bpflock：基于eBPF的安全加固与审计工具

bpflock：基于eBPF的安全加固与审计工具

bpflock bpflock - eBPF driven security for locking and auditing Linux machines 项目地址: https://gitcode.com/gh_mirrors/bp/bpflock

项目介绍

bpflock 是一个利用增强的Berkeley Packet Filter（eBPF）技术来加强Linux系统安全的开源项目。它旨在通过限制对各种Linux功能的访问来减小攻击面并防御已知的攻击技巧。bpflock特别设计用于容器管理器、systemd及在主机命名空间中运行的其他容器/程序，对这些程序允许全面的Linux特性访问，而那些在独立命名空间中运行的容器和应用程序则受到限制。当bpflock的eBPF程序运行于受限模式时，即便是特权程序和容器也会被拒绝访问特定资源。此项目处于实验阶段，意味着其配置选项和安全语义可能会发生变化，并且计划逐步过渡到使用Cilium eBPF库。

bpflock不试图成为一个强制访问控制解决方案，如AppArmor或SELinux的替代品，而是采用简单的声明式安全配置文件，提供多个小型可复用的eBPF程序，适用于从云原生部署到Linux物联网设备的各种场景。它能够防止根用户访问某些Linux特性，但不对“恶意”的根用户行为提供防护。

项目快速启动

要快速启动bpflock，确保您的系统满足以下要求：

• 内核版本：>=5.13，带有必要的eBPF配置项启用。
• BPF LSM支持：确保CONFIG_BPF_LSM=y并在必要时调整内核参数。

接下来，通过Docker快速体验：

docker run --name bpflock -it --rm --cgroupns=host \
           --pid=host --privileged \
           -v /sys/kernel/:/sys/kernel/ \
           -v /sys/fs/bpf:/sys/fs/bpf linuxlock/bpflock

这将使用默认的“allow”或“privileged”配置（最低安全级别）。对于更严格的保护，可以设置环境变量来切换到不同安全级别或启用特定功能，例如限制无文件二进制执行：

docker run --name bpflock -it --rm --cgroupns=host --pid=host --privileged \
           -e "BPFLOCK_FILELESSLOCK_PROFILE=restricted" \
           -v /sys/kernel/:/sys/kernel/ \
           -v /sys/fs/bpf:/sys/fs/bpf linuxlock/bpflock

请注意，在严格模式下运行可能会导致一些服务或功能无法正常使用。

应用案例和最佳实践

文件无损执行保护

应用bpflock进行无文件执行的监控和限制，有助于防御潜在的隐蔽攻击。通过设置BPFLOCK_FILELESSLOCK_PROFILE为restricted，您可以阻止未经授权的内存中程序执行，提升系统的安全性。

内核模块保护

对于防止未授权的内核模块加载，可以通过环境变量指定BPFLOCK_KMODLOCK_PROFILE。以restricted模式运行，可以有效阻止除白名单之外的任何模块加载，减少由恶意模块引入的风险。

典型生态项目结合

尽管bpflock本身是专为Linux机器安全设计的，但它在云原生环境中与其他项目如Cilium的结合使用非常值得探索。Cilium专注于为Kubernetes提供网络策略和安全，而bpflock可以补充强化宿主机级的安全性，两者共同构建了一个从内核到应用层的全方位防护体系。

在具体实施时，开发者和管理员可以根据需求，将bpflock集成到现有的DevOps流程或自动化运维方案中，利用它的灵活性与强大的eBPF底层能力，实现细粒度的安全策略配置，从而提高整体系统的安全性和稳定性。

bpflock bpflock - eBPF driven security for locking and auditing Linux machines 项目地址: https://gitcode.com/gh_mirrors/bp/bpflock