Rethinking the Kernel

原创 Risc-V HPC Server Architecture Diagram

原创 SoC Architecture Design & Verification

一、SoC Design ConceptsSoC ArchitectureSOC Design IntegrationSoC SubsystemsProcessor, High speed, Low speed, Multimedia subsystemSoC Interconnects & NOCsNoC Overview – Types of NOCs, purpose and diagramSoC Digital & Analog ComponentsSOC UP

原创 开源的意义

开发者贡献的每一行代码就像水滴，汇成长江、黄河，汇入开源社区，形成海纳百川之势～

原创 性能、性能还是性能---下一代Android性能框架分析

我们为什么要如此关注系统性能，不论是Android还是Linux Kernel？因为这是影响用户体验最关键的部分，尤其是在手机场景下，对于用户来说，快速响应的应用意味着更好的用户体验。对于企业来讲，性能优越的产品也是核心价值，可以产生技术壁垒，增强产品竞争力。

原创 Firewall Testing Checklist 分析

Firewall Testing Checklist分析

原创 LSF/MM/BPF Summit 2023

5月8号，今年度的Linux Storage, Filesystem, Memory Management & BPF Summit已经拉开帷幕，Linux存储、文件系统、内存管理以及BPF领域的年度峰会又一次到来。此次峰会聚集了Linux最重要的开发专家以及内核子系统维护者，以规划和探索改进相关模块的发展方向，这些技术点将在未来24-48个月内进入主流内核和Linux发行版。

原创 eBPF双子座：天使or恶魔？

随着eBPF技术在各种行业领域上的使用和普及，人们在享受着技术变革红利的同时，也遭受着无孔不入的恶意攻击，就像任何事物都有两面性一样。没有任何一项技术只有高高在上的优势，而没有弊端，只有更加清晰的刨析清楚eBPF的内核，才能推动它不断的进步，趋利避害，尽可能发挥正向的作用。

转载 Wasm + eBPF = Infinite Imaginationn (五)

使用 Wasm-bpf 工具链在 Wasm 中编写、动态加载、分发运行 eBPF 程序

转载 Wasm + eBPF = Infinite Imaginationn (四)

现在，借助 Wasm-bpf 编译工具链和运行时，使用 Wasm 将 eBPF 程序编写为跨平台模块，同时用 C/C++ 或 Rust 来编写 Wasm 程序。通过在 WebAssembly 中使用 eBPF 程序，我们不仅能让 Wasm 应用享受到 eBPF 的高性能和对系统接口的访问能力，还可以让 eBPF 程序使用到 Wasm 的沙箱、灵活性、跨平台性、和动态加载，并使用 Wasm 的 OCI 镜像来方便、快捷地分发和管理 eBPF 程序。结合这两种技术，将t给 eBPF 和 Wasm带来全新开发体验

转载 Wasm + eBPF = Infinite Imaginationn (三)

Wasm-bpf 是一个全新的开源项目，它定义了一套 eBPF 相关系统接口的抽象，并提供了一套对应的开发工具链、库以及通用的 Wasm + eBPF 运行时平台实例，让任意 Wasm 虚拟机或者 Wasm 轻量级容器中的应用，有能力将使用场景下沉和拓展到内核态，获取内核态和用户态的几乎所有数据，在网络、安全等多个方面实现对整个操作系统层面的可编程控制，从而极大的拓展 WebAssembly 生态在非浏览器端的应用场景。

原创 Wasm + eBPF = Infinite Imaginationn (二)

回望过去的 2022 年，有两项技术备受瞩目：eBPF 和 WebAssembly

转载 Wasm + eBPF = Infinite Imaginationn (一)

当今云原生世界中两个最热门的轻量级代码执行沙箱/虚拟机是 eBPF 和 WebAssembly。它们都运行从 C、C++ 和 Rust 等语言编译的高性能字节码程序，并且都是跨平台、可移植的。

转载 2022年安全架构总结以及2023安全方向展望

2022年整个安全行业的关键词是"进化Evolution"。"​进化"代表的是安全行业的深水区，需要出现新的安全能力、安全技术、安全解决方案，让现在的安全行业的水位提升到一个层次。"进化"也代表着目前的一些安全领域，需要不断迭代"进化"出更深层次的围绕客户痛点，解决客户风险和问题驱动的安全领域。

