🥇BPF pašiem mazākajiem, nulles daļa: klasiskais BPF

Berkeley Packet Filters (BPF) ir Linux kodola tehnoloģija, kas jau vairākus gadus atrodas angļu valodas tehnoloģiju publikāciju pirmajās lapās. Konferences ir piepildītas ar ziņojumiem par BPF izmantošanu un attīstību. Deivids Millers, Linux tīkla apakšsistēmas uzturētājs, sauc savu runu vietnē Linux Plumbers 2018 "Šī runa nav par XDP" (XDP ir viens BPF lietošanas gadījums). Brendans Gregs uzstājas ar sarunām Linux BPF lielvaras. Toke Høiland-Jørgensen smejaska kodols tagad ir mikrokodolu. Tomass Grafs popularizē ideju, ka BPF ir javascript kodolam.

Joprojām nav sistemātiska BPF apraksta par Habré, un tāpēc rakstu sērijā es mēģināšu runāt par tehnoloģijas vēsturi, aprakstīt arhitektūru un izstrādes rīkus, kā arī ieskicēt BPF izmantošanas un prakses jomas. Šis sērijas raksts, nulle, stāsta par klasiskā BPF vēsturi un arhitektūru, kā arī atklāj tā darbības principu noslēpumus. tcpdump, seccomp, strace, un daudz vairāk.

BPF izstrādi kontrolē Linux tīkla kopiena, galvenās esošās BPF lietojumprogrammas ir saistītas ar tīkliem un tāpēc ar atļauju @eukariots, seriālu nosaucu par “BPF mazajiem”, par godu lieliskajam seriālam "Tīkli mazajiem".

Īss kurss BPF vēsturē (c)

Mūsdienu BPF tehnoloģija ir uzlabota un paplašināta vecās tehnoloģijas versija ar tādu pašu nosaukumu, ko tagad sauc par klasisko BPF, lai izvairītos no neskaidrībām. Pamatojoties uz klasisko BPF, tika izveidota labi zināma utilīta tcpdump, mehānisms seccomp, kā arī mazāk zināmiem moduļiem xt_bpf par iptables un klasifikators cls_bpf. Mūsdienu Linux klasiskās BPF programmas tiek automātiski pārtulkotas jaunajā formā, tomēr no lietotāja viedokļa API ir palikusi vietā un joprojām tiek atrasti jauni klasiskā BPF lietojumi, kā redzēsim šajā rakstā. Šī iemesla dēļ, kā arī tāpēc, ka, sekojot līdzi klasiskā BPF attīstības vēsturei operētājsistēmā Linux, kļūs skaidrāks, kā un kāpēc tas attīstījās savā modernajā formā, es nolēmu sākt ar rakstu par klasisko BPF.

Pagājušā gadsimta astoņdesmito gadu beigās inženieri no slavenās Lorensa Bērklija laboratorijas sāka interesēties par jautājumu, kā pareizi filtrēt tīkla paketes aparatūrā, kas bija moderna pagājušā gadsimta astoņdesmito gadu beigās. Filtrēšanas pamatideja, kas sākotnēji tika ieviesta CSPF (CMU/Stanford Packet Filter) tehnoloģijā, bija pēc iespējas agrāk filtrēt nevajadzīgās paketes, t.i. kodola telpā, jo tas ļauj izvairīties no nevajadzīgu datu kopēšanas lietotāja telpā. Lai nodrošinātu izpildlaika drošību lietotāja koda palaišanai kodola telpā, tika izmantota smilškastes virtuālā mašīna.

Tomēr esošo filtru virtuālās mašīnas bija paredzētas darbam ar steku balstītām iekārtām, un tās nedarbojās tik efektīvi jaunākās RISC iekārtās. Rezultātā ar Berkeley Labs inženieru pūlēm tika izstrādāta jauna BPF (Berkeley Packet Filters) tehnoloģija, kuras virtuālās mašīnas arhitektūra tika izstrādāta, pamatojoties uz Motorola 6502 procesoru - tādu pazīstamu produktu kā darba zirgu. Apple II vai NES. Jaunā virtuālā mašīna, salīdzinot ar esošajiem risinājumiem, palielināja filtra veiktspēju desmitiem reižu.

