LWN: 允许非root用户访问bpf

最新推荐文章于 2022-12-11 11:45:11 发布
最新推荐文章于 2022-12-11 11:45:11 发布
阅读量706 收藏
点赞数
640点击上方蓝色字关注我们~



Providing wider access to bpf()

By Jonathan Corbet
June 27, 2019


bpf()系统调用,可以供user space调用来加载BPF program到kernel进行执行,修改BPF map,以及其他一些BPF相关的功能。BPF program都是验证过的并且隔离在沙盒环境,不过客观来说这些program仍是运行在特权上下文,并且根据所加载的不同类型的program,能导致各种类型的担忧。因此,绝大多数BPF操作(包括加载各种类型的BPF program)都严格限制只有CAP_SYS_ADMIN权限的进程可以调用,通常也就意味着需要root权限。BPF program在很多场景下面都会有帮助,因此人们其实一直希望能有更多自由来使用bpf()。其中一个方向就是Song Liu提出的,在kernel里增加一个与众不同的安全策略。


这个方案描述起来很简单,就是创建了一个新的设备节点 /dev/bpf,核心想法是只要进程有权限打开/dev/bpf文件,就能使用sys_bpf()提供的绝大多数功能,不过作者所说的“绝大多数”一直没有详细解释。如果不是root用户,假如需要进行一些BPF操作,例如创建一个map、或者加载program,都需要首先打开这个/dev/bpf文件。然后通过ioctl()调用(BPF_DEV_IOCTL_GET_PERM)来对进程授权允许进行bpf()调用。今后可以通过调用BPF_DEV_IOCTL_PUT_PERM ioctl()来关闭这个授权。


在kernel内部对此功能的实现方式是在task_struct结构里面增加了一个新的bpf_flags。这个bit被置1就意味着允许使用BPF。不过这个patch的这部分实现还是可能会改变的,因为正如Daniel Borkmann指出,为了一个bit的信息来增加一个unsigned long成员变量,不是一个合理的方案。后面应该会改到其他地方来记录这个bit信息。


下一步就是增加一点逻辑来确定当前的进程是否能够进行BPF操作:


当前的kernel是通过检查CAP_SYS_ADMIN或者CAP_NET_ADMIN来判断是否有权限调用BPF功能的,在此patch合入之后就可以改为使用bpf_capable()来判断了。patch里面一开始说的用来管控“绝大多数”BPF功能,不过代码里面看来是把kernel/bpf下面的所有capable()调用都给替换成bpf_capable()了。

这样改动之后,系统管理员就能够创建一个新的名叫bpf的组,配置这个bpf group作为/dev/bpf文件的属主。后续/dev/bpf的访问权限会被配置成允许组成员进行读操作(使用ioctl()并不需要写操作权限),这样只要进程属于bpf group,就能够使用bpf()系统调用了。


需要注意的是,BPF能做到的事情可不仅仅局限在BPF虚拟机而已。例如,在tracepoint里面挂载一个BPF program,也需要tracing部分代码的配合;利用BPF来监控网络,也需要网络子系统的配合。这些子系统里面也会有一些权限检查,例如tracepoint的访问会需要有perf_event_open()权限,在某些系统上可能会控制得很严格。这组patch set没有修改这些权限检查代码,只有一个例外:在允许BPF访问的时候,会把BPF socket-filter program相关的限制去掉。


总之,这个patch在做的事情就是增加一个新的capability bit,并独立于Linux通常的capability check机制之外,允许任何能读/dev/bpf的进程打开或者关闭这个权限。这个新的capability主要用于BPF子系统,还有networking代码里的一处地方也有用到,很有可能今后会需要扩展到kernel的其他子系统里的相关部分。目前的实现还是跟kernel security model安全模型有点不太一致。

没有增加一个新的capability bit(例如CAP_SYS_BPF),是有客观原因的。目前的capability处理程序不知道这个新bit的含义,因此可能无法正确处理。不过,目前还不清楚这种采用另一种方法来实现capability bit的做法是不是真的有好处。

总有一天人们会需要能对BPF的功能有一些更细粒度的访问控制。好消息Linux security module (LSM)里面已经有了一些hook,适合实现这方面的底层支持。既然现在LSM有了越来越多的应用,加强了系统管理员在kernel的security policy方面的管控,那么为什么不利用基于LSM的方式来实现这个管控呢?对这方面做一些探索,可能可以更好的帮助这个patch set更加通用,不局限于BPF部分,从而得到更好的review。


