🥇 "লিনাক্স মনিটরিংয়ের জন্য BPF" বই প্রোহোস্টার

হ্যালো, খবরের বাসিন্দারা! BPF ভার্চুয়াল মেশিন লিনাক্স কার্নেলের অন্যতম গুরুত্বপূর্ণ উপাদান। এটির সঠিক ব্যবহার সিস্টেম ইঞ্জিনিয়ারদের ত্রুটিগুলি খুঁজে পেতে এবং এমনকি সবচেয়ে জটিল সমস্যাগুলি সমাধান করার অনুমতি দেবে। আপনি শিখবেন কীভাবে প্রোগ্রামগুলি লিখতে হয় যা কার্নেলের আচরণ নিরীক্ষণ এবং সংশোধন করে, কার্নেলের ইভেন্টগুলি নিরীক্ষণ করার জন্য কীভাবে নিরাপদে কোড প্রয়োগ করতে হয় এবং আরও অনেক কিছু। David Calavera এবং Lorenzo Fontana আপনাকে BPF এর শক্তি আনলক করতে সাহায্য করবে। কর্মক্ষমতা অপ্টিমাইজেশান, নেটওয়ার্কিং, নিরাপত্তা আপনার জ্ঞান প্রসারিত করুন. - Linux কার্নেলের আচরণ নিরীক্ষণ এবং পরিবর্তন করতে BPF ব্যবহার করুন। - কার্নেল পুনরায় কম্পাইল বা সিস্টেম রিবুট না করেই কার্নেল ইভেন্টগুলিকে নিরাপদে নিরীক্ষণ করতে কোড ইনজেক্ট করুন। — সি, গো বা পাইথনে সুবিধাজনক কোড উদাহরণ ব্যবহার করুন। - BPF প্রোগ্রাম লাইফসাইকেলের মালিক হয়ে নিয়ন্ত্রণ নিন।

লিনাক্স কার্নেল নিরাপত্তা, এর বৈশিষ্ট্য এবং সেকমপ

BPF স্থিতিশীলতা, নিরাপত্তা, বা গতি বলিদান ছাড়া কার্নেল প্রসারিত করার একটি শক্তিশালী উপায় প্রদান করে। এই কারণে, কার্নেল বিকাশকারীরা ভেবেছিল যে BPF প্রোগ্রামগুলি দ্বারা সমর্থিত Seccomp ফিল্টারগুলি প্রয়োগ করে Seccomp-এ প্রক্রিয়া বিচ্ছিন্নতা উন্নত করতে এর বহুমুখীতা ব্যবহার করা একটি ভাল ধারণা হবে, যা Seccomp BPF নামেও পরিচিত। এই অধ্যায়ে আমরা Seccomp কি এবং কিভাবে এটি ব্যবহার করা হয় তা ব্যাখ্যা করব। তারপর আপনি শিখবেন কিভাবে BPF প্রোগ্রাম ব্যবহার করে Seccomp ফিল্টার লিখতে হয়। এর পরে, আমরা লিনাক্স সুরক্ষা মডিউলগুলির জন্য কার্নেলে অন্তর্ভুক্ত বিল্ট-ইন বিপিএফ হুকগুলি দেখব।

লিনাক্স সিকিউরিটি মডিউল (LSM) হল একটি ফ্রেমওয়ার্ক যা ফাংশনগুলির একটি সেট প্রদান করে যা একটি প্রমিত পদ্ধতিতে বিভিন্ন নিরাপত্তা মডেল বাস্তবায়নের জন্য ব্যবহার করা যেতে পারে। LSM সরাসরি কার্নেল সোর্স ট্রিতে ব্যবহার করা যেতে পারে, যেমন Apparmor, SELinux এবং Tomoyo।

চলুন শুরু করা যাক লিনাক্সের ক্ষমতা নিয়ে আলোচনা করে।

সুযোগ

লিনাক্সের ক্ষমতার সারমর্ম হল যে আপনাকে একটি নির্দিষ্ট কাজ সম্পাদন করার জন্য একটি সুবিধাবিহীন প্রক্রিয়ার অনুমতি দিতে হবে, কিন্তু সেই উদ্দেশ্যে স্যুইড ব্যবহার না করে, বা অন্যথায় প্রক্রিয়াটিকে বিশেষ সুবিধাপ্রাপ্ত করে, আক্রমণের সম্ভাবনা হ্রাস করে এবং প্রক্রিয়াটিকে নির্দিষ্ট কাজ সম্পাদন করার অনুমতি দেয়। উদাহরণস্বরূপ, যদি আপনার অ্যাপ্লিকেশনটিকে একটি বিশেষ সুবিধাপ্রাপ্ত পোর্ট খোলার প্রয়োজন হয়, 80 বলুন, প্রক্রিয়াটিকে রুট হিসাবে চালানোর পরিবর্তে, আপনি কেবল এটিকে CAP_NET_BIND_SERVICE ক্ষমতা দিতে পারেন।

main.go নামের একটি গো প্রোগ্রাম বিবেচনা করুন:

package main
import (
            "net/http"
            "log"
)
func main() {
     log.Fatalf("%v", http.ListenAndServe(":80", nil))
}

এই প্রোগ্রামটি পোর্ট 80 এ একটি HTTP সার্ভার পরিবেশন করে (এটি একটি বিশেষ সুবিধাপ্রাপ্ত পোর্ট)। সাধারণত আমরা সংকলনের পরপরই এটি চালাই:

$ go build -o capabilities main.go
$ ./capabilities

যাইহোক, যেহেতু আমরা রুট সুবিধা প্রদান করছি না, এই কোডটি পোর্ট বাঁধাই করার সময় একটি ত্রুটি নিক্ষেপ করবে:

