Linux内核安全
文章平均质量分 90
内核沉思录
Linux Kernel Architect & Risc-V Server SoC Researcher
展开
-
eBPF双子座:天使or恶魔?
随着eBPF技术在各种行业领域上的使用和普及,人们在享受着技术变革红利的同时,也遭受着无孔不入的恶意攻击,就像任何事物都有两面性一样。没有任何一项技术只有高高在上的优势,而没有弊端,只有更加清晰的刨析清楚eBPF的内核,才能推动它不断的进步,趋利避害,尽可能发挥正向的作用。原创 2023-02-20 20:21:10 · 533 阅读 · 0 评论 -
Wasm + eBPF = Infinite Imaginationn (二)
回望过去的 2022 年,有两项技术备受瞩目:eBPF 和 WebAssembly原创 2023-02-14 16:34:53 · 248 阅读 · 0 评论 -
Wasm + eBPF = Infinite Imaginationn (一)
当今云原生世界中两个最热门的轻量级代码执行沙箱/虚拟机是 eBPF 和 WebAssembly。它们都运行从 C、C++ 和 Rust 等语言编译的高性能字节码程序,并且都是跨平台、可移植的。转载 2023-02-14 16:31:32 · 243 阅读 · 0 评论 -
浅析从DWARF到BTF @龙蜥社区eBPF SIG
DWARF的全称是"Debugging With Attributed Record Formats",遵从GNU FDL授权。DWARF是一种调试文件格式,许多编译器和调试器均使用DWARF来支持源代码级调试。简单来说,DWARF记录了源代码、二进制程序以及它们之间存在的联系。本文主要从三个方面介绍DWARF: 1. DWARF在elf文件存在哪些段,以及每个段的含义; 2. 采用具体的实例,介绍了.deubg_str所包含的内容; 3. 重点介绍了.debug_info段,其是理解BTF的关键;原创 2022-12-27 11:29:18 · 708 阅读 · 0 评论 -
风已起,待云涌---多维度理解云安全
Fix the Unknown,Before You Know it.新时代大门开启的时候,蜂拥而上的大都是勇士,风已起,待云涌!未来安全的能力将成为计算、存储、网络之外的第四大基础设施,并全部融入到云基础设施中,变成一种内置在基础设施里的默认能力,也就是“内建安全”的概念,有统一安全产品和服务,安全管理和运营不再是一种负担。原创 2022-12-27 00:37:52 · 531 阅读 · 0 评论 -
Linux磁盘加密分析
数字安全越来越重要,因此黑客会从各种角度用各种方式来入侵服务器或存储设备,以获取公司重要的数据。从防御的角度来看,多种加密技术的实现,可以保护数据隐私免受这种侵犯。本文将讨论磁盘加密,从用途、类型以及优缺点的角度,来展示如何加密Linux硬盘驱动器和各种Linux加密方法。原创 2022-12-10 12:19:55 · 4706 阅读 · 0 评论 -
白帽黑客与网络安全工具浅析
白帽黑客是指站在黑客的立场攻击自己的系统以进行安全漏洞排查的程序员。他们用的是黑客(一般指“黑帽子黑客”)惯用的破坏攻击的方法,行的却是维护安全之事,试图提前发现黑客可以利用的漏洞,所以他们的重要性主要在于拥有预防网络攻击的能力,因为这降低了被攻击的风险。原创 2022-12-10 10:37:43 · 4401 阅读 · 0 评论 -
首届中国eBPF大会分享---基于eBPF的内核漏洞检测实践
随着智能化、数字化、云化的飞速发展,全球基于Linux系统的设备数以百亿计,而这些设备的安全保障主要取决于主线内核的安全性和健壮性。传统的内核安全存在周期长、效率低以及版本适配的问题,有没有实用的方案能够实现高效检测内核漏洞?在11月12号,由西安邮电大学主办,中国科学院软件研究所指导的首届中国eBPF大会在线上顺利举办。此次大会上,我参与了探讨eBPF发展趋势的圆桌会议和《基于eBPF的内核漏洞检测实践》主题演讲,在此把精华内容分享给大家。原创 2022-11-14 10:25:01 · 4654 阅读 · 0 评论 -
【云安全系列】eBPF——云原生容器防护力
本文简要的介绍通过eBPF与seccomp结合,获取seccomp需要的系统调用白名单的流程。通过使用eBPF进行syscall采集,syscall白名单可以通过代码的方式自动生成,再结合seccomp能力使得syscall白名单安全能力生效。这就构成了完整的云原生系统调用维度安全保护全流程,保证了业务容器syscall维度的安全,eBPF技术结合seccomp安全机制可以进一步提高seccomp安全防护生产力。原创 2022-11-14 09:37:52 · 4104 阅读 · 0 评论 -
