从 seccomp filter 学习内核 bpf 自定义 hook 点的设计实现

已于 2023-05-11 19:39:34 修改
阅读量1.2k 收藏 3
点赞数 1
分类专栏: LINUNX KERNEL 文章标签: bpf seccomp ebpf 过滤系统调用
于 2023-05-11 19:03:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Longyu_wlz/article/details/126073847
版权
本文探讨了内核中BPF自定义hook点的设计,以seccompfilter为例,解释了如何注册bpfhook点,动态attachBPF代码,以及代码的校验、翻译、JIT编译的过程。同时,详细阐述了bpf过滤数据的准备和过滤结果的行为定义。
摘要由CSDN通过智能技术生成

从 seccomp filter 学习内核 bpf 自定义 hook 点的设计

目录


本文以 seccomp filter 为例,探讨内核中 bpf 自定义 hook 点的一种设计实现,主要围绕如下几个核心问题叙述:

  1. bpf hook 点如何注入到 seccomp filter 代码中?需要哪些参数?不同参数的含义是什么?
  2. bpf 代码如何动态 attach 到执行入口中?
  3. bpf 代码的校验与翻译在哪里做?校验有哪些条件?jit 在哪个步骤进行?
  4. bpf 代码过滤的数据如何准备?
  5. 定义 bpf 规则过滤结果的行为

基线信息

内核源码版本
4.18

bpf hook 点如何注册到已有代码中?

可以通过使用 BPF_PROG_RUN宏在已有代码中添加 bpf hook 点。BPF_PROG_RUN
宏的定义如下:

#define BPF_PROG_RUN(filter, ctx)  (*(filter)->bpf_func)(ctx, (filter)->insnsi)

filter 参数代表了一个 bpf_prog结构,此结构的 bpf_func 为 bpf 代码的执行入口。bpf_func 依赖如下两个参数:

  1. ctx 参数(表示 bpf 规则执行的上下文信息)
  2. insn 参数(代表实际的 bpf 指令码)

在 net 模块中搜索,能够搜索到如下类似使用逻辑:

./net/bpf/test_run.c:20:	ret = BPF_PROG_RUN(prog, ctx);
./net/sched/act_bpf.c:53:		filter_res = BPF_PROG_RUN(filter, skb);
./net/sched/act_bpf.c:57:		filter_res = BPF_PROG_RUN(filter, skb);
./net/sched/cls_bpf.c:103:			filter_res = BPF_PROG_RUN(prog->filter, skb);
./net/sched/cls_bpf.c:107:			filter_res = BPF_PROG_RUN(prog->filter, skb);

seccomp filter 的实现中,引用 BPF_PROG_RUN 宏注入 bpf 过滤点相关代码如下:

static u32 seccomp_run_filters(const struct seccomp_data *sd,
			       struct seccomp_filter **match)
{
	u32 ret = SECCOMP_RET_ALLOW;
	/* Make sure cross-thread synced filter points somewhere sane. */
	struct seccomp_filter *f =
			READ_ONCE(current->seccomp.filter);

	/* Ensure unexpected behavior doesn't result in failing open. */
	if (WARN_ON(f == NULL))
		return SECCOMP_RET_KILL_PROCESS;

	/*
	 * All filters in the list are evaluated and the lowest BPF return
	 * value always takes priority (ignoring the DATA).
	 */
	for (; f; f = f->prev) {
		u32 cur_ret = BPF_PROG_RUN(f->prog, sd);

		if (ACTION_ONLY(cur_ret) < ACTION_ONLY(ret)) {
			ret = cur_ret;
			*match = f;
		}
	}
	return ret;
}

上述代码调用 BPF_PROG_RUN 的逻辑在一个 for 循环里,表明一个进程支持绑定多个 seccomp 过滤规则,最终返回的值最小的结果它表示最高优先级。

bpf 代码如何动态 attach 到执行入口中?

