使用 eBPF/XDP 实现 Shell 命令监控方案

于 2025-05-15 00:01:29 发布
阅读量308 收藏 4
点赞数 6
分类专栏: 安全 监控 文章标签: 监控 eBPF Shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjj_web/article/details/147965807
版权

使用 eBPF/XDP 实现 Shell 命令监控方案

方案概述

通过 eBPF 技术监控系统上执行的所有 shell 命令,可以实现以下功能:

  • 实时捕获所有用户执行的命令
  • 记录命令执行上下文(用户、PID、时间等)
  • 检测可疑命令模式
  • 与安全系统集成实现实时阻断

实现方法

1. 使用 eBPF 的 tracepoint/syscall 挂钩

// cmd_monitor.c - eBPF 程序监控 execve 系统调用
#include <linux/bpf.h>
#include <linux/ptrace.h>
#include <linux/sched.h>
#include <linux/version.h>

// 定义用于存储命令数据的结构
struct command_event {
    char comm[16];      // 进程名
    char cmdline[256];  // 完整命令
    uid_t uid;          // 用户ID
    pid_t pid;          // 进程ID
};

// 定义eBPF map用于用户空间读取数据
struct {
    __uint(type, BPF_MAP_TYPE_PERF_EVENT_ARRAY);
    __uint(key_size, sizeof(int));
    __uint(value_size, sizeof(u32));
} events SEC(".maps");

SEC("tracepoint/syscalls/sys_enter_execve")
int trace_execve_entry(struct trace_event_raw_sys_enter* ctx) {
    struct command_event event = {};
    
    // 获取进程信息
    event.pid = bpf_get_current_pid_tgid() >> 32;
    event.uid = bpf_get_current_uid_gid();
    bpf_get_current_comm(&event.comm, sizeof(event.comm));
    
    // 从execve参数获取命令行
    char** cmdline = (char**)ctx->args[1];
    bpf_probe_read_user_str(event.cmdline, sizeof(event.cmdline), cmdline[0]);
    
    // 发送事件到用户空间
    bpf_perf_event_output(ctx, &events, BPF_F_CURRENT_CPU, &event, sizeof(event));
    
    return 0;
}

char _license[] SEC("license") = "GPL";

2. 用户空间收集程序 (Python)

#!/usr/bin/env python3
from bcc import BPF
import ctypes
import time

# 定义与eBPF程序中相同的结构
class CommandEvent(ctypes.Structure):
    _fields_ = [
        ("comm", ctypes.c_char * 16),
        ("cmdline", ctypes.c_char * 256),
        ("uid", ctypes.c_uint32),
        ("pid", ctypes.c_uint32),
    ]

# 加载eBPF程序
b = BPF(src_file="cmd_monitor.c")
b.attach_tracepoint(tp="syscalls:sys_enter_execve", fn_name="trace_execve_entry")

# 处理事件回调
def print_event(cpu, data, size):
    event = ctypes.cast(data, ctypes.POINTER(CommandEvent)).contents
    print(f"[{time.strftime('%Y-%m-%d %H:%M:%S')}] UID:{event.uid} PID:{event.pid} CMD:{event.cmdline.decode()}")

# 设置perf缓冲区
b["events"].open_perf_buffer(print_event)
print("Monitoring shell commands... Ctrl+C to exit")

# 主循环
while True:
    try:
        b.perf_buffer_poll()
    except KeyboardInterrupt:
        exit()

3. 高级监控功能扩展

3.1 命令阻断功能
// 在eBPF程序中添加安全检测逻辑
SEC("tracepoint/syscalls/sys_enter_execve")
int trace_execve_entry(struct trace_event_raw_sys_enter* ctx) {
    // ... 原有代码 ...
    