2019/04/25 23:17:06 listen tcp :80: bind: permission denied
exit status 1

capsh (শেল ম্যানেজার) হল একটি টুল যা একটি নির্দিষ্ট সেট ক্ষমতা সহ একটি শেল চালায়।

এই ক্ষেত্রে, ইতিমধ্যে উল্লিখিত হিসাবে, সম্পূর্ণ রুট অধিকার প্রদানের পরিবর্তে, আপনি প্রোগ্রামে ইতিমধ্যে থাকা সমস্ত কিছু সহ cap_net_bind_service সক্ষমতা প্রদান করে বিশেষাধিকারপ্রাপ্ত পোর্ট বাইন্ডিং সক্ষম করতে পারেন। এটি করার জন্য, আমরা আমাদের প্রোগ্রামটি ক্যাপশে সংযুক্ত করতে পারি:

# capsh --caps='cap_net_bind_service+eip cap_setpcap,cap_setuid,cap_setgid+ep' 
   --keep=1 --user="nobody" 
   --addamb=cap_net_bind_service -- -c "./capabilities"

এই দলটাকে একটু বোঝা যাক।

capsh - একটি শেল হিসাবে capsh ব্যবহার করুন।
—caps='cap_net_bind_service+eip cap_setpcap,cap_setuid,cap_setgid+ep' - যেহেতু আমাদের ব্যবহারকারী পরিবর্তন করতে হবে (আমরা রুট হিসাবে চালাতে চাই না), আমরা cap_net_bind_service এবং প্রকৃতপক্ষে থেকে ব্যবহারকারী আইডি পরিবর্তন করার ক্ষমতা নির্দিষ্ট করব root to nobody, যথা cap_setuid এবং cap_setgid।
—keep=1 — রুট অ্যাকাউন্ট থেকে স্যুইচ করার সময় আমরা ইনস্টল করা ক্ষমতা রাখতে চাই।
—ব্যবহারকারী=“কোনও নয়” — প্রোগ্রামটি চালানোর শেষ ব্যবহারকারী কেউ হবে না।
—addamb=cap_net_bind_service — রুট মোড থেকে স্যুইচ করার পরে সম্পর্কিত ক্ষমতা ক্লিয়ারিং সেট করুন।
- -c "./capabilities" - শুধু প্রোগ্রাম চালান।

লিংকড ক্যাপাবিলিটি হল একটি বিশেষ ধরনের ক্ষমতা যা চাইল্ড প্রোগ্রাম দ্বারা উত্তরাধিকারসূত্রে প্রাপ্ত হয় যখন বর্তমান প্রোগ্রাম execve() ব্যবহার করে তাদের এক্সিকিউট করে। শুধুমাত্র যে ক্ষমতাগুলিকে যুক্ত করার অনুমতি দেওয়া হয়, বা অন্য কথায়, পরিবেশগত ক্ষমতা হিসাবে, উত্তরাধিকার সূত্রে প্রাপ্ত হতে পারে।

আপনি সম্ভবত ভাবছেন --caps বিকল্পে ক্ষমতা নির্দিষ্ট করার পরে +eip এর অর্থ কী। এই পতাকাগুলি সক্ষমতা নির্ধারণ করতে ব্যবহৃত হয়:

- সক্রিয় করা আবশ্যক (p);

- ব্যবহারের জন্য উপলব্ধ (ই);

- শিশু প্রক্রিয়া দ্বারা উত্তরাধিকারসূত্রে পাওয়া যেতে পারে (i)।

যেহেতু আমরা cap_net_bind_service ব্যবহার করতে চাই, তাই আমাদের ই ফ্ল্যাগ দিয়ে এটি করতে হবে। তারপর আমরা কমান্ডে শেল শুরু করব। এটি ক্ষমতা বাইনারি চালাবে এবং আমাদের এটিকে i পতাকা দিয়ে চিহ্নিত করতে হবে। অবশেষে, আমরা p এর সাথে বৈশিষ্ট্যটি সক্ষম করতে চাই (আমরা UID পরিবর্তন না করে এটি করেছি)। এটা cap_net_bind_service+eip এর মত দেখাচ্ছে।

আপনি ss ব্যবহার করে ফলাফল পরীক্ষা করতে পারেন। আসুন পৃষ্ঠায় ফিট করার জন্য আউটপুটটি কিছুটা সংক্ষিপ্ত করি, তবে এটি 0 ছাড়া অন্য পোর্ট এবং ব্যবহারকারী আইডি দেখাবে, এই ক্ষেত্রে 65:

# ss -tulpn -e -H | cut -d' ' -f17-
128 *:80 *:*
users:(("capabilities",pid=30040,fd=3)) uid:65534 ino:11311579 sk:2c v6only:0

এই উদাহরণে আমরা capsh ব্যবহার করেছি, কিন্তু আপনি libcap ব্যবহার করে একটি শেল লিখতে পারেন। আরও তথ্যের জন্য, man 3 libcap দেখুন।

প্রোগ্রাম লেখার সময়, প্রায়শই বিকাশকারী প্রোগ্রামের রান টাইমে প্রয়োজনীয় সমস্ত বৈশিষ্ট্য আগে থেকে জানেন না; তাছাড়া, এই বৈশিষ্ট্যগুলি নতুন সংস্করণে পরিবর্তিত হতে পারে।

আমাদের প্রোগ্রামের ক্ষমতাগুলি আরও ভালভাবে বোঝার জন্য, আমরা BCC সক্ষম টুলটি নিতে পারি, যা cap_capable কার্নেল ফাংশনের জন্য kprobe সেট করে:

/usr/share/bcc/tools/capable
TIME      UID  PID   TID   COMM               CAP    NAME           AUDIT
10:12:53 0 424     424     systemd-udevd 12 CAP_NET_ADMIN         1
10:12:57 0 1103   1101   timesync        25 CAP_SYS_TIME         1
10:12:57 0 19545 19545 capabilities       10 CAP_NET_BIND_SERVICE 1

cap_capable কার্নেল ফাংশনে এক-লাইনার kprobe দিয়ে bpftrace ব্যবহার করে আমরা একই জিনিস অর্জন করতে পারি:

bpftrace -e 
   'kprobe:cap_capable {
      time("%H:%M:%S ");
      printf("%-6d %-6d %-16s %-4d %dn", uid, pid, comm, arg2, arg3);
    }' 
    | grep -i capabilities

এটি নিচের মত কিছু আউটপুট করবে যদি kprobe এর পরে আমাদের প্রোগ্রামের ক্ষমতা সক্রিয় করা হয়:

12:01:56 1000 13524 capabilities 21 0
12:01:56 1000 13524 capabilities 21 0
12:01:56 1000 13524 capabilities 21 0
12:01:56 1000 13524 capabilities 12 0
12:01:56 1000 13524 capabilities 12 0
12:01:56 1000 13524 capabilities 12 0
12:01:56 1000 13524 capabilities 12 0
12:01:56 1000 13524 capabilities 10 1

পঞ্চম কলামটি হল সেই ক্ষমতাগুলি যা প্রক্রিয়াটির প্রয়োজন, এবং যেহেতু এই আউটপুটে অ-অডিট ইভেন্টগুলি অন্তর্ভুক্ত রয়েছে, তাই আমরা সমস্ত নন-অডিট চেক দেখতে পাই এবং অবশেষে অডিট পতাকা (আউটপুটে শেষ) 1 এ সেট করা প্রয়োজনীয় ক্ষমতা। যেটিতে আমরা আগ্রহী তা হল CAP_NET_BIND_SERVICE, এটি ফাইলের কার্নেল সোর্স কোডের মধ্যে একটি ধ্রুবক হিসাবে সংজ্ঞায়িত করা হয়েছে Include/uapi/linux/ability.h আইডেন্টিফায়ার 10 সহ:

/* Allows binding to TCP/UDP sockets below 1024 */
/* Allows binding to ATM VCIs below 32 */
#define CAP_NET_BIND_SERVICE 10<source lang="go">

রানসি বা ডকারের মতো কন্টেইনারগুলিকে সুবিধাবিহীন মোডে চালানোর অনুমতি দেওয়ার জন্য রানটাইমে ক্ষমতাগুলি প্রায়শই সক্ষম করা হয়, তবে বেশিরভাগ অ্যাপ্লিকেশনগুলি চালানোর জন্য প্রয়োজনীয় ক্ষমতাগুলিকে তাদের অনুমতি দেওয়া হয়। যখন একটি অ্যাপ্লিকেশনের জন্য নির্দিষ্ট ক্ষমতার প্রয়োজন হয়, তখন ডকার --cap-add ব্যবহার করে সেগুলি প্রদান করতে পারে:

docker run -it --rm --cap-add=NET_ADMIN ubuntu ip link add dummy0 type dummy

এই কমান্ডটি কন্টেইনারকে CAP_NET_ADMIN ক্ষমতা দেবে, এটি ডামি0 ইন্টারফেস যোগ করার জন্য একটি নেটওয়ার্ক লিঙ্ক কনফিগার করার অনুমতি দেবে।

পরবর্তী বিভাগে ফিল্টারিংয়ের মতো বৈশিষ্ট্যগুলি কীভাবে ব্যবহার করা যায় তা দেখায়, তবে একটি ভিন্ন কৌশল ব্যবহার করে যা আমাদের নিজস্ব ফিল্টারগুলিকে প্রোগ্রামেটিকভাবে প্রয়োগ করতে দেয়।

সেককম্প

Seccomp হল সিকিউর কম্পিউটিং এবং এটি একটি নিরাপত্তা স্তর যা লিনাক্স কার্নেলে প্রয়োগ করা হয় যা ডেভেলপারদের নির্দিষ্ট সিস্টেম কল ফিল্টার করতে দেয়। যদিও Seccomp ক্ষমতার দিক থেকে লিনাক্সের সাথে তুলনীয়, তবে নির্দিষ্ট সিস্টেম কল পরিচালনা করার ক্ষমতা এটিকে তাদের তুলনায় অনেক বেশি নমনীয় করে তোলে।

Seccomp এবং Linux বৈশিষ্ট্যগুলি পারস্পরিকভাবে একচেটিয়া নয় এবং প্রায়শই উভয় পন্থা থেকে উপকৃত হওয়ার জন্য একসাথে ব্যবহার করা হয়। উদাহরণস্বরূপ, আপনি একটি প্রক্রিয়াকে CAP_NET_ADMIN ক্ষমতা দিতে চাইতে পারেন কিন্তু এটিকে সকেট সংযোগ গ্রহণ করার অনুমতি দেবেন না, অ্যাকসেপ্ট এবং অ্যাকসেপ্ট4 সিস্টেম কল ব্লক করে।

Seccomp ফিল্টারিং পদ্ধতিটি SECOMP_MODE_FILTER মোডে কাজ করা BPF ফিল্টারগুলির উপর ভিত্তি করে, এবং সিস্টেম কল ফিল্টারিং প্যাকেটগুলির মতোই সঞ্চালিত হয়।