在跳入到内核代码之前,先复习下之前上手 seccomp 使用的一个用户态程序,原文链接如下:
上手 seccomp,其中注入 bpf 的代码如下:

tatic int install_filter(int nr, int arch, int error) {
  struct sock_filter filter[] = {
    BPF_STMT(BPF_LD + BPF_W + BPF_ABS, (offsetof(struct seccomp_data, arch))),
    ..........................................................................
  };
  struct sock_fprog prog = {
    .len = (unsigned short)(sizeof(filter) / sizeof(filter[0])),
    .filter = filter,
  };
  if (prctl(PR_SET_SECCOMP, SECCOMP_MODE_FILTER, &prog)) {
    perror("prctl(PR_SET_SECCOMP)");
    return 1;
  }
  return 0;
}

上述代码首先构建了一个 sock_filter 结构,然后绑定到一个 sock_fprog 结构上,以此结构地址作为 prctl 系统调用的最后一个参数将规则注入到当前程序上。
prctl 系统调用最终调用到 seccomp_attach_filter函数将加载后的规则 attach 到进程上,核心代码如下:

	filter->prev = current->seccomp.filter;
	current->seccomp.filter = filter;

bpf 代码的校验与翻译在哪里做?校验有哪些条件?jit 在哪个步骤进行?

在 prctl attach bpf 规则到进程的过程中,seccomp_prepare_user_filter 负责从用户空间拷贝数据,然后调用 seccomp_prepare_filter 构建必要的数据结构,调用 bpf 模块的代码加载一个 bpf_prog。

bpf_prog_create_from_user bpf 函数完成 bpf 代码的校验翻译,校验可从业务逻辑上分为如下两部分:

  1. bpf 模块自身的校验
  2. 引用 bpf 代码模块的校验

seccomp 的实现中,第二部分由 seccomp_check_filter函数负责,阅读此函数代码发现它不只有校验的功能,还有一些修正的逻辑以保证 bpf 规则正常工作,这部分逻辑修改了 bpf 规则,需要在翻译之前执行。

jit 在每架构实现函数 bpf_int_jit_compile 中进行,翻译成功后生成的代码入口会被设置到 prog 结构的 bpf_func 变量中,jited 变量也被设置为 1 表示 jit 成功,相关代码如下:

   	prog->bpf_func = (void *)image;
		prog->jited = 1;

需要注意的是在 x86 架构上,bpf_jit_compile 函数是一个空函数,实际的翻译过程是在 bpf_migrate_filter 函数中完成的。

上述描述过程部分调用函数栈如下:

bpf_prepare_filter
	bpf_check_classic
	  bpf_migrate_filter(fp);
		bpf_prog_select_runtime
			bpf_prog_select_func(fp);
			    bpf_int_jit_compile(fp)-- 不同架构实现不同

bpf 代码过滤的数据如何准备?有哪些限定?为什么要添加这些限定?

seccomp 规则的过滤数据定义如下:

struct seccomp_data {
	int nr;
	__u32 arch;
	__u64 instruction_pointer;
	__u64 args[6];
};

上述参数均与特定的架构绑定,x86、x64 架构中在 syscall_trace_enter 函数的如下代码位置进行填充:

	if (work & _TIF_SECCOMP) {
		struct seccomp_data sd;

		sd.arch = arch;
		sd.nr = regs->orig_ax;
		sd.instruction_pointer = regs->ip;
#ifdef CONFIG_X86_64
		if (arch == AUDIT_ARCH_X86_64) {
			sd.args[0] = regs->di;
			sd.args[1] = regs->si;
			sd.args[2] = regs->dx;
			sd.args[3] = regs->r10;
			sd.args[4] = regs->r8;
			sd.args[5] = regs->r9;
		} else
#endif
		{
			sd.args[0] = regs->bx;
			sd.args[1] = regs->cx;
			sd.args[2] = regs->dx;
			sd.args[3] = regs->si;
			sd.args[4] = regs->di;
			sd.args[5] = regs->bp;
		}

		ret = __secure_computing(&sd);
		if (ret == -1)
			return ret;
	}

此后将生成的过滤数据作为参数传递给 __secure_computing 来完成 bpf 过滤系统调用并执行最高优先级上绑定的行为函数。

static void populate_seccomp_data(struct seccomp_data *sd)
{
	struct task_struct *task = current;
	struct pt_regs *regs = task_pt_regs(task);
	unsigned long args[6];

	sd->nr = syscall_get_nr(task, regs);
	sd->arch = syscall_get_arch();
	syscall_get_arguments(task, regs, 0, 6, args);
	sd->args[0] = args[0];
	sd->args[1] = args[1];
	sd->args[2] = args[2];
	sd->args[3] = args[3];
	sd->args[4] = args[4];
	sd->args[5] = args[5];
	sd->instruction_pointer = KSTK_EIP(task);
}

