关于linux:ebpflinux-安全双刃剑

EBPF 技术简介

eBPF全称 extended BPF，Linux Kernel 3.15 中引入的全新设计, 是对既有BPF架构进行了全面扩大，一方面，反对了更多畛域的利用,另一方面，在接口的设计以及易用性上，也有了较大的改良。

eBPF 是一个基于寄存器的虚拟机，应用自定义的 64 位 RISC 指令集，可能在 Linux 内核内运行即时本地编译的 “BPF 程序”，并能拜访内核性能和内存的一个子集。

倒退历史

工作机制

ebpf带来的平安威逼

eBPF的hook点性能包含以下几局部：

1. 能够在Storage、Network等与内核交互之间；
2. 也能够在内核中的功能模块交互之间；
3. 又能够在内核态与用户态交互之间；
4. 更能够在用户态过程空间。
5. eBPF的性能笼罩XDP、TC、Probe、Socket等，每个性能点都能实现内核态的篡改行为，从而使得用户态齐全致盲，哪怕是基于内核模块的HIDS，一样无奈感知到这些行为。

网络层歹意利用ebpf

以一个SSH、WEB服务的服务器为例，在IDC常见网络拜访策略中，凋谢公网web 80端口容许任意起源的IP拜访。而SSH服务只容许特定IP，或者只凋谢内网端口拜访。

假如这台服务器曾经被黑客入侵，黑客须要留下一个后门，且须要一个暗藏、牢靠的网络链路作为后门通道，那么在eBPF技术上，会如何实现呢？

XDP/TC层批改TCP包

为了让后门暗藏的更好，最好是不开过程，不监听端口（以后局部咱们只探讨网络层暗藏）。而eBPF技术在XDP、TC、socket等内核层的性能，可能实现流量信息批改，这些性能常被利用在L3、L4的网络负载平衡上。比方cilium的网络策略都是基于eBPF XDP实现。eBPF hook了XDP点后，更改了TCP包的指标IP，零碎内核再将该数据包转发进来。

依照XDP与TC在Linux内核中，解决ingress与egress的地位，能够更精确地确定hook点。

零碎层歹意利用ebpf

实现流程

回顾eBPF的hook点，作用在syscall的kprobe、tracepoint事件类型，假使用在后门rootkit场景，是非常可怕的。比方，批改内核态返回给用户态的数据，拦挡阻断用户态行为等随心所欲。而更可怕的是，常见的HIDS都是基于内核态或者用户态做行为监控，这恰好就绕开了大部分HIDS的监控，且不产生任何日志.

tracepoint事件类型hook

在SSHD利用中，当用户登录时，会读取/etc/passwd等文件。用户态sshd程序，调用open、read等零碎调用，让内核去硬件磁盘上检索数据，再返回数据给sshd过程。

用户态生成payload

用户态实现/etc/passwd、/etc/shadown等文件payload的生成，并通过eBPF的RewriteConstants机制，实现对elf .rodata的字段值替换。

内核态通过ebpf调用实现了随机用户名明码的root账号增加。在鉴权认证上，也能够配合eBPF网络层歹意利用的demo，利用eBPF map交互，实现相应鉴权。 但rootkit自身并没有更改硬盘上文件，不产生危险行为。并且，只针对特定过程的做笼罩，隐蔽性更好。

平安进攻应答

运行前

在恶意程序运行前，缩小攻击面，这个思路是不变的。

环境限度

不论是宿主机还是容器，都进行权限收敛，能不赋予SYS_ADMIN、CAP_BPF等权限，就禁止掉。若肯定要凋谢这个权限，那么只能放到运行时的检测环节了。

seccomp限度

在容器启动时，批改默认seccomp.json，禁止bpf零碎调用，避免容器逃逸，留神此办法对于Privileged特权容器有效。

内核编译参数限度

批改函数返回值做运行时防护时，须要用到bpf_override_return，该函数须要内核开启CONFIG_BPF_KPROBE_OVERRIDE编译参数，因而非非凡状况不要开启该编译参数。

非特权用户指令

大部分eBPF程序类型都须要root权限的用户能力调用执行。但有几个例外，比方BPF_PROG_TYPE_SOCKET_FILTER和BPF_PROG_TYPE_CGROUP_SKB这两个类型，就不须要root。但须要读取系统配置开关。

运行时

监控

Linux零碎中，所有的程序运行，都必须进行零碎调用，eBPF程序也不例外。须要调用syscall为321的SYS_BPF指令。并且，所有的eBPF程序执行、map创立都必须进行这个syscall调用。那么，在这个必经之路进行拦挡监控，是最好的计划。

依据程序白名单筛选

在一些BPF利用的业务服务器上，自身业务行为会产生大量调用，会给平安预警带来较大审计压力。对于已知的过程，咱们能够依据过程特色过滤。

获取以后过程pid、comm等属性，依据用户态写入eBPF map的配置，决定是否上报、是否拦挡。

依据SYSCALL类型筛选

在BPF syscall里，子命令的性能蕴含map、prog等多种类型的操作，bpf() subcommand reference 里有具体的读写API。在理论的业务场景里，“写”的平安危险比“读”大。所以，咱们能够过滤掉“读”操作，只上报、审计“写”操作。

运行后

如果恶意程序比查看工具运行的早，那么对于后果存在伪造的可能。

平安工程师须要依据不同场景作不同的溯源策略：

命令bpftool prog show，能够看到以后零碎正在运行的BPF程序、关联的BPF map ID，以及对应的过程信息等。

命令bpftool map show，通过查看map信息，能够与程序信息作辅助改正。并且，能够导出map内数据用来辨认歹意过程行为。

bpflist-bpfcc -vv命令能够看到以后服务器运行的“局部”BPF程序列表。

bpftool net show dev ens33 -p命令能够用于查看网络相干的eBPF hook点。

结语

EBPF目前作为一门绝对热门的技术，在越来越多技术人员理解到其方便性和高效率的同时，也会带来相当一大部分的“滥用”和“歹意利用”。正越来越成为平安畛域不可回避的一个安全隐患甚至平安危险。

平安技术人员，既须要了解ebpf的实现机制，相熟罕用ebpf工具，又要可能理解并发现零碎中被有心或者无心引入的这些ebpf的“泛滥”应用，加以封堵和标准，能力真正的用好ebpf，这把linux内核的平安“双刃剑”。