BPF mašīnu arhitektūra

Darbā iepazīsimies ar arhitektūru, analizējot piemērus. Tomēr, lai sāktu, pieņemsim, ka iekārtai bija divi lietotājam pieejami 32 bitu reģistri, akumulators. A un indeksu reģistrs X, 64 baiti atmiņa (16 vārdi), kas pieejama rakstīšanai un turpmākai lasīšanai, un neliela komandu sistēma darbam ar šiem objektiem. Programmās bija pieejami arī lēcienu norādījumi nosacīto izteiksmju ieviešanai, taču, lai garantētu programmas savlaicīgu izpildi, lēcienus varēja veikt tikai uz priekšu, t.i., konkrēti, bija aizliegts veidot cilpas.

Vispārējā mašīnas iedarbināšanas shēma ir šāda. Lietotājs izveido programmu BPF arhitektūrai un, izmantojot daži kodola mehānisms (piemēram, sistēmas izsaukums), ielādē programmu un savieno ar to dažiem notikumu ģeneratoram kodolā (piemēram, notikums ir nākamās paketes ienākšana tīkla kartē). Kad notiek notikums, kodols palaiž programmu (piemēram, tulkā), un mašīnas atmiņa atbilst dažiem kodola atmiņas apgabals (piemēram, ienākošās paketes dati).

Lai sāktu aplūkot piemērus, pietiks ar iepriekšminēto: pēc nepieciešamības iepazīsimies ar sistēmu un komandu formātu. Ja vēlaties nekavējoties izpētīt virtuālās mašīnas komandu sistēmu un uzzināt par visām tās iespējām, varat izlasīt oriģinālo rakstu BSD pakešu filtrs un/vai faila pirmo pusi Dokumentācija/tīkls/filter.txt no kodola dokumentācijas. Turklāt jūs varat izpētīt prezentāciju libpcap: Arhitektūras un optimizācijas metodika pakešu uztveršanai, kurā Makkens, viens no BPF autoriem, stāsta par radīšanas vēsturi libpcap.

Tagad mēs turpinām apsvērt visus nozīmīgos piemērus klasiskā BPF izmantošanai operētājsistēmā Linux: tcpdump (libpcap), seccomp, xt_bpf, cls_bpf.

tcpdump

BPF izstrāde tika veikta paralēli pakešu filtrēšanas priekšgala izstrādei - plaši pazīstamai utilītai. tcpdump. Un, tā kā šis ir vecākais un slavenākais klasiskā BPF izmantošanas piemērs, kas pieejams daudzās operētājsistēmās, mēs sāksim ar to tehnoloģiju izpēti.

(Es izmantoju visus šajā rakstā minētos piemērus operētājsistēmā Linux 5.6.0-rc6. Dažu komandu izvade ir rediģēta, lai nodrošinātu labāku lasāmību.)

Piemērs: IPv6 pakešu novērošana

Iedomāsimies, ka mēs vēlamies apskatīt visas IPv6 paketes interfeisā eth0. Lai to izdarītu, mēs varam palaist programmu tcpdump ar vienkāršu filtru ip6:

$ sudo tcpdump -i eth0 ip6

Šajā gadījumā, tcpdump apkopo filtru ip6 BPF arhitektūras baitkodā un nosūtiet to kodolam (skatiet sīkāku informāciju sadaļā Tcpdump: tiek ielādēts). Ielādētais filtrs tiks palaists katrai paketei, kas iet caur saskarni eth0. Ja filtrs atgriež vērtību, kas nav nulle n, tad līdz n paketes baiti tiks kopēti lietotāja telpā, un mēs to redzēsim izvadē tcpdump.

