bpflock:基于eBPF实现的Linux设备安全审计工具

最新推荐文章于 2024-05-13 09:30:48 发布
最新推荐文章于 2024-05-13 09:30:48 发布
阅读量350 收藏
点赞数
文章标签: web安全 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2201/article/details/128789290
版权

关于bpflock

bpflock是一款基于
eBPF驱动的Linux设备安全审计工具,该工具使用了eBPF来帮助广大研究人员增强Linux设备的安全性。通过限制对各种Linux功能的访问,bpflock能够减少攻击面并阻止一些众所周知的攻击技术。

bpflock只允许类似容器管理器、systemd和其他以[ 主机PID或网络命名空间](https://man7.org/linux/man-
pages/man7/namespaces.7.html)运行的容器/程序访问完整的Linux功能,并限制那些以自己命名空间运行的容器或程序。如果bpflock在受限配置文件下运行,则所有程序/容器(包括特权程序/容器)都将被拒绝访问。

除此之外,bpflock还可以通过各种安全功能来保护Linux设备安全,比如说
Linux安全模块+BPF等等。

功能介绍

1、内存保护:内核镜像锁定、内核模块保护、BPF保护;

2、进程保护:无文件内存执行、命名空间保护;

3、硬件攻击测试:USB保护;

4、系统和应用程序跟踪:跟踪应用程序执行、跟踪特权系统操作;

5、文件系统保护:只读Root文件系统保护、sysfs保护;

6、网络保护;

工具开发

依赖组件

bpflock需要使用下列组件:

1、Linux内核版本 >= 5.13,相关配置如下:

CONFIG_BPF_SYSCALL=y

CONFIG_DEBUG_INFO=y

CONFIG_DEBUG_INFO_BTF=y

CONFIG_KPROBES=y

CONFIG_LSM="...,bpf"

CONFIG_BPF_LSM=y

2、一个启用了BTF的内核

启用BPF LSM支持

1、使用高级权限打开/etc/default/grub文件;

2、将下列内容添加到GRUB_CMDLINE_LINUX变量并保存:

"lsm=lockdown,capability,yama,apparmor,bpf"


GRUB_CMDLINE_LINUX="lsm=lockdown,capability,yama,apparmor,bpf"

3、更新grub配置:

sudo update-grub2

4、重启设备

Docker使用

下列命令可以使用默认的配置文件运行工具:

docker run --name bpflock -it --rm --cgroupns=host \

  --pid=host --privileged \

  -v /sys/kernel/:/sys/kernel/ \

  -v /sys/fs/bpf:/sys/fs/bpf linuxlock/bpflock

无文件代码执行

docker run --name bpflock -it --rm --cgroupns=host --pid=host --privileged \

  -e "BPFLOCK_FILELESSLOCK_PROFILE=restricted" \

  -v /sys/kernel/:/sys/kernel/ \

  -v /sys/fs/bpf:/sys/fs/bpf linuxlock/bpflock

内核模块执行

docker run --name bpflock -it --rm --cgroupns=host --pid=host --privileged \

  -e "BPFLOCK_KMODLOCK_PROFILE=restricted" \

  -v /sys/kernel/:/sys/kernel/ \

  -v /sys/fs/bpf:/sys/fs/bpf linuxlock/bpflock

使用样例:

$ sudo unshare -p -n -f

# modprobe xfs

modprobe: ERROR: could not insert 'xfs': Operation not permitted

输出结果:

time="2022-02-07T06:50:25+01:00" level=info msg="event=syscall_execve tgid=52323 pid=52323 ppid=52288 uid=0 cgroupid=7014 comm=modprobe pcomm=bash filename=/usr/sbin/modprobe retval=0" bpfprog=execsnoop subsys=bpf

 

time="2022-02-07T06:50:25+01:00" level=info msg="event=lsm_kernel_read_file operation=loading module tgid=52323 pid=52323 ppid=52288 uid=0 cgroupid=7014 comm=modprobe pcomm=bash filename=xfs.ko retval=-1 reason=denied (restricted)" bpfprog=kmodlock subsys=bpf