Seccomp ফিল্টারগুলি PR_SET_SECCOMP অপারেশনের মাধ্যমে prctl ব্যবহার করে লোড করা হয়। এই ফিল্টারগুলি একটি BPF প্রোগ্রামের রূপ নেয় যা seccomp_data কাঠামো দ্বারা প্রতিনিধিত্ব করা প্রতিটি Seccomp প্যাকেটের জন্য কার্যকর করা হয়। এই কাঠামোতে রেফারেন্স আর্কিটেকচার, সিস্টেম কলের সময় প্রসেসরের নির্দেশাবলীর জন্য একটি পয়েন্টার এবং সর্বোচ্চ ছয়টি সিস্টেম কল আর্গুমেন্ট রয়েছে, যা uint64 হিসাবে প্রকাশ করা হয়।

linux/seccomp.h ফাইলের কার্নেল সোর্স কোড থেকে seccomp_data গঠনটি কেমন দেখায়:

struct seccomp_data {
int nr;
      __u32 arch;
      __u64 instruction_pointer;
      __u64 args[6];
};

আপনি এই কাঠামো থেকে দেখতে পাচ্ছেন, আমরা সিস্টেম কল, এর আর্গুমেন্ট বা উভয়ের সংমিশ্রণ দ্বারা ফিল্টার করতে পারি।

প্রতিটি Seccomp প্যাকেট প্রাপ্তির পর, ফিল্টারটিকে অবশ্যই একটি চূড়ান্ত সিদ্ধান্ত নিতে প্রক্রিয়াকরণ করতে হবে এবং পরবর্তীতে কী করতে হবে তা কার্নেলকে জানাতে হবে। চূড়ান্ত সিদ্ধান্তটি রিটার্ন মানগুলির একটি (স্থিতি কোড) দ্বারা প্রকাশ করা হয়।

- SECOMP_RET_KILL_PROCESS - একটি সিস্টেম কল ফিল্টার করার সাথে সাথেই সম্পূর্ণ প্রক্রিয়াটিকে মেরে ফেলে যা এই কারণে কার্যকর হয় না।

- SECOMP_RET_KILL_THREAD - একটি সিস্টেম কল ফিল্টার করার সাথে সাথে বর্তমান থ্রেডটি বন্ধ করে দেয় যা এই কারণে কার্যকর হয় না।

— SECOMP_RET_KILL — SECOMP_RET_KILL_THREAD-এর জন্য উপনাম, পিছনের সামঞ্জস্যের জন্য বাকি।

- SECOMP_RET_TRAP - সিস্টেম কল নিষিদ্ধ, এবং SIGSYS (খারাপ সিস্টেম কল) সংকেত পাঠানো হয় যে টাস্কে এটি কল করে।

- SECOMP_RET_ERRNO - সিস্টেম কলটি কার্যকর করা হয় না, এবং SECOMP_RET_DATA ফিল্টার রিটার্ন মানের অংশটি errno মান হিসাবে ব্যবহারকারীর স্থানে প্রেরণ করা হয়। ত্রুটির কারণের উপর নির্ভর করে, বিভিন্ন ত্রুটির মান ফেরত দেওয়া হয়। ত্রুটি সংখ্যার একটি তালিকা পরবর্তী বিভাগে প্রদান করা হয়.

- SECOMP_RET_TRACE - ptrace ট্রেসারকে সূচিত করতে ব্যবহৃত হয় - PTRACE_O_TRACESECCOMP প্রক্রিয়াটি দেখতে এবং নিয়ন্ত্রণ করার জন্য যখন একটি সিস্টেম কল চালানো হয় তখন বাধা দিতে। যদি একটি ট্রেসার সংযুক্ত না থাকে, একটি ত্রুটি ফেরত দেওয়া হয়, ত্রুটিটি -ENOSYS-এ সেট করা হয় এবং সিস্টেম কলটি কার্যকর করা হয় না।

- SECOMP_RET_LOG - সিস্টেম কলটি সমাধান করা হয়েছে এবং লগ করা হয়েছে৷

- SECOMP_RET_ALLOW - সিস্টেম কলটি সহজভাবে অনুমোদিত৷

ptrace হল একটি সিস্টেম কল যা ট্রেসি নামক একটি প্রক্রিয়ায় ট্রেসিং মেকানিজম বাস্তবায়নের জন্য, প্রক্রিয়াটির সম্পাদন নিরীক্ষণ ও নিয়ন্ত্রণ করার ক্ষমতা সহ। ট্রেস প্রোগ্রাম কার্যকরভাবে সম্পাদনকে প্রভাবিত করতে পারে এবং ট্রেসির মেমরি রেজিস্টার পরিবর্তন করতে পারে। Seccomp প্রেক্ষাপটে, PTrace ব্যবহার করা হয় যখন SECOMP_RET_TRACE স্ট্যাটাস কোড দ্বারা ট্রিগার করা হয়, তাই ট্রেসার সিস্টেম কলটিকে কার্যকর করা থেকে বাধা দিতে পারে এবং তার নিজস্ব যুক্তি প্রয়োগ করতে পারে।

Seccomp ত্রুটি

সময়ে সময়ে, Seccomp-এর সাথে কাজ করার সময়, আপনি বিভিন্ন ত্রুটির সম্মুখীন হবেন, যা SECOMP_RET_ERRNO টাইপ রিটার্ন মান দ্বারা চিহ্নিত করা হয়। একটি ত্রুটি রিপোর্ট করতে, seccomp সিস্টেম কল 1 এর পরিবর্তে -0 রিটার্ন করবে।

নিম্নলিখিত ত্রুটিগুলি সম্ভব:

- EACCESS - কলকারীকে একটি সিস্টেম কল করার অনুমতি নেই৷ এটি সাধারণত ঘটে কারণ এতে CAP_SYS_ADMIN বিশেষাধিকার নেই বা prctl ব্যবহার করে no_new_privs সেট করা নেই (আমরা এই বিষয়ে পরে কথা বলব);

— EFAULT — পাস করা আর্গুমেন্টের (seccomp_data কাঠামোতে args) কোনো বৈধ ঠিকানা নেই;