全文完

LWN文章遵循CC BY-SA 4.0许可协议。

极度欢迎将文章分享到朋友圈 
热烈欢迎转载以及基于现有协议上的修改再创作~


长按下面二维码关注:Linux News搬运工,希望每周的深度文章以及开源社区的各种新近言论,能够让大家满意~


640?wx_fmt=jpeg

LinuxNews搬运工
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《TCP/IP详解卷2:实现》笔记--BPF:BSD 分组过滤程序
TODD911的专栏
01-12 3376
BSD分组过滤程序(BPF)是一种软件设备,用于过滤网络接口的数据流,即给网络接口加上开关。应用进程打开/dev/bpf0、 /dev/bpf1等等后,可以读取BPF设备,每个应用进程一次只能打开一个BPF设备。 通过若干ioctl命令,可以配置BPF设备,把它与某个网络接口相关联,并安装过滤程序,从而能够选择性地接收输入的分组。 BPF设备打开后,应用进程通过读写设备来接收分组,或将分组放
BPF初探 - Android中BPF运用实例
ulangch的博客
05-28 4723
本文主要介绍在Android中对BPF的使用及其解析,参考Android 7.1源码 注:阅读本文需要一定的网络协议基础 参考文章:https://www.freebsd.org/cgi/man.cgi?query=bpf&sektion=4&manpath=FreeBSD+4.7-RELEASE 什么是BPF   伯克利包过滤器(Berkeley Pack...
iptrace占用/dev/bpf0导致tcpdump报 BIOCSETIF: en1: Do not specify an existing file
zlhg的专栏
03-30 4234
iptrace占用/dev/bpf0导致tcpdump无法访问/dev/bpf0而报错。 在aix下可以用truss tcpdump看见在访问/dev/bpf0时报errno=EEXIST #define EEXIST  17      /* File exists                          */ 用下面2步解决问题:1)找到iptrace的pi
MAC OS 群组内出现 access_bpf
qq_41737845的博客
12-11 863
偶然发现MAC OS中的群组内出现一个名为 access_bpf 的群组,因为没有自己去添加过这个群组,怀疑是安装其他软件后出现了安全问题。群组是为了方便 root 执行 Wireshark 捕获流量。
Mac平台scapy安装遇到的坑——找不到/dev/pbf*
qq_34319090的博客
04-03 2122
遇到了一个问题,说是找不到/dev/bpf文件,仔细搜索,网络上方法千千万,分享一下避免大家踩坑。 正确的方法是先去看看/dev文件夹下是否有bpf文件,也许是bpf1、bpf2等,然后 sudo chgrp admin /dev/bpf* sudo chmod g+rw /dev/bpf* 然后就可以了,猜测估计是权限不足导致读取不到。...
af_lwn::penguin: 用于 Tiny Tiny RSS 的 LWN.net 插件
06-07
af_lwn 小插件,用于提取提要项目的全部内容,包括仅限订阅者的内容。 如果您想提取仅限订阅者的内容, LWN_PASS在 config.php 中配置LWN_USER和LWN_PASS ,如下所示: define ( 'LWN_USER' , '<username>' );define...
lwn-newsletter:订阅 Linux 每周档案的工具
06-07
lwn-时事通讯 订阅 Linux 每周档案的工具。 纯娱乐。 从。 配置文件示例 category=Kernel # Support Kernel, Security and Distributions receiver=xxx@gmail.com password=xxx server=smtp.gmail.com port=587 ...
lwn2email
02-21
此工具要求用户具有LWN订阅。 如果您认为该脚本有用,请通过购买订阅来支持LWN。 我将通过不接受允许脚本无需订阅即可工作的请求请求来尊重LWN。 该脚本在某种程度上取决于LWN的格式,如果进行更改,该脚本可能会...
LWN helper-crx插件
04-05
LWN helper-crx插件】是一款专为英文版LWN.net(Linux Weekly News)设计的浏览器扩展程序,旨在优化用户在浏览该网站时的体验,使其内容更易于理解和导航。这款插件的核心功能是在LWN.net上的内部链接上添加了...
LWN帮手「LWN helper」-crx插件
03-15