Izrādās, ka mēs varam viegli noskaidrot, kurš baitkods tika nosūtīts kodolam tcpdump ar palīdzību tcpdump, ja mēs to palaižam ar opciju -d:

$ sudo tcpdump -i eth0 -d ip6
(000) ldh      [12]
(001) jeq      #0x86dd          jt 2    jf 3
(002) ret      #262144
(003) ret      #0

Nulles rindā mēs izpildām komandu ldh [12], kas apzīmē “ielādēt reģistrā A puse vārda (16 biti), kas atrodas adresē 12”, un jautājums ir tikai par to, kāda veida atmiņu mēs adresējam? Atbilde ir tāda, ka plkst x sākas (x+1)analizētās tīkla paketes baits. Mēs lasām paketes no Ethernet interfeisa eth0un tas nozīmēka pakete izskatās šādi (vienkāršības labad mēs pieņemam, ka paketē nav VLAN tagu):

       6              6          2
|Destination MAC|Source MAC|Ether Type|...|

Tātad pēc komandas izpildīšanas ldh [12] reģistrā A būs lauks Ether Type — šajā Ethernet kadrā pārsūtītās paketes veids. 1. rindā mēs salīdzinām reģistra saturu A (iepakojuma veids) c 0x86ddun tas un tur ir Mūs interesējošs veids ir IPv6. 1. rindā papildus salīdzināšanas komandai ir vēl divas kolonnas - jt 2 и jf 3 — atzīmes, uz kurām jāiet, ja salīdzinājums ir veiksmīgs (A == 0x86dd) un neveiksmīgi. Tātad veiksmīgā gadījumā (IPv6) mēs ejam uz 2. rindu, bet neveiksmīgā gadījumā - uz 3. rindu. 3. rindā programma beidzas ar kodu 0 (nekopēt paketi), 2. rindā programma beidzas ar kodu. 262144 (kopējiet man maksimāli 256 kilobaitu paketi).

Sarežģītāks piemērs: mēs apskatām TCP paketes pēc mērķa porta

Apskatīsim, kā izskatās filtrs, kas kopē visas TCP paketes ar mērķa portu 666. Mēs apsvērsim IPv4 gadījumu, jo IPv6 gadījums ir vienkāršāks. Pēc šī piemēra izpētes varat pats izpētīt IPv6 filtru kā vingrinājumu (ip6 and tcp dst port 666) un filtrs vispārējam gadījumam (tcp dst port 666). Tātad mūs interesējošais filtrs izskatās šādi:

$ sudo tcpdump -i eth0 -d ip and tcp dst port 666
(000) ldh      [12]
(001) jeq      #0x800           jt 2    jf 10
(002) ldb      [23]
(003) jeq      #0x6             jt 4    jf 10
(004) ldh      [20]
(005) jset     #0x1fff          jt 10   jf 6
(006) ldxb     4*([14]&0xf)
(007) ldh      [x + 16]
(008) jeq      #0x29a           jt 9    jf 10
(009) ret      #262144
(010) ret      #0

Mēs jau zinām, ko dara rindas 0 un 1. 2. rindā mēs jau esam pārbaudījuši, vai šī ir IPv4 pakete (ētera tips = 0x800) un ielādējiet to reģistrā A 24. paketes baits. Mūsu iepakojums izskatās

       14            8      1     1
|ethernet header|ip fields|ttl|protocol|...|

kas nozīmē, ka mēs ielādējam reģistrā A IP galvenes lauks Protocol, kas ir loģiski, jo mēs vēlamies kopēt tikai TCP paketes. Mēs salīdzinām protokolu ar 0x6 (IPPROTO_TCP) 3. rindā.

4. un 5. rindā mēs ielādējam pusvārdus, kas atrodas adresē 20, un izmantojam komandu jset pārbaudiet, vai ir iestatīts kāds no trim karogi - izsniegtās maskas nēsāšana jset tiek notīrīti trīs nozīmīgākie biti. Divi no trim bitiem norāda, vai pakete ir daļa no sadrumstalotas IP paketes, un, ja tā, vai tā ir pēdējais fragments. Trešais bits ir rezervēts, un tam jābūt nullei. Mēs nevēlamies pārbaudīt ne nepilnīgas, ne bojātas paketes, tāpēc mēs pārbaudām visus trīs bitus.