— EINVAL — এখানে চারটি কারণ থাকতে পারে:

-অনুরোধকৃত অপারেশনটি অজানা বা বর্তমান কনফিগারেশনে কার্নেল দ্বারা সমর্থিত নয়;

-নির্দিষ্ট পতাকা অনুরোধকৃত অপারেশনের জন্য বৈধ নয়;

-অপারেশনে BPF_ABS অন্তর্ভুক্ত আছে, কিন্তু নির্দিষ্ট অফসেটের সমস্যা আছে, যা seccomp_data কাঠামোর আকার অতিক্রম করতে পারে;

-ফিল্টারে পাঠানো নির্দেশাবলীর সংখ্যা সর্বাধিক অতিক্রম করেছে;

— ENOMEM — প্রোগ্রাম চালানোর জন্য যথেষ্ট মেমরি নেই;

- EOPNOTSUPP - অপারেশনটি নির্দেশ করে যে SECOMP_GET_ACTION_AVAIL এর সাথে অ্যাকশনটি উপলব্ধ ছিল, কিন্তু কার্নেল আর্গুমেন্টে রিটার্ন সমর্থন করে না;

— ESRCH — অন্য স্ট্রীম সিঙ্ক্রোনাইজ করার সময় একটি সমস্যা হয়েছে;

- ENOSYS - SECOMP_RET_TRACE অ্যাকশনের সাথে কোন ট্রেসার সংযুক্ত নেই৷

prctl হল একটি সিস্টেম কল যা একটি ব্যবহারকারী-স্পেস প্রোগ্রামকে একটি প্রক্রিয়ার নির্দিষ্ট দিকগুলি যেমন বাইট এন্ডিয়াননেস, থ্রেডের নাম, সুরক্ষিত গণনা মোড (Seccomp), বিশেষাধিকার, পারফ ইভেন্ট ইত্যাদি ম্যানিপুলেট (সেট এবং পেতে) করতে দেয়।

Seccomp আপনার কাছে একটি স্যান্ডবক্স প্রযুক্তির মতো মনে হতে পারে, কিন্তু তা নয়। Seccomp হল একটি ইউটিলিটি যা ব্যবহারকারীদের একটি স্যান্ডবক্স প্রক্রিয়া বিকাশ করতে দেয়। এখন দেখা যাক Seccomp সিস্টেম কলের মাধ্যমে সরাসরি বলা ফিল্টার ব্যবহার করে কিভাবে ব্যবহারকারীর ইন্টারঅ্যাকশন প্রোগ্রাম তৈরি করা হয়।

BPF Seccomp ফিল্টার উদাহরণ

এখানে আমরা দেখাব কিভাবে আগে আলোচনা করা দুটি ক্রিয়াকে একত্রিত করা যায়, যথা:

— আমরা একটি Seccomp BPF প্রোগ্রাম লিখব, যা নেওয়া সিদ্ধান্তের উপর নির্ভর করে বিভিন্ন রিটার্ন কোড সহ একটি ফিল্টার হিসাবে ব্যবহার করা হবে;

— prctl ব্যবহার করে ফিল্টার লোড করুন।

প্রথমে আপনার স্ট্যান্ডার্ড লাইব্রেরি এবং লিনাক্স কার্নেল থেকে হেডার দরকার:

#include <errno.h>
#include <linux/audit.h>
#include <linux/bpf.h>
#include <linux/filter.h>
#include <linux/seccomp.h>
#include <linux/unistd.h>
#include <stddef.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/prctl.h>
#include <unistd.h>

এই উদাহরণের চেষ্টা করার আগে, আমাদের অবশ্যই নিশ্চিত করতে হবে যে কার্নেলটি CONFIG_SECCOMP এবং CONFIG_SECCOMP_FILTER y তে সেট করা হয়েছে। একটি ওয়ার্কিং মেশিনে আপনি এইভাবে এটি পরীক্ষা করতে পারেন:

cat /proc/config.gz| zcat | grep -i CONFIG_SECCOMP

বাকি কোডটি একটি দুই-অংশের install_filter ফাংশন। প্রথম অংশে আমাদের BPF ফিল্টারিং নির্দেশাবলীর তালিকা রয়েছে:

static int install_filter(int nr, int arch, int error) {
  struct sock_filter filter[] = {
    BPF_STMT(BPF_LD + BPF_W + BPF_ABS, (offsetof(struct seccomp_data, arch))),
    BPF_JUMP(BPF_JMP + BPF_JEQ + BPF_K, arch, 0, 3),
    BPF_STMT(BPF_LD + BPF_W + BPF_ABS, (offsetof(struct seccomp_data, nr))),
    BPF_JUMP(BPF_JMP + BPF_JEQ + BPF_K, nr, 0, 1),
    BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_ERRNO | (error & SECCOMP_RET_DATA)),
    BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_ALLOW),
  };

নির্দেশাবলী linux/filter.h ফাইলে সংজ্ঞায়িত BPF_STMT এবং BPF_JUMP ম্যাক্রো ব্যবহার করে সেট করা হয়েছে।
এর নির্দেশাবলী মাধ্যমে যান.