使LWN稍微容易阅读 这个扩展名为LWN.net上的其他文章的所有内部链接添加了标题mouseover。在导航之前知道您正在浏览的文章。 支持语言:English
MacBook上Wi-Fi抓包权限
suxiang198的博客
03-09 2280
MacBook的Wi-Fi网卡性能是常强的,许多Wi-Fi空口与数据流的抓包都可以基于MacBook以及工具软件来实现,本文主要介绍MacBook上的Wi-Fi抓包权限以及可能遇到的问题
Linux bpf 1.1、BPF内核实现
热门推荐
pwl999的博客
09-28 1万+
BPF的字面上意思Berkeley Packet Filter意味着它是从包过滤而来。如果在开始前对BPF缺乏感性的认识建议先看一下参考文档:“3.1、Berkeley Packet Filter (BPF) (Kernel Document)”、“3.2、BPF and XDP Reference Guide”。 本质上它是一种内核代码注入的技术: 内核中实现了一个cBPF/eBPF虚拟机; ...
揭秘 BPF map 前生今世
云原生实验室
01-10 433
1. 前言众所周知,map 可用于内核 BPF 程序和用户应用程序之间实现双向的数据交换, 为 BPF 技术中的重要基础数据结构。在 BPF 程序中可以通过声明 struct bpf_ma...
bpf的加载流程分析
大草的博客
05-26 2659
分析load_bpf_file函数
ebfp编程常用API介绍
魏言华的博客
10-11 2415
目录 1 用户态API 1.1 加载prog 1.2 查询prog的信息 1.3 prog绑定到固定的dev上 1.4 创建MAP 1.5查询MAP 1.6 Object Pinning(钉住对象) 2 内核态API 2.1 内核总体API 2.2 bpf 加载 2.2.1 prog 加载 2.3 bpf map 操作 2.3.1 map 创建 2.3.2 map 查找 2.3.3BPF_FUNC_map_lookup_elem 2.4 obj pin(盯住对象) 2...
一文搞懂所有bpf程序分类
zhjwang的博客
06-01 3966
bpf的程序可以分为两大类:第一大类是tracing,可以帮助你更好的理解系统发生了什么,例如:cpu和内存的使用情况等。第二大类就是networking,主要可以帮助你检查和处理网络流量,它可以允许你filter或者reject网络数据包,不同的网络类型程序,可以发生在网络的不同阶段。 2.Socket Filter Programs BPF_PROG_TYPE_SOCKET_FILTER是第一个被添加到内核的程序类型。当你attach一个bpf程序到socket上,你可以获取到被socket处理的所有数
BPF自己写过滤包程序
maeom的专栏
12-22 1万+
BPF:Berkeley Packet Filter  Linux下过滤程序如何编写,以及网络封包结构温习
BPF虚拟文件系统是干什么的,以及它的作用
zhjwang的博客
06-06 4171
BPF最基本的的特征是基于文件描述符的映射,这意味着,当文件描述符关闭之后,这个map中的其他信息都会丢失。BPF的map是用于很短暂的隔离程序,他们不会share信息。随着时间的发展,开发人员需要保存Map中的信息,即使是相关的文件描述符已经关闭了。kenerl4.4引入了两个syscall,允许bpf程序从虚拟文件系统固定和获取map。固定到此文件系统的Maps和BPF程序将在创建它们的程序终止后仍然保留在内存中。 BPF默认的虚拟文件路径是在/sys/fs/bpf下,陪你可以使用下面的命令挂载虚拟文件
可以在函数中间打点了,以分析bpf_prog_load函数为例
weixin_30590285的博客
11-24 744
可以在函数中间打点了, sudo stap -L 'process("./test").statement("func@test.c:10")' //12.10更新 查看我内核中 bpf_prog_load 到底是位于哪一行,那么执行: sudo sta -L 'kernel.statement("bpf_prog_load")',可以得到: kernel.statem...
https://lwn.net/Articles/813350/
最新发布
06-12
对不起,由于链接指向的是Linux Weekly News(LWN)的文章,我无法直接查看或解析网页内容。不过,通常情况下,LWN这类技术网站会报道Linux相关的新闻和技术文章,可能涉及的主题包括内核更新、新工具发布、编程实践等。 如果你的问题是关于Linux系统某个特定方面的操作,如命令行技巧、系统管理或编程,我可以帮你回顾或解释Linux中的相关概念或功能。请提供具体的问题,我会尽力基于已有的知识库提供帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值