内核镜像锁定

docker run --name bpflock -it --rm --cgroupns=host --pid=host --privileged \

  -e "BPFLOCK_KIMGLOCK_PROFILE=baseline" \

  -v /sys/kernel/:/sys/kernel/ \

  -v /sys/fs/bpf:/sys/fs/bpf linuxlock/bpflock

使用样例:

$ sudo unshare -f -p -n bash

# head -c 1 /dev/mem

head: cannot open '/dev/mem' for reading: Operation not permitted

输出结果:

time="2022-02-07T06:57:22+01:00" level=info msg="event=syscall_execve tgid=52428 pid=52428 ppid=52288 uid=0 cgroupid=7014 comm=head pcomm=bash filename=/usr/bin/head retval=0" bpfprog=execsnoop subsys=bpf

 

time="2022-02-07T06:57:22+01:00" level=info msg="event=lsm_locked_down operation=/dev/mem,kmem,port tgid=52428 pid=52428 ppid=52288 uid=0 cgroupid=7014 comm=head pcomm=bash retval=-1 reason=denied (baseline)" bpfprog=kimglock subsys=bpf

BPF保护

docker run --name bpflock -it --rm --cgroupns=host --pid=host --privileged \

  -e "BPFLOCK_BPFRESTRICT_PROFILE=baseline" \

  -v /sys/kernel/:/sys/kernel/ \

  -v /sys/fs/bpf:/sys/fs/bpf linuxlock/bpflock

使用样例:

$ sudo unshare -f -p -n bash

# bpftool prog

Error: can't get next program: Operation not permitted

输出结果:

time="2022-02-04T15:40:56Z" level=info msg="event=lsm_bpf tgid=2378 pid=2378 ppid=2364 uid=0 cgroupid=9458 comm=bpftool pcomm=bash filename= retval=-1 reason=baseline" bpfprog=bpfrestrict subsys=bpf

 

time="2022-02-04T15:40:56Z" level=info msg="event=lsm_bpf tgid=2378 pid=2378 ppid=2364 uid=0 cgroupid=9458 comm=bpftool pcomm=bash filename= retval=-1 reason=baseline" bpfprog=bpfrestrict subsys=bpf

工具配置&环境配置

假设你项目的bpflock目录中已经包含了 bpflock.yaml和bpf.d这两个配置文件了,接下来运行下列命令:

ls bpflock/

  bpf.d  bpflock.d  bpflock.yaml

docker run --name bpflock -it --rm --cgroupns=host --pid=host --privileged \

  -v $(pwd)/bpflock/:/etc/bpflock \

  -v /sys/kernel/:/sys/kernel/ \

  -v /sys/fs/bpf:/sys/fs/bpf linuxlock/bpflock

我们也可以使用“–env-file”命令来传递环境变量:

docker run --name bpflock -it --rm --cgroupns=host --pid=host --privileged \

  --env-file bpflock.env.list \

  -v /sys/kernel/:/sys/kernel/ \

  -v /sys/fs/bpf:/sys/fs/bpf linuxlock/bpflock

最后

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【扫下方二维码】免费领取:

AIGC小王
关注
LEAF:一款功能强大的Linux安全取证框架
顶峰
02-07 565
LEAF
Linux中基于eBPF的恶意利用与检测机制
Jay
04-18 1019
容器的高频率部署、短暂的生命周期、复杂的网络路由,都给内核安全带来了新的挑战。此时,eBPF出现,它以较小的子系统改动,保障了系统内核的稳定,还具备实时动态加载的特性,能将业务逻辑加载到内核,实现热更新的动态执行。ip命令的参数中包含bpf字节码文件名,ip进程打开.o字节码的FD,通过NETLINK发IFLA_XDP类型消息(子类型IFLA_XDP_FD)给内核,内核调用dev_change_xdp_fd函数,由网卡接管FD,引用计数器递增,用户空间的ip进程退出后,BPF程序依旧工作。
Audit守护进程配置和审计Linux系统
Jesse技术博客
05-18 3185
Debian安装Audit Debian/Ubuntu使用命令:apt-get install auditd audispd-plugins 查看运行: root@debian:~# service auditd status ● auditd.service - Security Auditing Service Loaded: loaded (/lib/systemd/system/...
BPF bpf_spin_lock 使用排错指南
superbfly的专栏
12-06 1068
使用BPF时,多核之间难免会有竞争,为了应对这种情况,BPF引入了BPF自旋锁()的概念,它允许对map元素进行操作时锁定对map元素的访问。自旋锁仅可存储于array、hash和cgroup类型的map中。 这里复制下书上的事例。这个访问控制,精度比较细。对每一个元素使用了自旋锁。另外,这样verifier就知道如何解释这个结构。类型格式通过向二进制对象添加调试信息,使内核和其他工具BPF数据结构有了更丰富的理解。 宏很重要,作用是为特定maps添加类型解释,就是使用它为的。如果不执行这个宏,就会报的错
探秘高效安全eBPF开发利器——RedBPF
最新发布
gitblog_00059的博客
05-13 419
探秘高效安全eBPF开发利器——RedBPF redbpfRust library for building and running BPF/eBPF modules项目地址:https://gitcode.com/gh_mirrors/re/redbpf系统监控和性能优化领域,eBPF(Extended Berkeley Packet Filter)正逐渐成为不可或缺的工具。RedBPF...
win 2016 ssh_使用BPF增强SSH会话的安全审计
weixin_39622905的博客
10-22 109
Teleport是一款Golang语言开发的用来替代sshd的ssh服务器,支持通过 SSH 或者 HTTPS 远程访问,支持集群、Web登陆、SSH历史记录还重放用以操作分享和安全审计,基于Golang ssh包构建开发,实现完全兼容OpenSSH。最近Teleport 4.2版本中新增加ssh增强的回话记录功能用来接收非结构化的ssh会话,并将其通过结构化事件流来输出。该功能使用到了Linux...
linux进程退出开启日志审计及nessus扫描日志审计
08-27
linux进程退出、启动syslog日志进行审计、对nessus扫描操作系统产生的日志进行审计
Docker(五)---Cgroup 资源配置方法
白雪滑落树梢
12-04 1638
文章目录一、简介二、CPU1. CPU使用率控制1.1 使用 dockerfile 来创建一个基于centos的stress工具镜像1.2 创建容器,并给其分配权重2.CPU周期限制2.1 宿主机怎么提供资源、控制容器中的应用?2.2 周期限制3.CPU core 控制 一、简介 docker使用cgroup控制资源,K8S 里面也有limit(使用上限) Docker通过cgroup来控制容器使用的资源配额,包括cpu、内存、磁盘三大方面,基本覆盖了常见的资源配额和使用量控制。 Cgroup
一文全面了解 LSM BPF (含实战,强烈建议收藏)
dwh0403的专栏
01-05 1504
本文简单介绍了 LSM 框架的基础知识,并基于 LSM BPF 给出了 BCC 和 libbpf 库的实现样例,希望能够让你快速入门 LSM BPF 的编程。如果你对 LSM BPF 的应用场景希望有更多的了解,推荐你进一步阅读[使用 eBPF LSM 热修复 Linux 内核漏洞](https://blog.cloudflare.com/zh-cn/live-patch-security-vulnerabilities-with-ebpf-lsm-zh-cn/ ),在该文中作者基于容器环境中 USER 命
(gopher)一无所知学ebpf
onepunchgo的博客
02-05 1687
我相信仍然有很多人不知道ebpf为何物,也不知道从何学起。但他似乎正在成为云原生开发性能优化的技术手段的事实标准
docker 命令
jianfeng123123的博客
12-03 1107
