2024-09-28 17:02:54 发布
网友
我想使用EBPF并在open系统调用上放置一个探测,因此当用户想要打开某个文件时,我会检查它的名称,如果它是目标名称,我会阻止它打开。唯一的问题是我不知道如何真正实现这个目标
此外,如果您能指定某个解决方案是否适用于Upube或root probe,我将不胜感激。 非常感谢
TL;DR.目前,使用BPF无法做到这一点
Linux内核中目前没有使用eBPF对系统调用强制执行策略的选项。但是,随着基于eBPF的LSM(Linux安全模块)的引入,这可能会发生变化(请参见Kernel Runtime Security Instrumentation、KRSI — the other BPF security module和KRSI and proprietary BPF programs)
但是,您可以使用seccomp bpf对系统调用执行策略,但是它使用cBPF,即旧的bpf字节码,而不是eBPF。然而,不可能检查由带有seccomp bpf的指针传递的security reasons的syscall参数;因此,您将无法检查正在打开的文件的名称
TL;DR.目前,使用BPF无法做到这一点
Linux内核中目前没有使用eBPF对系统调用强制执行策略的选项。但是,随着基于eBPF的LSM(Linux安全模块)的引入,这可能会发生变化(请参见Kernel Runtime Security Instrumentation、KRSI — the other BPF security module和KRSI and proprietary BPF programs)
但是,您可以使用seccomp bpf对系统调用执行策略,但是它使用cBPF,即旧的bpf字节码,而不是eBPF。然而,不可能检查由带有seccomp bpf的指针传递的security reasons的syscall参数;因此,您将无法检查正在打开的文件的名称
相关问题 更多 >
编程相关推荐