- BPF_STMT(BPF_LD + BPF_W + BPF_ABS (offsetof(struct seccomp_data, arch))) - সিস্টেম BPF_LD থেকে BPF_W শব্দের আকারে লোড হয় এবং জমা হয়, প্যাকেট ডেটা একটি নির্দিষ্ট অফসেটে BPF_ABS অবস্থিত।

- BPF_JUMP(BPF_JMP + BPF_JEQ + BPF_K, arch, 0, 3) - BPF_JEQ ব্যবহার করে পরীক্ষা করে যে BPF_K সঞ্চয়কারী ধ্রুবকের আর্কিটেকচার মান খিলানের সমান কিনা। যদি তাই হয়, পরবর্তী নির্দেশে অফসেট 0 এ লাফ দেয়, অন্যথায় খিলান মেলে না বলে একটি ত্রুটি ছুঁড়তে (এই ক্ষেত্রে) অফসেট 3 এ লাফ দেয়।

- BPF_STMT(BPF_LD + BPF_W + BPF_ABS (offsetof(struct seccomp_data, nr))) - BPF_LD থেকে BPF_W শব্দের আকারে লোড হয় এবং জমা হয়, যা BPF_ABS-এর নির্দিষ্ট অফসেটে থাকা সিস্টেম কল নম্বর।

— BPF_JUMP(BPF_JMP + BPF_JEQ + BPF_K, nr, 0, 1) — nr ভেরিয়েবলের মানের সাথে সিস্টেম কল নম্বরের তুলনা করে। যদি তারা সমান হয়, পরবর্তী নির্দেশে চলে যায় এবং সিস্টেম কল নিষ্ক্রিয় করে, অন্যথায় SECOMP_RET_ALLOW এর সাথে সিস্টেম কলের অনুমতি দেয়।

- BPF_STMT(BPF_RET + BPF_K, SECOMP_RET_ERRNO | (ত্রুটি & SECCOMP_RET_DATA)) - BPF_RET দিয়ে প্রোগ্রামটি বন্ধ করে এবং ফলস্বরূপ ত্রুটি ভেরিয়েবলের নম্বর সহ একটি ত্রুটি SECOMP_RET_ERRNO তৈরি করে।

- BPF_STMT(BPF_RET + BPF_K, SECOMP_RET_ALLOW) - BPF_RET দিয়ে প্রোগ্রামটি বন্ধ করে দেয় এবং SECCOMP_RET_ALLOW ব্যবহার করে সিস্টেম কল চালানোর অনুমতি দেয়।

SECOMP হল CBPF
আপনি হয়তো ভাবছেন যে কেন একটি কম্পাইল করা ELF অবজেক্ট বা একটি JIT কম্পাইল করা C প্রোগ্রামের পরিবর্তে নির্দেশের একটি তালিকা ব্যবহার করা হয়।

এই জন্য দুটি কারণ আছে।

• প্রথমত, Seccomp cBPF (ক্লাসিক BPF) ব্যবহার করে এবং eBPF ব্যবহার করে না, যার মানে: এটির কোনো রেজিস্টার নেই, কিন্তু শেষ গণনার ফলাফল সংরক্ষণ করার জন্য শুধুমাত্র একটি সঞ্চয়কারী, যেমনটি উদাহরণে দেখা যায়।

• দ্বিতীয়ত, Seccomp সরাসরি BPF নির্দেশাবলীর একটি অ্যারেতে একটি পয়েন্টার গ্রহণ করে এবং অন্য কিছু নয়। আমরা যে ম্যাক্রোগুলি ব্যবহার করেছি তা এই নির্দেশাবলীকে প্রোগ্রামার-বান্ধব উপায়ে নির্দিষ্ট করতে সাহায্য করে।

আপনার যদি এই সমাবেশটি বোঝার জন্য আরও সাহায্যের প্রয়োজন হয় তবে সিউডোকোডটি বিবেচনা করুন যা একই জিনিস করে:

if (arch != AUDIT_ARCH_X86_64) {
    return SECCOMP_RET_ALLOW;
}
if (nr == __NR_write) {
    return SECCOMP_RET_ERRNO;
}
return SECCOMP_RET_ALLOW;

সকেট_ফিল্টার কাঠামোতে ফিল্টার কোড সংজ্ঞায়িত করার পরে, আপনাকে কোড এবং ফিল্টারের গণনাকৃত দৈর্ঘ্য সহ একটি sock_fprog সংজ্ঞায়িত করতে হবে। এই ডেটা স্ট্রাকচারটি পরে চালানোর প্রক্রিয়া ঘোষণা করার জন্য একটি যুক্তি হিসাবে প্রয়োজন:

struct sock_fprog prog = {
   .len = (unsigned short)(sizeof(filter) / sizeof(filter[0])),
   .filter = filter,
};

install_filter ফাংশনে শুধুমাত্র একটি জিনিস বাকি আছে - প্রোগ্রামটি নিজেই লোড করুন! এটি করার জন্য, আমরা prctl ব্যবহার করি, নিরাপদ কম্পিউটিং মোডে প্রবেশ করার বিকল্প হিসাবে PR_SET_SECCOMP গ্রহণ করি। তারপরে আমরা মোডটিকে SECOMP_MODE_FILTER ব্যবহার করে ফিল্টারটি লোড করতে বলি, যা sock_fprog টাইপের প্রোগ ভেরিয়েবলে রয়েছে:

  if (prctl(PR_SET_SECCOMP, SECCOMP_MODE_FILTER, &prog)) {
    perror("prctl(PR_SET_SECCOMP)");
    return 1;
  }
  return 0;
}

অবশেষে, আমরা আমাদের install_filter ফাংশন ব্যবহার করতে পারি, কিন্তু তার আগে আমাদের বর্তমান কার্য সম্পাদনের জন্য PR_SET_NO_NEW_PRIVS সেট করতে prctl ব্যবহার করতে হবে এবং এর ফলে এমন পরিস্থিতি এড়াতে হবে যেখানে শিশু প্রক্রিয়াগুলি তাদের পিতামাতার চেয়ে বেশি সুবিধা পায়। এটির মাধ্যমে, আমরা রুট অধিকার ছাড়াই install_filter ফাংশনে নিম্নলিখিত prctl কল করতে পারি।

