在过去,使用 LSM 主要通过配置已有的安全模块(如 SELinux 和 AppArmor)或编写自己的内核模块;而在 Linux 5.7 引入 BPF LSM 机制后,一切都变得不同了:现在,开发人员可以通过 eBPF 编写自定义的安全策略,并将其动态加载到内核中的 LSM 挂载点,而无需配置或编写内核模块。 现在LSM 支持的 hook 点包括但不限于:...
直到现在,能够实现实施安全策略目标的方式只有两种选择,配置现有的LSM模块(如AppArmor、SELinux),或编写自定义内核模块。 Linux Kernel 5.7[^3^ ]引入了第三种方式:LSM扩展伯克利包过滤器^[4]^ (eBPF)(简称BPF LSM)。LSM BPF允许开发人员编写自定义策略,而无需配置或加载内核模块。LSM BPF程序在加载时被验证,然...
为了精确定位修改系统时间的肇事者进程,利用 eBPF LSM(Linux Security Module)钩子函数进行监控,观测是谁在调用 settime,收集调用进程的详细信息,包括进程 ID、进程名称,以便后面做拦截。这里依然使用 rust aya 进行 eBPF 编程。 复制 #[lsm]pub fn hook_settime(ctx: LsmContext)->i32 { let comm_bytes=matchc...
通过 eBPF 和 LSM 的结合,可以实现更灵活和高效的安全策略,包括访问控制、安全审计和入侵检测等。 安全审计: 使用eBPF 程序记录特定系统调用的审计日志。 SEC("lsm/file_open")intBPF_PROG(audit_file_open,structfile*file){ u32 uid = bpf_get_current_uid_gid() &0xFFFFFFFF; bpf_printk("audit: UID ...
本文探讨了利用eBPF LSM技术记录系统时间回调的问题。eBPF(扩展的Berkeley包过滤器)是一种强大的内核技术,用于监控和分析系统性能。LSM(Linux安全模块)则用于增强系统的安全性。通过eBPF LSM,可以有效地追踪和记录系统时间被回调的事件。vm-agent是一个负责管理虚拟机的进程,当物理机时间滞后约2分钟时,vm-agent会调整...
本发明涉及一种基于eBPF‑LSM机制的可信程序启动控制方法,属于网络安全技术领域。本方法通过eBPF‑LSM机制在bprm_security_check()函数处注入特定的安全策略进行安全检查,其可信度量值不在白名单中时禁止启动运行。通过本方法,一方面,可以禁止计算设施中病毒/木马等程序的运行,防止计算设施中软件、系统被病毒/木马等...
本发明涉及一种基于eBPFLSM机制的可信程序启动控制方法,属于网络安全技术领域.本方法通过eBPFLSM机制在bprm_security_check()函数处注入特定的安全策略进行安全检查,其可信度量值不在白名单中时禁止启动运行.通过本方法,一方面,可以禁止计算设施中病毒/木马等程序的运行,防止计算设施中软件,系统被病毒/木马等恶意软件篡改...
一、吕奎担任职务:吕奎目前担任佛山市杰尊计算机有限公司法定代表人,同时担任佛山市杰尊计算机有限公司财务负责人,执行董事兼经理;二、吕奎投资情况:目前吕奎投资佛山市杰尊计算机有限公司最终收益股份为50%;三、吕奎的商业合作伙伴:基于公开数据展示,吕奎与欧阳明波为商业合作伙伴。 财产...
系统内核版本要求是最大限制,eBPF LSM需要5.7以后版本。但对于安全产品,阻断一个函数的调用,远比杀死一个进程影响要小。bpf_send_signal颗粒度是进程,eBPF LSM的颗粒度是函数,更精确。除此之外,控制范围也不一样,可以对函数调用堆栈做调整,达到替换执行的目标。业务场景就是系统漏洞的热更新了。
Linux Security Modules^[2]^ (LSM)是一个钩子的基于框架,用于在Linux内核中实现安全策略和强制访问控制。直到现在,能够实现实施安全策略目标的方式只有两种选择,配置现有的LSM模块(如AppArmor、SELinux),或编写自定义内核模块。 Linux Kernel 5.7[^3^ ]引入了第三种方式:LSM扩展伯克利包过滤器^[4]^ (eBPF)(简称...