【云安全系列】让Seccomp“动“起来--SeccompNotify
Seccomp 作为最早一批系统级安全防护机制,从最开始只支持4个 syscall 的保护,逐步发展到 300+syscall 管控,再到现在在用户态定义的动态管控。可以察觉系统安全正在逐步由小部分的内核开发维护人员,向着更加普遍且大众开发者贴近。本文通过实际编码的方式,着重介绍了 SeccompNotify 在进程中通过将裁决移交给第三方进程,从而达到约束 target 进程的功能。除此之外,还概括了目前 SeccompNotify 主要使用的场景和注意事项;原创 2022-11-05 22:39:56 · 4664 阅读 · 0 评论 -
eBPF 技术的发展与挑战---2022云栖大会参会纪实
系统安全不是单一维度,我们要建立起从应用态到内核态的多层级防御矩阵,并从多角度的视角来看待和解决安全问题,会达到更好的效果。原创 2022-11-04 00:37:33 · 4470 阅读 · 0 评论 -
【云安全系列】Seccomp—云安全syscall防护利器
本文从 Seccomp 机制出发,在 linux 内核层面介绍了 Seccomp 可以实现的安全能力即对进程的系统调用限制能力。Kubernetes 为我们提供了可以对容器进行系统调用层面保护的接口即 Seccomp 能力。在云原生场景,通过使用 ebpf 的手段获取业务系统调用白名单,通过linux 内核支持的 Seccomp 机制对业务容器进行系统调用维度的防护,进而保证业务容器 syscall 层面的安全。原创 2022-10-28 16:59:29 · 5134 阅读 · 0 评论 -
【云安全系列】云原生场景下的容器网络隔离技术
随着云计算时代的到来,尤其是容器化技术的飞速发展,云原生作为云计算的未来阶段,其安全势必成为云安全的主要战场。从目前的云原生环境来看,云原生网络安全问题层出不穷,威胁程度逐渐上升,从业人员面临着严峻的挑战原创 2022-10-24 10:39:50 · 4853 阅读 · 0 评论 -
AI、5G、边缘、云和安全,你想了解的行业最新进展,都在这里
回顾风云激荡的过去,掌握激动人心的现在,揭示充满想象的未来。围绕当今最热门的话题,包括AI、5G、边缘、云和安全,进行深入技术讨论的机会来了,这,就是Intel Innovation US 2022。LIVE直播:https://www.intel.com/content/www/us/en/events/on-event-series/innovation.html以上是为期两天的峰会LIVE直播流程,有多个硬核重要Topic和众多业界知名专家,进行解读前沿技术发展的分享。1、Deepe原创 2022-09-28 01:52:01 · 113 阅读 · 0 评论 -
当Android发生Native Crash时,Coredump能为我们带来什么信息?
两万字详解---当Android发生Native Crash时,Coredump能为我们带来什么信息?原创 2022-09-21 11:52:42 · 7308 阅读 · 0 评论 -
Intel CET 安全防御机制深度解析
内核开发者已经努力了一段时间,希望能让英特尔 IBT 功能进入 Linux 内核。实现这个功能的第一个 patch(针对用户空间代码而不是针对内核)是由 Yu-cheng Yu 在 2018 年发布的。然后,这项工作似乎成了那些不断穿越邮件列表的飞行荷兰人(flying-Dutchman)patch 之一,从未能够进入 mainline;第 30 版是 2021 年 8 月发布的,也没有达到能够合并的程度。类似的情况也发生在了用户空间的影子堆栈原创 2022-09-13 11:22:56 · 8450 阅读 · 1 评论 -
我的内核安全之路,和在开源社区的“升级”之旅
在OpenAnolis,我感受到了国内开源社区的活力、热情和对技术认真的态度。我认为这不仅能激励国内越来越多的开发者参与其中,也可以将国内开源社区引导向良性循环的发展路径,而这些,正是目前国内开源社区急切需要的。原创 2022-09-09 11:09:10 · 362 阅读 · 1 评论 -
Linux Kernel运行时安全检测之LKRG-实践篇
LKRG实践篇---从一个内核Memory Corruption的例子来看LKRG的运行时检测效果。任何一项策略和方案,可以作为系统级别纵深防御策略的其中一道防线,但不是“一招胜天”的灵丹妙药,只有构建多层级防御矩阵,以及多个角度来解析安全问题,才会达到更好的效果。原创 2022-09-07 09:17:45 · 11322 阅读 · 0 评论 -
国内Linux内核先驱者陈莉君教授领衔,业界首个产学研 eBPF技术探索SIG成立!