এখন আমরা install_filter ফাংশন কল করতে পারি। আসুন X86-64 আর্কিটেকচারের সাথে সম্পর্কিত সমস্ত লিখিত সিস্টেম কলগুলিকে ব্লক করি এবং কেবল একটি অনুমতি দিন যা সমস্ত প্রচেষ্টাকে ব্লক করে। ফিল্টার ইনস্টল করার পরে, আমরা প্রথম আর্গুমেন্ট ব্যবহার করে সঞ্চালন চালিয়ে যাই:

int main(int argc, char const *argv[]) {
  if (prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0)) {
   perror("prctl(NO_NEW_PRIVS)");
   return 1;
  }
   install_filter(__NR_write, AUDIT_ARCH_X86_64, EPERM);
  return system(argv[1]);
 }

চল শুরু করি. আমাদের প্রোগ্রাম কম্পাইল করার জন্য আমরা clang বা gcc ব্যবহার করতে পারি, যেকোনও উপায়ে এটি শুধুমাত্র main.c ফাইলটি বিশেষ বিকল্প ছাড়াই কম্পাইল করছে:

clang main.c -o filter-write

যেমন উল্লেখ করা হয়েছে, আমরা প্রোগ্রামের সমস্ত এন্ট্রি ব্লক করেছি। এটি পরীক্ষা করার জন্য আপনার এমন একটি প্রোগ্রাম দরকার যা কিছু আউটপুট করে - ls একটি ভাল প্রার্থীর মতো মনে হয়। তিনি সাধারণত এইভাবে আচরণ করেন:

ls -la
total 36
drwxr-xr-x 2 fntlnz users 4096 Apr 28 21:09 .
drwxr-xr-x 4 fntlnz users 4096 Apr 26 13:01 ..
-rwxr-xr-x 1 fntlnz users 16800 Apr 28 21:09 filter-write
-rw-r--r-- 1 fntlnz users 19 Apr 28 21:09 .gitignore
-rw-r--r-- 1 fntlnz users 1282 Apr 28 21:08 main.c

বিস্ময়কর! আমাদের র‍্যাপার প্রোগ্রাম ব্যবহার করে দেখতে কেমন লাগে তা এখানে: আমরা প্রথম আর্গুমেন্ট হিসাবে যে প্রোগ্রামটি পরীক্ষা করতে চাই তা আমরা কেবল পাস করি:

./filter-write "ls -la"

যখন কার্যকর করা হয়, এই প্রোগ্রামটি সম্পূর্ণ খালি আউটপুট তৈরি করে। যাইহোক, আমরা কী ঘটছে তা দেখতে স্ট্রেস ব্যবহার করতে পারি:

strace -f ./filter-write "ls -la"

কাজের ফলাফলটি ব্যাপকভাবে সংক্ষিপ্ত করা হয়েছে, তবে এর সংশ্লিষ্ট অংশটি দেখায় যে রেকর্ডগুলি EPERM ত্রুটির সাথে ব্লক করা হয়েছে - একইটি যা আমরা কনফিগার করেছি৷ এর মানে হল যে প্রোগ্রামটি কিছু আউটপুট করে না কারণ এটি রাইট সিস্টেম কল অ্যাক্সেস করতে পারে না:

[pid 25099] write(2, "ls: ", 4) = -1 EPERM (Operation not permitted)
[pid 25099] write(2, "write error", 11) = -1 EPERM (Operation not permitted)
[pid 25099] write(2, "n", 1) = -1 EPERM (Operation not permitted)

এখন আপনি Seccomp BPF কীভাবে কাজ করে তা বুঝতে পেরেছেন এবং আপনি এটি দিয়ে কী করতে পারেন সে সম্পর্কে ভাল ধারণা রয়েছে। কিন্তু আপনি কি cBPF এর পরিবর্তে eBPF এর পূর্ণ শক্তি ব্যবহার করার জন্য একই জিনিস অর্জন করতে চান না?

eBPF প্রোগ্রামগুলি সম্পর্কে চিন্তা করার সময়, বেশিরভাগ লোকেরা মনে করে যে তারা কেবল সেগুলি লিখে এবং প্রশাসকের বিশেষাধিকার দিয়ে লোড করে। যদিও এই বিবৃতিটি সাধারণত সত্য হয়, কার্নেল বিভিন্ন স্তরে eBPF বস্তুগুলিকে রক্ষা করার জন্য একটি সেট প্রক্রিয়া প্রয়োগ করে। এই প্রক্রিয়াগুলিকে BPF LSM ফাঁদ বলা হয়।

BPF LSM ফাঁদ

সিস্টেম ইভেন্টগুলির আর্কিটেকচার-স্বাধীন পর্যবেক্ষণ প্রদানের জন্য, LSM ফাঁদের ধারণা বাস্তবায়ন করে। একটি হুক কল প্রযুক্তিগতভাবে একটি সিস্টেম কলের মতো, তবে সিস্টেম স্বাধীন এবং অবকাঠামোর সাথে একত্রিত। LSM একটি নতুন ধারণা প্রদান করে যেখানে একটি বিমূর্ত স্তর বিভিন্ন আর্কিটেকচারে সিস্টেম কলগুলির সাথে কাজ করার সময় সম্মুখীন হওয়া সমস্যাগুলি এড়াতে সাহায্য করতে পারে।

লেখার সময়, কার্নেলের সাতটি হুক BPF প্রোগ্রামের সাথে যুক্ত, এবং SELinux হল একমাত্র অন্তর্নির্মিত LSM যেটি তাদের বাস্তবায়ন করে।