6. rinda ir visinteresantākā šajā sarakstā. Izteiksme ldxb 4*([14]&0xf) nozīmē, ka mēs ielādējam reģistrā X vismazāk nozīmīgie četri paketes piecpadsmitā baita biti, kas reizināti ar 4. Piecpadsmitā baita vismazāk nozīmīgie četri biti ir lauks Interneta galvenes garums IPv4 galvene, kas saglabā galvenes garumu vārdos, tāpēc jums pēc tam jāreizina ar 4. Interesanti, ka izteiksme 4*([14]&0xf) ir apzīmējums īpašai adresācijas shēmai, ko var izmantot tikai šajā formā un tikai reģistram X, t.i. mēs arī nevaram teikt ldb 4*([14]&0xf) nedz ldxb 5*([14]&0xf) (mēs varam norādīt tikai citu nobīdi, piemēram, ldxb 4*([16]&0xf)). Skaidrs, ka šī adresācijas shēma tika pievienota BPF tieši tāpēc, lai saņemtu X (indeksa reģistrs) IPv4 galvenes garums.

Tātad 7. rindā mēs cenšamies ielādēt pusi vārda plkst (X+16). Atceroties, ka 14 baitus aizņem Ethernet galvene, un X satur IPv4 galvenes garumu, mēs to saprotam A TCP mērķa ports ir ielādēts:

       14           X           2             2
|ethernet header|ip header|source port|destination port|

Visbeidzot, 8. rindā mēs salīdzinām galamērķa portu ar vēlamo vērtību un 9. vai 10. rindā atgriežam rezultātu - vai kopēt paketi vai nē.

Tcpdump: tiek ielādēts

Iepriekšējos piemēros mēs īpaši nerunājām par to, kā tieši mēs ielādējam BPF baitu kodu kodolā pakešu filtrēšanai. Vispārīgi runājot, tcpdump pārnests uz daudzām sistēmām un darbam ar filtriem tcpdump izmanto bibliotēku libpcap. Īsumā, lai ievietotu filtru saskarnē, izmantojot libpcap, jums jāveic šādas darbības:

izveidot tipa deskriptoru pcap_t no saskarnes nosaukuma: pcap_create,
aktivizēt interfeisu: pcap_activate,
kompilācijas filtrs: pcap_compile,
pievienojiet filtru: pcap_setfilter.

Lai redzētu, kā darbojas pcap_setfilter ieviests operētājsistēmā Linux, mēs izmantojam strace (dažas rindas ir noņemtas):

$ sudo strace -f -e trace=%network tcpdump -p -i eth0 ip
socket(AF_PACKET, SOCK_RAW, 768)        = 3
bind(3, {sa_family=AF_PACKET, sll_protocol=htons(ETH_P_ALL), sll_ifindex=if_nametoindex("eth0"), sll_hatype=ARPHRD_NETROM, sll_pkttype=PACKET_HOST, sll_halen=0}, 20) = 0
setsockopt(3, SOL_SOCKET, SO_ATTACH_FILTER, {len=4, filter=0xb00bb00bb00b}, 16) = 0
...

Pirmajās divās izvades rindās mēs izveidojam neapstrādāta ligzda lai nolasītu visus Ethernet kadrus un saistītu to ar interfeisu eth0. no mūsu pirmais piemērs mēs zinām, ka filtrs ip sastāvēs no četrām BPF instrukcijām, un trešajā rindā mēs redzam, kā izmantot šo opciju SO_ATTACH_FILTER sistēmas zvans setsockopt mēs ielādējam un pievienojam filtru ar garumu 4. Šis ir mūsu filtrs.

Ir vērts atzīmēt, ka klasiskajā BPF filtra ielāde un pievienošana vienmēr notiek kā atomu darbība, un jaunajā BPF versijā programmas ielāde un piesaiste notikumu ģeneratoram tiek atdalīta laikā.

Slēptā Patiesība

Nedaudz pilnīgāka izvades versija izskatās šādi:

$ sudo strace -f -e trace=%network tcpdump -p -i eth0 ip
socket(AF_PACKET, SOCK_RAW, 768)        = 3
bind(3, {sa_family=AF_PACKET, sll_protocol=htons(ETH_P_ALL), sll_ifindex=if_nametoindex("eth0"), sll_hatype=ARPHRD_NETROM, sll_pkttype=PACKET_HOST, sll_halen=0}, 20) = 0
setsockopt(3, SOL_SOCKET, SO_ATTACH_FILTER, {len=1, filter=0xbeefbeefbeef}, 16) = 0
recvfrom(3, 0x7ffcad394257, 1, MSG_TRUNC, NULL, NULL) = -1 EAGAIN (Resource temporarily unavailable)
setsockopt(3, SOL_SOCKET, SO_ATTACH_FILTER, {len=4, filter=0xb00bb00bb00b}, 16) = 0
...