近日,我有幸能加入由陈老师领衔、集结各大公司的eBPF领域大佬,成立的龙蜥社区eBPF技术探索SIG组。后续会持续推动eBPF技术在国内的落地以及前沿技术探索,大家感兴趣的话可以查看SIG组页面或加我微信,一起开始eBPF的神奇之旅!SIG组页面:https://openanolis.cn/sig/ebpfresearch?lang=zh微信:Kernel-Security原创 2022-09-01 19:34:52 · 1682 阅读 · 0 评论 -
Linux Kernel运行时安全检测之LKRG-原理篇
虽然经常更新内核版本通常被认为是一种安全最佳实践,但由于各种原因,尤其是生产环境中的服务器无法这样操作。这就意味着在机器运行时,会存在利用已知的漏洞(当然,还会有一些未知的漏洞)来进行攻击的情况,所以需要某种方法来检测和阻止对这些漏洞的利用,这正是Linux Kernel Runtime Guard(Linux内核运行时保护LKRG)诞生目的所在。...原创 2022-09-01 11:55:39 · 11540 阅读 · 1 评论 -
关于eBPF安全可观测,我想和你聊聊----PODS 2022大会上的主题分享
和大家分享下16号晚上,我在PODS 2022大会上关于内核安全方面的一些思考和心得,直播没讲到的内容摘自我博客的其他文章,有些在公众号文章里也有。本次分享将从监控和可观测性、eBPF安全可观测性分析、内核安全可观测性展望三个方面展开。原创 2022-08-19 10:39:39 · 10330 阅读 · 0 评论 -
玩转eBPF---关于内核运行时安全的那些事儿
内核安全问题,牵一发而动全身,尤其是在运行时安全方面。通过上述eBPF新型program类型,并优化内核LSM框架和现有机制容易丢失系统调用的问题,从阻断一个函数调用运行的角度,来实现更细粒度,也更合理的检测。感兴趣的朋友可以进入龙蜥社区eBPF技术探索SIG组页面学习,进而分享自己的看法和解决方案,和SIG组成员一起开启eBPF的神奇之旅!龙蜥社区eBPF技术探索SIG组:https://openanolis.cn/sig/ebpfresearch钉钉群号:44866635...原创 2022-08-17 11:01:27 · 10047 阅读 · 1 评论 -
分歧还是共存?详解Android内核安全
现如今,世界上越来越多的智能终端包括手机、TV、SmartBox和IoT、汽车、多媒体设备等等,均深度使用Android系统,而Android的底层正是Linux内核,这也让Linux内核的安全性对Android产生重大影响,随着Android的演进,Android内核在集成Linux内核主线版本的优势下,再发展适合自身生态的内核安全方案,在庞大数量设备的基础上,既是挑战,也是机遇,期待Android能给出完美的答案。...原创 2022-08-08 09:26:30 · 10258 阅读 · 0 评论 -
万字长文---手把手教你加固内核安全配置
从内核安全配置的角度来分析了KSPP,在LSM机制、漏洞利用分析、栈溢出攻击等方面会有真实利用场景,后续会逐步更新相关文章原创 2022-08-01 11:51:42 · 10716 阅读 · 0 评论 -
研究内核安全必读的10本书
从脚本编写、漏洞利用、Debugging技巧、二进制分析以及内核安全体系这六个角度,直接分享书单以及相关分析,来看看研究内核安全领域必读的10本书原创 2022-07-26 16:37:57 · 9516 阅读 · 0 评论 -
带你走进Linux内核安全新世界
什么是安全?“1500多年前,由从梵文译成汉文的《百喻经·愿为王剃须喻》中讲述了亲信救王的故事。故事中写道:“昔者有王,有一亲信,于军阵中,殁命救王,使得安全。”这里的安全是指一种状态,在这种状态下,某种对象或者对象的某种属性是不受威胁的。”...............原创 2022-07-23 23:36:08 · 11168 阅读 · 0 评论 -
利用eBPF探测Rootkit漏洞
探索控制eBPF事件的方法,并研究一个使用BPF事件捕获rootkit的案例。Rootkit是一种存在于内核中复杂类型的恶意漏洞攻击,并将介绍Tracee用于检测Syscall 钩子的新特性,它实现了在内核中使用eBPF事件的独特方式........................原创 2022-07-18 20:52:15 · 6284 阅读 · 0 评论 -
利用LSM钩子打破系统调用跟踪桎梏
racee是一个用于Linux的运行时安全性和取证的开源项目,用于解决常见的Linux安全性问题。通过利用Linux扩展的Berkeley Packet Filter (eBPF)的技术优势,在内核运行时跟踪系统和应用程序,以便获取相应的数据信息。Tracee分析收集的事件可以用来检测可疑的行为模式,在本文中,我将分享从使用eBPF和Linux安全模块(LSM)钩子的角度,来分析在解决Linux漏洞(如TOCTOU类型)中学到的经验教训..................原创 2022-07-18 20:27:53 · 10293 阅读 · 0 评论 -
LinuxTracing System浅析和eBPF开发经验分享
本文总结了从动静态探针的角度梳理分析LinuxTracingSystem以及实例解决eBPF程序中遇到的问题。本文在以下几点上做了自己的分析和分享,希望对大家更清晰的认识LinuxTracingSystem和eBPF有所帮助。1.自下而上的方式分析动静态探针2.各种场景下动静态探针的选择3.BPF开发框架的选择4.多内核版本兼容性问题5.如何为低版本内核生成BTF文件6.eBPF边界检查问题分析httpshttpseBPF Verifier验证机制与编译器优化机制不一致问题..........原创 2022-07-18 19:45:11 · 10455 阅读 · 1 评论 -
Linux Kernel Security全景图系列之开篇
从各个维度来分析内核安全,从而展开这幅庞大的Linux Kernel Security全景图,让我们一起感受内核之美和安全的奇妙。本文是系列开篇,也就从最基础也是大家最感兴趣的话题讲起:学习内核安全的书籍。.....................原创 2022-07-21 21:46:31 · 10510 阅读 · 0 评论