原创 浅析从DWARF到BTF @龙蜥社区eBPF SIG

DWARF的全称是"Debugging With Attributed Record Formats"，遵从GNU FDL授权。DWARF是一种调试文件格式，许多编译器和调试器均使用DWARF来支持源代码级调试。简单来说，DWARF记录了源代码、二进制程序以及它们之间存在的联系。本文主要从三个方面介绍DWARF： 1. DWARF在elf文件存在哪些段，以及每个段的含义； 2. 采用具体的实例，介绍了.deubg_str所包含的内容； 3. 重点介绍了.debug_info段，其是理解BTF的关键；

原创 风已起，待云涌---多维度理解云安全

Fix the Unknown,Before You Know it.新时代大门开启的时候，蜂拥而上的大都是勇士，风已起，待云涌！未来安全的能力将成为计算、存储、网络之外的第四大基础设施，并全部融入到云基础设施中，变成一种内置在基础设施里的默认能力，也就是“内建安全”的概念，有统一安全产品和服务，安全管理和运营不再是一种负担。

原创 深入解析云原生网络抖动引起的性能问题 @龙蜥社区eBPF SIG

“高频率、难攻克”一直是业界对抖动问题的评价，特别是在云计算场景下，复杂的网络拓扑，众多的业务承载形态，容器、虚拟机和传统的物理机并存，业务的应用也出现了微服务众多、多语言开发、多通信协议的鲜明特征，这给开发者定位这类问题带来非常大的挑战。试想从手机或者 PC 浏览器发出的一个付款请求，可能要经过你的家庭路由器，运营商网络，云服务商物理网络、虚拟网络，以及电商服务器，容器或者虚拟机，最后才是具体的服务程序对请求进行处理，这里面每个节点都可能存在延迟。

原创 eBPF verifier常见错误整理 @龙蜥社区eBPF SIG

本文梳理了一些常见的 eBPF verifier 报错，避免更多的人走弯路，写出能成功加载的 eBPF 程序。同时，本文通过讲解 eBPF verifier 检查原理及给出示例程序，来分析为什么 eBPF verifier 会报错，使读者能够知其然知其所以然，达到融会贯通。

原创 万字长文让你深入了解BPF字节码 @龙蜥社区eBPF SIG

本文详细介绍了eBPF的字节码和指令架构的定义，由具体的例子展开进行了深入分析，通过eBPF的字节码（指令集）有助于理解eBPF程序。在进行eBPF程序开发时，会遇到很多verifier的报错，经过学习本文后，通过读报错信息就可以清楚异常点的问题，对于进一步深入eBPF的开发有很大的帮助。

原创 Linux磁盘加密分析

数字安全越来越重要，因此黑客会从各种角度用各种方式来入侵服务器或存储设备，以获取公司重要的数据。从防御的角度来看，多种加密技术的实现，可以保护数据隐私免受这种侵犯。本文将讨论磁盘加密，从用途、类型以及优缺点的角度，来展示如何加密Linux硬盘驱动器和各种Linux加密方法。

原创 白帽黑客与网络安全工具浅析

白帽黑客是指站在黑客的立场攻击自己的系统以进行安全漏洞排查的程序员。他们用的是黑客（一般指“黑帽子黑客”）惯用的破坏攻击的方法，行的却是维护安全之事，试图提前发现黑客可以利用的漏洞，所以他们的重要性主要在于拥有预防网络攻击的能力，因为这降低了被攻击的风险。

原创 首届中国eBPF大会分享---基于eBPF的内核漏洞检测实践

随着智能化、数字化、云化的飞速发展，全球基于Linux系统的设备数以百亿计，而这些设备的安全保障主要取决于主线内核的安全性和健壮性。传统的内核安全存在周期长、效率低以及版本适配的问题，有没有实用的方案能够实现高效检测内核漏洞？在11月12号，由西安邮电大学主办，中国科学院软件研究所指导的首届中国eBPF大会在线上顺利举办。此次大会上，我参与了探讨eBPF发展趋势的圆桌会议和《基于eBPF的内核漏洞检测实践》主题演讲，在此把精华内容分享给大家。