定义 bpf 规则过滤结果的行为

bpf 代码过滤有它的结果,最简单的过滤结果就是成功、失败,实际使用中它可以支持多种不同的结果,上层逻辑可以根据不同的结果执行不同的行为。
seccomp 的过滤结果有如下几种类型定义:

#define SECCOMP_RET_KILL_PROCESS 0x80000000U /* kill the process */
#define SECCOMP_RET_KILL_THREAD	 0x00000000U /* kill the thread */
#define SECCOMP_RET_KILL	 SECCOMP_RET_KILL_THREAD
#define SECCOMP_RET_TRAP	 0x00030000U /* disallow and force a SIGSYS */
#define SECCOMP_RET_ERRNO	 0x00050000U /* returns an errno */
#define SECCOMP_RET_USER_NOTIF	 0x7fc00000U /* notifies userspace */
#define SECCOMP_RET_TRACE	 0x7ff00000U /* pass to a tracer or disallow */
#define SECCOMP_RET_LOG		 0x7ffc0000U /* allow after logging */
#define SECCOMP_RET_ALLOW	 0x7fff0000U /* allow */

当多个类型命中时,执行优先级最高的(数字最小的)类型,可以执行如下命令查看当前系统支持的 seccomp 过滤行为:

cat /proc/sys/kernel/seccomp/actions_avail

总结

本文从概览的角度整理了几个内核实现自定义 bpf hook 点的核心问题,以 seccomp 实现为例进行了描述。从实现层面看还是有一定的复杂度,在后面的文章中可以探讨下 bpf hook 点如何与内核已有的探针机制——tracepoint 结合起来,实现更为灵活的功能。