    // 危险命令检测
    if (is_dangerous_command(event.cmdline)) {
        // 返回错误码阻止命令执行
        return -EPERM;
    }
    
    // ... 原有代码 ...
}

// 危险命令检测函数
static __always_inline bool is_dangerous_command(const char* cmd) {
    // 这里可以添加更复杂的检测逻辑
    return bpf_strstr(cmd, "rm -rf") != 0 || 
           bpf_strstr(cmd, "chmod 777") != 0;
}
3.2 上下文信息增强
// 获取父进程信息
struct parent_info {
    char comm[16];
    pid_t ppid;
};

// 在原有事件结构中添加父进程信息
struct command_event {
    // ... 原有字段 ...
    struct parent_info parent;
};

// 在tracepoint处理函数中获取父进程信息
struct task_struct *task = (struct task_struct *)bpf_get_current_task();
struct parent_info parent = {};
parent.ppid = BPF_CORE_READ(task, real_parent, pid);
bpf_probe_read_kernel_str(&parent.comm, sizeof(parent.comm),
                         BPF_CORE_READ(task, real_parent, comm));

部署方案

1. 系统要求

  • Linux 内核 4.9+
  • 启用 eBPF 相关内核配置
  • 需要 CAP_BPF 能力或 root 权限

2. 生产环境增强

2.1 与日志系统集成
# 修改print_event函数将日志发送到ELK/Splunk等系统
def print_event(cpu, data, size):
    event = ctypes.cast(data, ctypes.POINTER(CommandEvent)).contents
    log_entry = {
        "timestamp": datetime.now().isoformat(),
        "user": event.uid,
        "pid": event.pid,
        "command": event.cmdline.decode(),
        "process": event.comm.decode(),
        "parent_pid": event.parent.ppid,
        "parent_process": event.parent.comm.decode()
    }
    send_to_log_system(log_entry)  # 实现你的日志发送逻辑
2.2 性能优化
// 使用eBPF map缓存常用检测结果
struct {
    __uint(type, BPF_MAP_TYPE_LRU_HASH);
    __uint(max_entries, 1024);
    __type(key, u32);    // UID
    __type(value, u64);  // 上次执行时间
} user_last_exec SEC(".maps");

// 在检测函数中添加速率限制
if (bpf_map_lookup_elem(&user_last_exec, &event.uid)) {
    u64 last_time = *lookup;
    if (bpf_ktime_get_ns() - last_time < 100000000) { // 1秒内
        return -EACCES; // 限制命令执行频率
    }
}

安全注意事项

  1. 权限控制:

    • 监控程序本身需要高权限,需妥善保护
    • 日志存储需要加密和访问控制

  2. 隐私考虑:

    • 遵守当地法律法规
    • 对敏感命令进行脱敏处理

  3. 防篡改:

    • 对eBPF程序进行签名验证
    • 监控程序完整性

替代方案比较

方法优点缺点
eBPF高性能、内核级可见性需要较新内核
Auditd系统原生支持性能开销大
Ptrace灵活性强高开销、易被检测

总结

这个eBPF/XDP实现的shell命令监控方案具有以下特点:

  1. 高性能:在内核层面处理,几乎不影响系统性能
  2. 全面性:可以捕获所有用户的shell命令执行
  3. 可扩展:易于添加更复杂的安全检测逻辑
  4. 实时性:能够实现实时阻断危险命令