Kā minēts iepriekš, mēs ielādējam un pievienojam filtru 5. līnijas ligzdai, bet kas notiek 3. un 4. līnijā? Izrādās, ka šis libpcap rūpējas par mums - lai mūsu filtra izvadā nebūtu paketes, kas to neapmierina, bibliotēka savieno manekens filtrs ret #0 (atmest visas paketes), pārslēdz ligzdu uz nebloķēšanas režīmu un mēģina atņemt visas paketes, kas varētu palikt no iepriekšējiem filtriem.

Kopumā, lai filtrētu pakotnes operētājsistēmā Linux, izmantojot klasisko BPF, jums ir jābūt filtram tādas struktūras formā kā struct sock_fprog un atvērta ligzda, pēc kuras filtru var pievienot ligzdai, izmantojot sistēmas zvanu setsockopt.

Interesanti, ka filtru var piestiprināt pie jebkuras ligzdas, ne tikai neapstrādātā. Šeit piemērs programma, kas nogriež visus ienākošos UDP datagrammus, izņemot pirmos divus baitus. (Kodā pievienoju komentārus, lai nepārblīvētu rakstu.)

Sīkāka informācija par lietošanu setsockopt par filtru pievienošanu sk ligzda (7), bet gan par savu filtru rakstīšanu, piemēram struct sock_fprog bez palīdzības tcpdump parunāsim sadaļā BPF programmēšana ar savām rokām.

Klasiskais BPF un XNUMX. gs

BPF tika iekļauts Linux 1997. gadā un ilgu laiku ir bijis darba zirgs libpcap bez īpašām izmaiņām (protams, Linux specifiskas izmaiņas, Mēs bijām, taču tie nemainīja globālo ainu). Pirmās nopietnās pazīmes, ka BPF attīstīsies, parādījās 2011. gadā, kad Ēriks Dumazē ierosināja plāksteris, kas kodolam pievieno Just In Time Compiler — tulkotāju BPF baitkoda konvertēšanai uz vietējo. x86_64 kodu.

JIT kompilators bija pirmais pārmaiņu ķēdē: 2012. gadā parādījās spēja rakstīt filtrus seccomp, izmantojot BPF, 2013. gada janvārī bija piebilda modulis xt_bpf, kas ļauj rakstīt noteikumus priekš iptables ar BPF palīdzību, un 2013. gada oktobrī bija piebilda arī modulis cls_bpf, kas ļauj rakstīt trafika klasifikatorus, izmantojot BPF.

Drīzumā visus šos piemērus apskatīsim sīkāk, taču vispirms mums noderēs iemācīties rakstīt un kompilēt patvaļīgas programmas BPF, jo bibliotēkas nodrošinātās iespējas libpcap ierobežots (vienkāršs piemērs: izveidots filtrs libpcap var atgriezt tikai divas vērtības - 0 vai 0x40000) vai parasti, tāpat kā seccomp gadījumā, nav piemērojamas.

BPF programmēšana ar savām rokām

Iepazīsimies ar BPF instrukciju bināro formātu, tas ir ļoti vienkārši:

   16    8    8     32
| code | jt | jf |  k  |

Katra instrukcija aizņem 64 bitus, no kuriem pirmie 16 biti ir instrukcijas kods, tad ir divi astoņu bitu ievilkumi, jt и jf, un 32 biti argumentam K, kuras mērķis dažādās komandās ir atšķirīgs. Piemēram, komanda ret, kas pārtrauc programmu, ir kods 6, un atgriešanas vērtība tiek ņemta no konstantes K. C valodā viena BPF instrukcija tiek attēlota kā struktūra

struct sock_filter {
        __u16   code;
        __u8    jt;
        __u8    jf;
        __u32   k;
}

un visa programma ir struktūras formā

struct sock_fprog {
        unsigned short len;
        struct sock_filter *filter;
}