原创 【云安全系列】eBPF——云原生容器防护力

本文简要的介绍通过eBPF与seccomp结合，获取seccomp需要的系统调用白名单的流程。通过使用eBPF进行syscall采集，syscall白名单可以通过代码的方式自动生成，再结合seccomp能力使得syscall白名单安全能力生效。这就构成了完整的云原生系统调用维度安全保护全流程，保证了业务容器syscall维度的安全，eBPF技术结合seccomp安全机制可以进一步提高seccomp安全防护生产力。

原创 【云安全系列】让Seccomp“动“起来­­--SeccompNotify

Seccomp 作为最早一批系统级安全防护机制，从最开始只支持4个 syscall 的保护，逐步发展到 300+syscall 管控，再到现在在用户态定义的动态管控。可以察觉系统安全正在逐步由小部分的内核开发维护人员，向着更加普遍且大众开发者贴近。本文通过实际编码的方式，着重介绍了 SeccompNotify 在进程中通过将裁决移交给第三方进程，从而达到约束 target 进程的功能。除此之外，还概括了目前 SeccompNotify 主要使用的场景和注意事项；

原创 eBPF 技术的发展与挑战---2022云栖大会参会纪实

系统安全不是单一维度，我们要建立起从应用态到内核态的多层级防御矩阵，并从多角度的视角来看待和解决安全问题，会达到更好的效果。

原创 【云安全系列】Seccomp—云安全syscall防护利器

本文从 Seccomp 机制出发，在 linux 内核层面介绍了 Seccomp 可以实现的安全能力即对进程的系统调用限制能力。Kubernetes 为我们提供了可以对容器进行系统调用层面保护的接口即 Seccomp 能力。在云原生场景，通过使用 ebpf 的手段获取业务系统调用白名单，通过linux 内核支持的 Seccomp 机制对业务容器进行系统调用维度的防护，进而保证业务容器 syscall 层面的安全。

原创 【云安全系列】云原生场景下的容器网络隔离技术

随着云计算时代的到来，尤其是容器化技术的飞速发展，云原生作为云计算的未来阶段，其安全势必成为云安全的主要战场。从目前的云原生环境来看，云原生网络安全问题层出不穷，威胁程度逐渐上升，从业人员面临着严峻的挑战

原创 通过eBPF实例分析和解决Linux系统性能问题（二）

接上篇《[通过eBPF实例分析和解决Linux系统性能问题（一）]》本文通过eBPF + Perf实例来分析具体的CPU system 占用率高因其的性能问题，通过对perf和eBPF的分析，给大家在分析性能问题时，提供多一种思路和选择。

原创 通过eBPF实例分析和解决Linux系统性能问题（一）

当日志无法解决问题或者没有日志的情况下，利用 eBPF 技术在 OS 层面对应用行为逻辑的观测，在定位某些应用的疑难问题时有着极大帮助。

原创 AI、5G、边缘、云和安全，你想了解的行业最新进展，都在这里

回顾风云激荡的过去，掌握激动人心的现在，揭示充满想象的未来。围绕当今最热门的话题，包括AI、5G、边缘、云和安全，进行深入技术讨论的机会来了，这，就是Intel Innovation US 2022。LIVE直播:https://www.intel.com/content/www/us/en/events/on-event-series/innovation.html以上是为期两天的峰会LIVE直播流程，有多个硬核重要Topic和众多业界知名专家，进行解读前沿技术发展的分享。1、Deepe

原创 一键适配Linux环境下超全超好用的vim编辑器

在Windows写代码，可能你会喜欢用VS Code、Source Insight或其他种类繁多的IDE，但在Linux环境，强烈推荐Vim

原创 当Android发生Native Crash时，Coredump能为我们带来什么信息？

两万字详解---当Android发生Native Crash时，Coredump能为我们带来什么信息？

原创 请记住内核中这个勤劳的监测卫士---Watchdog（Hard lockup篇）

尽管内核watchdog能检测softlockup 和 hardlockup 并采取相应的措施，但并非所有的系统宕机都是因为内核线程lockup引起的。用户线程/进程一样有可能引发系统宕机的情况。比如，用户程序有可能占着临界资源无法释放或系统太忙（疲于响应各种中断），导致无法调度其他用户进程（此时watchdog内核线程不受影响），这也可能导致系统无法正常使用。后续会详细分析Android场景下的用户态Watchdog以及具体案例，敬请期待。