适合需要高级命令监控和安全审计的生产环境使用。

【Linux内核】eBPF实践入门篇
qq_43840665的博客
11-22 1430
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于––进行的,每个知识点的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
云原生安全攻防|使用eBPF逃逸容器技术分析与实践
Tencent_SRC的博客
11-03 3370
作者:pass、neargle @ 腾讯安全平台部前言容器安全是一个庞大且牵涉极广的话题,而容器的安全隔离往往是一套纵深防御的体系,牵扯到AppArmor、Namespace、Capabi...
eBPF开发入门】案例(一)之监控网络流量
qq_40695381的博客
11-09 1011
确保你的系统上安装了必要的eBPF工具,包括bcc库。此外,需要对网络配置有基本了解,并具有适当的权限来捕获网络数据包。
深入理解 Linux eBPF:一个完整阅读清单(转载)
热门推荐
宋宝华
07-12 2万+
linux eBPF是3.17内核开始引入的一个全新设计,代码目录主要在kernel/bpf 下,它的全称是 extended BPF(eBPF), 目前关于eBPF的资料还比较乱,很难得看到一篇对ebpf总结的那么全的文章,转载自此:
eBPF-1-基础与技术储备
文杰的博客
05-24 2117
eBPF-Linux性能优化的超能力
初识 eBPF(功能、原理、及一些应用)
叮当猫的喵i
07-19 9285
一般来说可编程性的支持通常会带来一些新的问题,比如内核模块其实也是为了解决这个问题,但是他没有提供很好的边界,导致内核模块会影响内核本身的稳定性,在不同的内核版本需要做适配等。eBPF通过kprobe,tracepoints跟踪机制兼具内核和用户的跟踪能力,这种端到端的跟踪能力可以快速进行故障诊断,与此同时eBPF支持以更加高效的方式透出profiling的统计数据,而不需要像传统系统需要将大量的采样数据透出,使得持续地实时profiling成为可能。息,所以我们复用了这部分能力。.........
基于eBPF检测反弹shell 的思路
李老板的移动安全杂货铺
12-02 1105
本文使用C语言编写一个eBPF模块来检测反弹shell,该模块使用Linux内核提供的eBPF(extended Berkeley Packet Filter)功能来实现。下面是一个简单的示例,展示了如何编写一个eBPF程序来检测反弹shell。这只是一个简单的示例,实际上,检测和防止反弹shell可能需要更复杂的逻辑和规则。确保在进行实际的应用程序时进行更严格和全面的测试,并且只在可信的环境中使用此功能。完成后,eBPF程序就会在指定的网络接口上运行,并且会在检测到反弹shell的尝试时打印相应的消息。
使用libbpf-bootstrap构建第一个libbpf+BPF CO-RE程序
weixin_43144516的博客
07-16 5560
文章目录前言选择libbpf+BPF CO-RE的理由使用libbpf-bootstrap的理由Libbpf-bootstrap结构Minimal:最小应用程序分析运行minimal:代码分析:BPF side代码分析:User space sideMakefile分析动手构建属于自己的Hello World程序 前言 本文参考了相关博客:Building BPF applications with libbpf-bootstrap 选择libbpf+BPF CO-RE的理由 libbpf 是一个比BCC更
基于容器网络的安全容器方案Bastion
Ray的博客
09-04 1157
论文:BASTION: A Security Enforcement Network Stack for Container Networks 文章目录背景知识容器网络论文内容摘要引言背景和动机容器网络容器网络挑战假设和威胁模型容器网络接口插件的限制BASTION设计BASTION MANAGER容器信息收集BASTION网络栈管理Network Visibility ServiceDirect ARP HandlerInter-container Communication HandlerGatewa.
初识 BPF:从 Hello World 开始的内核编程之旅
m0_65038841的博客
06-24 635
BPF 在 Linux 内核中,被实现为一个非常精简的虚拟机,具有几乎性能无损的执行效率。我们可以用类似 C 语言的语法,编写代码,编译成可以在 BPF 虚拟机中运行的汇编代码,实现其强大的逻辑处理能力。
一文理解 K8s 容器网络虚拟化
数据库技术
12-01 2010
本文需要读者熟悉 Ethernet(以太网)的基本原理和 Linux 系统的基本网络命令,以及 TCP/IP 协议族并了解传统的网络模型和协议包的流转原理。文中涉及到 Linux 内核的具体实现时,均以内核 v4.19.215 版本为准。
毕业设计基于单片机的智能循迹小车分析.doc
05-15
毕业设计基于单片机的智能循迹小车分析.doc
云技术基础与虚拟化应用实战解析培训课件.pptx
最新发布
05-15
云技术基础与虚拟化应用实战解析培训课件.pptx
计算机考试选择题.docx
05-15
计算机考试选择题.docx
【目标检测】半导体晶圆缺陷数据集waferMap数据集13000张9类.docx
05-15
【目标检测】半导体晶圆缺陷数据集waferMap数据集13000张9类.docx
电子商务实验三网站分析与设计蔬菜批发网.doc
05-15
电子商务实验三网站分析与设计蔬菜批发网.doc
计算机网络课程考试复习.doc
05-15
计算机网络课程考试复习.doc
系统集成项目管理工程师试题库.docx
05-15
系统集成项目管理工程师试题库.docx
计算机二级考试复习软件工程基础.doc
05-15
计算机二级考试复习软件工程基础.doc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值