docker 命令官方文档Reference documentation | Docker Documentationdocker events : 从服务器获取实时事件docker logs : 获取容器的日志docker history : 查看指定镜像的创建历史。docker run --rm -dit --cpu-period=50000 --cpu-quota=25000 ubuntu /bin/bashdocker run --rm -dit --cpu-rt-period=50000 --cp
Linux bpf 1.1、BPF内核实现
热门推荐
pwl999的博客
09-28 1万+
BPF的字面上意思Berkeley Packet Filter意味着它是从包过滤而来。如果在开始前对BPF缺乏感性的认识建议先看一下参考文档:“3.1、Berkeley Packet Filter (BPF) (Kernel Document)”、“3.2、BPF and XDP Reference Guide”。 本质上它是一种内核代码注入的技术: 内核中实现了一个cBPF/eBPF虚拟机; ...
eBPF 介绍
SHELLCODE_8BIT的博客
12-31 2446
eBPF 介绍 Tcpdump 是Linux 平台常用的网络数据包抓取及分析工具,tcpdump 主要通过libpcap 实现,而libpcap 就是基于eBPF。 先介绍BPF(Berkeley Packet Filter),BPF 是基于寄存器虚拟机实现的,支持 JIT(Just-In-Time),比基于栈实现性能高很多。它能载入用户态代码并且在内核环境下运行,内核提供 BPF 相关的接口,用户可以将代码编译成字节码,通过 BPF 接口加载到 BPF 虚拟机中,当然用户代码跑在内核环境中是有风险的
eBPF系列学习(1)-什么是内核BPFeBPF
西京刀客
08-23 5160
eBPF 是一种可以在操作系统内核中运行沙盒程序的技术。eBPF 使我们能够安全地扩展内核的功能,而不需要改变内核的源代码或加载内核模块。
linux bpf centos,高性能BPF performance Tools 学习笔记-2工具的安装
weixin_29168813的博客
05-16 826
注意:BPF依赖高版本的Linux内核。建议OS内核版本>=4.1 (建议使用4.9或者更高版本的内核)还需要启用某些内核配置选项。现在,在许多发行版中默认启用了这些选项,因此您通常不需要更改它们。它们是:CONFIG_BPF=y, CONFIG_BPF_SYSCALL=y, CONFIG_BPF_JIT=y, CONFIG_HAVE_EBPF_JIT=y, CONFIG_BPF_EVENT...
Cilium:BPF和XDP参考指南
RToax
10-30 1949
Table of Contents BPF体系结构 指令系统 辅助功能 地图 对象固定 尾叫 BPFBPF呼叫 准时制 硬化 减负 工具链 开发环境 虚拟机 本文档部分针对希望深入了解BPF和XDP的开发人员和用户。阅读本参考指南可能有助于拓宽您对Cilium的了解,但不是必须使用Cilium。请参阅入门指南和体系结构以获得更高级的介绍。 BPFLinux内核中一种高度灵活且高效的类似于虚拟机的构造,允许以安全的方式在各个挂钩点执行字节码。它被用于许多Linux..
Linux bpf 2.1、bcc的实现
pwl999的博客
10-16 3567
bcc全称为(BPF Compiler Collection),它是模仿gcc(GNU Compiler Collection)的命名风格。 BPF是运行在内核态的一种虚拟机语言,我们在用户态可以通过Clang+LLVM把c语言编译成BPF目标码,然后通过加载器loader(bcc/perf/iproute2)将BPF目标码通过bpf()系统调用加载到内核当中,最后通过perf的ioctl命令PE...
四极管:在menuconfig中选择m和 y的区别
杨琦(四极管)
03-13 3314
在menuconfig中选择m和 y的区别:    y: 模块驱动编译到内核中,启动时自动加载    m:模块会被编译,但是不会被编译到内核中,只是生成.o文件,我们可以收集这些.o文件做到linux的文件系统中,然后用insmod实现动态加载。 模块加载的两种方式 1)、动态加载      动态加载是将驱动模块加载到内核中,而不能放入/lib/modules/下。
linux lsm 程序加载钩函数,selinux 学习笔记一(LSM在kernel中的实现
weixin_35600177的博客
05-02 980
LSM(linux security module)作为一个单独模块,通过在kernel编译过程中的编译flag:CONFIG_SECURITY 控制是否启用该模块中定义的安全相关的功能。具体配置信息见:kernel/linux-4.9/security/Kconfig当在编译阶段打开该配置开关,kernel中的用于管理各个进程的task_struct对象会增加一个安全相关的引用。如下所示:ker...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值