longyu_wlz
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
seccomp + ptrace hook系统调用demo
u013347872的博客
05-21 384
目前绝大部分app都会频繁的使用syscall去获取设备指纹和做一些反调试,使用常规方式过反调试已经非常困难了,使用内存搜索svc指令已经不能满足需求了,开始学习了一下通过ptrace/ptrace配合seccomp来解决svc反调试难定位难绕过等问题。
基于seccomp的Android通用svc hook方案
Android技术之家
06-12 622
写在前面 众所周知,目前各大APP的安全模块几乎都会使用自实现的libc函数,如open,read等函数,通过自实现svc方式来实现系统调用。因此我们如果想要hook系统调用,只能通过扫描厂商自实现的代码段,定位svc指令所在地址,再通过inline hook方式来进行hook操作,但是这种方式需要涉及内存修改,很容易被检测到内存篡改行为。作者:风铃Cipher链接:https://juejin....
LWN:利用BPF控制CPU调度器!
Linux News搬运工
11-09 378
关注了就能看到更多这么棒的文章哦~Controlling the CPU scheduler with BPFBy Jonathan CorbetOctober 21, 2021DeepL...
BPF(Berkeley Packet Filter)内核应用性能调优之 高效的驱动级网络数据包处理
hellonzx的博客
10-17 1128
BPF(Berkeley Packet Filter)内核应用性能调优之 高效的驱动级网络数据包处理     在高效数据包处理转发和SDN功能实现的过程中,BPF机制可以简单粗暴优雅的解决如下痛: 1. 数据包转发效率的性能调优,比如交换器路由器海量数据包的转发处理中的性能优化;音视频流媒体处理过程中大容量一致性数据包的实时直播性优化,降低音视频数据在数据中心服务器的直播delay 2.
Sandbox的安全机制 —— 使用 seccomp,有网络安全基础学网络安全
最新发布
2401_84424625的博客
04-17 644
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。 既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂
eBPF系列学习(1)-什么是内核BPFeBPF
西京刀客
08-23 5070
eBPF 是一种可以在操作系统内核中运行沙盒程序的技术。eBPF 使我们能够安全地扩展内核的功能,而不需要改变内核的源代码或加载内核模块。
go-seccomp-bpf:Go库,用于安装seccomp BPF系统调用过滤
05-09
go-seccomp-bpf go-seccomp-bpf是Go(golang)的库,用于通过使用安全计算模式(也称为seccomp)在Linux 3.17及更高版本上加载系统调用筛选器。 Seccomp限制进程可以调用系统调用内核公开了大多数进程不使用的...
Berkeley Packet Filter (BPF) syntax
04-25
libpcap支持一种功能非常强大的过滤语言——...使用BPF过滤规则,你可以确定该获取和检查哪些流量,忽略哪些流量。BPF让你能够通过比较第2、3、4层协议中各个数据字段值的方法对流量进行过滤。本文档为BPF的语法介绍。
easyseccomp:DSL语言编写seccomp过滤
02-12
一种领域特定的语言,用于以更简单的方式为容器定义seccomp配置文件,并具有对生成的BPF的更多控制,这是libseccomp可能的。 这篇博客文章更详细地解释了为何启动该项目: : seccomp配置文件可以定义为: // ...
DSP研究性学习报告数字滤波器设计-综合文档
05-21
在本篇“DSP研究性学习报告”中,我们将深入探讨数字滤波器设计这一关键的信号处理技术。数字滤波器是数字信号处理中的核心组件,尤其在通信、音频处理、图像处理等领域有着广泛的应用。它能根据设定的频率响应特性...
seccomp-tools:提供用于seccomp分析的强大工具
04-06
转储-自动从执行文件中转储seccomp-bpf。 Disasm-将bpf转换为人类可读的格式。 简单的反编译。 尽可能显示系统调用名称和参数。 丰富多彩的! Asm-编写seccomp规则是如此简单! mu-模拟seccomp规则。 支持多...
Seccomp BPF 详细解析
x646602196的博客
04-13 1498
Secommp (SECure COMPuting) 是 Linux 内核 2.6.12 版本引入的安全模块,主要是用来限制某一进程可用的系统调用 (system call)。它最初被用于 cpushare 这个项目,让人们可以出租自己空闲的 cpu cycle 来执行 untrusted code。这个 feature 本身并不是一个沙盒 (sandbox),它只是一种减少 Linux 内核暴露的机制,是构建一个安全的沙盒的重要组成部分。
Generic XDP Hook
already_skb的专栏
02-23 596
上一篇文章讲过bpf_prog_run_xdp是XDP 程序的最终调用函数,想要跟踪Generic XDP的代码可以从该函数入手。很显然你不应该从driver/,而是已改在net/目录下检索。 jensonqiu@Bing$ grep -rn "bpf_prog_run_xdp" net net/core/dev.c:4349: act = bpf_prog_run_xdp(xdp_prog, xdp); 稍微过滤一下真相就呼之欲出了,函数的调用关系如下: bpf_prog_run_xdp net
libbpf-bootstrap开发指南:网络包监测-tc
阿呆的隐秘角落
07-16 956
做全网最好的libbpf-bootstrap 开发指南
从 manual 中学习 seccomp 技术
龙瑜的博客
08-20 873
在限制程序能够使用的系统调用这篇文章中我描述了使用 seccomp 来限制程序系统调用的技术,虽然能够上手却并不了解它提供的真正功能与实际的应用场景,在本篇文章中探讨下。
ebpf原理分析
热门推荐
hjkfcz的博客
03-17 1万+
ebpf原理解析
基于应力的拓扑优化的高效3D灵敏度分析代码(Matlab代码实现
weixin_61181717的博客
03-14 256
本文包括基于伴随方法的有限元分析和 p 范数应力敏感性,并通过有限差分近似进行验证。优化器作为非线性优化器。针对不同的应力相关 3D 拓扑优化问题进行扩展,并用于教育目的。博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。部分理论来源于网络,如有侵权请联系删除。行百里者,半于九十。
BPF程序
process的博客
12-27 691
bpf程序能够在一些内核事件触发时运行。bpf程序需要被bpf虚机机进行加载,加载的时候需要知道具体的程序类型。 1. hello word! 一般常见使用C语言子集编写BPF程序,使用LLVM编译器进行编译。LLVM能够编译出加载到内核中执行的汇编代码。bpf程序编译后,内核通过bpf系统调用将程序字节码加载到bpf虚拟机中。 #include <linux/bpf.h> #define SEC(NAME) __attribute__((section(NAME), used)) s
xdp 程序如何挂载
already_skb的专栏
02-22 945
xdp 功能程序挂载分析。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值