM BPF只是阻止了socket_sendmsg这个调用而非直接杀死进程。
总结
借助eBPF中的阻断能力特别是对LSM的支持开发者现在不光可以监控内核中的活动也可以控制内核中函数的执行。相信在未来我们会看到越来越多基于eBPF的运行时安全产品。