原创 Intel CET 安全防御机制深度解析

内核开发者已经努力了一段时间，希望能让英特尔 IBT 功能进入 Linux 内核。实现这个功能的第一个 patch（针对用户空间代码而不是针对内核）是由 Yu-cheng Yu 在 2018 年发布的。然后，这项工作似乎成了那些不断穿越邮件列表的飞行荷兰人（flying-Dutchman）patch 之一，从未能够进入 mainline；第 30 版是 2021 年 8 月发布的，也没有达到能够合并的程度。类似的情况也发生在了用户空间的影子堆栈

原创 请记住内核中这个勤劳的监测卫士---Watchdog（Soft lockup篇）

Watchdog是内核最常见也是最容易让人忽略的模块功能，从这一个简单的模块展开，就可以深入接触到内核进度调度、锁机制、死锁处理等内核的核心要点。本篇先从Soft lockup开始分析，结合代码分析流程，并传授处理该类问题的解决思路。此类也是我做内核稳定性时期遇到做多类型的问题，现在再从内核安全的角度来看这类问题，会有另外一种领悟，也同时将这些分享给大家。

原创 从现在，看未来---Linux Kernel 未来发展方向

Linux发展至今已逾三十多年，随着内核新feature以及兼容性越来越高，使其变得十分庞大，现在如果再想通读内核源代码几乎成了 **“不可能的任务”**。近年来，又掀起了宏内核和微内核、Rust重写内核以及eBPF will be replace Linux等等有争议的声音，相信Linux Kernel的核心Maintainer也都注意到了这些。那么，他们会给出怎么样的回应？我们拭目以待 ！

原创 我的内核安全之路，和在开源社区的“升级”之旅

在OpenAnolis，我感受到了国内开源社区的活力、热情和对技术认真的态度。我认为这不仅能激励国内越来越多的开发者参与其中，也可以将国内开源社区引导向良性循环的发展路径，而这些，正是目前国内开源社区急切需要的。

原创 Linux Kernel运行时安全检测之LKRG-实践篇

LKRG实践篇---从一个内核Memory Corruption的例子来看LKRG的运行时检测效果。任何一项策略和方案，可以作为系统级别纵深防御策略的其中一道防线，但不是“一招胜天”的灵丹妙药，只有构建多层级防御矩阵，以及多个角度来解析安全问题，才会达到更好的效果。​

原创 横向对比EXT4，带你感受真实的Linux文件系统F2FS

对于F2FS，官方文档和其他博主大都从原理和代码的角度来分析，我今天会从实战横向对比EXT4的视角，带你感受真实的F2FS！

原创 国内Linux内核先驱者陈莉君教授领衔，业界首个产学研 eBPF技术探索SIG成立！

近日，我有幸能加入由陈老师领衔、集结各大公司的eBPF领域大佬，成立的龙蜥社区eBPF技术探索SIG组。后续会持续推动eBPF技术在国内的落地以及前沿技术探索，大家感兴趣的话可以查看SIG组页面或加我微信，一起开始eBPF的神奇之旅！SIG组页面：https://openanolis.cn/sig/ebpfresearch?lang=zh微信：Kernel-Security

原创 Linux Kernel运行时安全检测之LKRG-原理篇

虽然经常更新内核版本通常被认为是一种安全最佳实践，但由于各种原因，尤其是生产环境中的服务器无法这样操作。这就意味着在机器运行时，会存在利用已知的漏洞(当然，还会有一些未知的漏洞)来进行攻击的情况，所以需要某种方法来检测和阻止对这些漏洞的利用，这正是Linux Kernel Runtime Guard(Linux内核运行时保护LKRG)诞生目的所在。...