ফাঁদের জন্য সোর্স কোড অন্তর্ভুক্ত/linux/security.h ফাইলের কার্নেল ট্রিতে অবস্থিত:

extern int security_bpf(int cmd, union bpf_attr *attr, unsigned int size);
extern int security_bpf_map(struct bpf_map *map, fmode_t fmode);
extern int security_bpf_prog(struct bpf_prog *prog);
extern int security_bpf_map_alloc(struct bpf_map *map);
extern void security_bpf_map_free(struct bpf_map *map);
extern int security_bpf_prog_alloc(struct bpf_prog_aux *aux);
extern void security_bpf_prog_free(struct bpf_prog_aux *aux);

তাদের প্রত্যেককে কার্যকর করার বিভিন্ন পর্যায়ে ডাকা হবে:

— security_bpf — নির্বাহিত BPF সিস্টেম কলগুলির একটি প্রাথমিক পরীক্ষা করে;

- security_bpf_map - চেক করে যখন কার্নেল মানচিত্রের জন্য একটি ফাইল বর্ণনাকারী প্রদান করে;

- security_bpf_prog - কখন কার্নেল eBPF প্রোগ্রামের জন্য একটি ফাইল বর্ণনাকারী ফেরত দেয় তা পরীক্ষা করে;

— security_bpf_map_alloc — BPF মানচিত্রের মধ্যে নিরাপত্তা ক্ষেত্রটি আরম্ভ করা হয়েছে কিনা তা পরীক্ষা করে;

- security_bpf_map_free - BPF মানচিত্রের ভিতরে নিরাপত্তা ক্ষেত্রটি সাফ করা হয়েছে কিনা তা পরীক্ষা করে;

— security_bpf_prog_alloc — BPF প্রোগ্রামের ভিতরে সিকিউরিটি ফিল্ড আরম্ভ করা হয়েছে কিনা তা পরীক্ষা করে;

- security_bpf_prog_free - BPF প্রোগ্রামের ভিতরে নিরাপত্তা ক্ষেত্রটি সাফ করা হয়েছে কিনা তা পরীক্ষা করে।

এখন, এই সব দেখে, আমরা বুঝতে পারি: LSM BPF ইন্টারসেপ্টরগুলির পিছনে ধারণা হল যে তারা প্রতিটি eBPF অবজেক্টকে সুরক্ষা প্রদান করতে পারে, এটি নিশ্চিত করে যে শুধুমাত্র উপযুক্ত সুযোগ-সুবিধা আছে যারা কার্ড এবং প্রোগ্রামগুলিতে অপারেশন করতে পারে।

সারাংশ

নিরাপত্তা এমন কিছু নয় যা আপনি রক্ষা করতে চান এমন সবকিছুর জন্য আপনি এক-আকারে-সমস্ত উপায়ে প্রয়োগ করতে পারেন। বিভিন্ন স্তরে এবং বিভিন্ন উপায়ে সিস্টেমগুলিকে রক্ষা করতে সক্ষম হওয়া গুরুত্বপূর্ণ। বিশ্বাস করুন বা না করুন, একটি সিস্টেমকে সুরক্ষিত করার সর্বোত্তম উপায় হল বিভিন্ন অবস্থান থেকে বিভিন্ন স্তরের সুরক্ষা সংগঠিত করা, যাতে একটি স্তরের সুরক্ষা হ্রাস করা পুরো সিস্টেমে অ্যাক্সেসের অনুমতি দেয় না। মূল বিকাশকারীরা আমাদের বিভিন্ন স্তর এবং টাচপয়েন্টের একটি সেট দেওয়ার একটি দুর্দান্ত কাজ করেছে। আমরা আশা করি যে স্তরগুলি কী এবং তাদের সাথে কাজ করার জন্য BPF প্রোগ্রামগুলি কীভাবে ব্যবহার করতে হয় সে সম্পর্কে আমরা আপনাকে একটি ভাল ধারণা দিয়েছি।

লেখক সম্পর্কে

ডেভিড ক্যালাভেরা Netlify-এর CTO। তিনি ডকার সমর্থনে কাজ করেছেন এবং Runc, Go এবং BCC সরঞ্জামগুলির পাশাপাশি অন্যান্য ওপেন সোর্স প্রকল্পগুলির উন্নয়নে অবদান রেখেছেন। ডকার প্রকল্প এবং ডকার প্লাগইন ইকোসিস্টেমের উন্নয়নে তার কাজের জন্য পরিচিত। ডেভিড শিখা গ্রাফ সম্পর্কে খুব উত্সাহী এবং সর্বদা কর্মক্ষমতা অপ্টিমাইজ করতে খুঁজছেন.

লরেঞ্জো ফন্টানা Sysdig-এ ওপেন সোর্স টিমে কাজ করেন, যেখানে তিনি প্রাথমিকভাবে Falco-এ ফোকাস করেন, একটি ক্লাউড নেটিভ কম্পিউটিং ফাউন্ডেশন প্রকল্প যা একটি কার্নেল মডিউল এবং eBPF এর মাধ্যমে কনটেইনার রানটাইম নিরাপত্তা এবং অসঙ্গতি সনাক্তকরণ প্রদান করে। তিনি বিতরণ করা সিস্টেম, সফ্টওয়্যার সংজ্ঞায়িত নেটওয়ার্কিং, লিনাক্স কার্নেল এবং কর্মক্ষমতা বিশ্লেষণ সম্পর্কে উত্সাহী।

» বইটি সম্পর্কে আরও বিস্তারিত এখানে পাওয়া যাবে প্রকাশকের ওয়েবসাইট
» বিষয়বস্তু সূচি
» উদ্ধৃতি

Khabrozhiteley জন্য কুপন ব্যবহার করে 25% ছাড় - লিনাক্স

বইটির কাগজের সংস্করণের অর্থ প্রদানের পরে, একটি ইলেকট্রনিক বই ই-মেইলে পাঠানো হবে।

উত্স: www.habr.com

"লিনাক্স মনিটরিংয়ের জন্য BPF" বুক করুন