Tādējādi mēs jau varam rakstīt programmas (piemēram, mēs zinām instrukciju kodus no [1]). Šādi izskatīsies filtrs ip6 no mūsu pirmais piemērs:

struct sock_filter code[] = {
        { 0x28, 0, 0, 0x0000000c },
        { 0x15, 0, 1, 0x000086dd },
        { 0x06, 0, 0, 0x00040000 },
        { 0x06, 0, 0, 0x00000000 },
};
struct sock_fprog prog = {
        .len = ARRAY_SIZE(code),
        .filter = code,
};

programma prog mēs varam legāli izmantot zvanā

setsockopt(sk, SOL_SOCKET, SO_ATTACH_FILTER, &prog, sizeof(prog))

Programmu rakstīšana mašīnkodu veidā nav īpaši ērta, bet dažreiz tas ir nepieciešams (piemēram, atkļūdošanai, vienību testu izveidošanai, rakstu rakstīšanai par Habré utt.). Ērtības labad failā <linux/filter.h> palīgmakro ir definēti — to pašu piemēru kā iepriekš var pārrakstīt kā

struct sock_filter code[] = {
        BPF_STMT(BPF_LD|BPF_H|BPF_ABS, 12),
        BPF_JUMP(BPF_JMP|BPF_JEQ|BPF_K, ETH_P_IPV6, 0, 1),
        BPF_STMT(BPF_RET|BPF_K, 0x00040000),
        BPF_STMT(BPF_RET|BPF_K, 0),
}

Tomēr šī iespēja nav īpaši ērta. Tas ir tas, ko Linux kodola programmētāji argumentēja, un tāpēc direktorijā tools/bpf kodolos varat atrast montētāju un atkļūdotāju darbam ar klasisko BPF.

Montāžas valoda ir ļoti līdzīga atkļūdošanas izvadei tcpdump, bet papildus varam norādīt simboliskas etiķetes. Piemēram, šeit ir programma, kas atmet visas paketes, izņemot TCP/IPv4:

$ cat /tmp/tcp-over-ipv4.bpf
ldh [12]
jne #0x800, drop
ldb [23]
jneq #6, drop
ret #-1
drop: ret #0

Pēc noklusējuma montētājs ģenerē kodu šādā formātā <количество инструкций>,<code1> <jt1> <jf1> <k1>,..., mūsu piemēram ar TCP tā būs

$ tools/bpf/bpf_asm /tmp/tcp-over-ipv4.bpf
6,40 0 0 12,21 0 3 2048,48 0 0 23,21 0 1 6,6 0 0 4294967295,6 0 0 0,

C programmētāju ērtībām var izmantot citu izvades formātu:

$ tools/bpf/bpf_asm -c /tmp/tcp-over-ipv4.bpf
{ 0x28,  0,  0, 0x0000000c },
{ 0x15,  0,  3, 0x00000800 },
{ 0x30,  0,  0, 0x00000017 },
{ 0x15,  0,  1, 0x00000006 },
{ 0x06,  0,  0, 0xffffffff },
{ 0x06,  0,  0, 0000000000 },

Šo tekstu var iekopēt tipa struktūras definīcijā struct sock_filter, kā mēs to darījām šīs sadaļas sākumā.

Linux un netsniff-ng paplašinājumi

Papildus standarta BPF, Linux un tools/bpf/bpf_asm atbalsts un nestandarta komplekts. Būtībā instrukcijas tiek izmantotas, lai piekļūtu struktūras laukiem struct sk_buff, kas apraksta tīkla paketi kodolā. Tomēr ir arī cita veida palīga instrukcijas, piemēram ldw cpu tiks ielādēts reģistrā A kodola funkcijas palaišanas rezultāts raw_smp_processor_id(). (Jaunajā BPF versijā šie nestandarta paplašinājumi ir paplašināti, lai nodrošinātu programmām kodola palīgu komplektu piekļuvei atmiņai, struktūrām un notikumu ģenerēšanai.) Šeit ir interesants piemērs filtram, kurā mēs kopējam tikai pakešu galvenes lietotāja telpā, izmantojot paplašinājumu poff, lietderīgās slodzes nobīde:

ld poff
ret a

BPF paplašinājumus nevar izmantot tcpdump, taču tas ir labs iemesls, lai iepazītos ar utilītu paketi netsniff-ng, kurā, cita starpā, ir iekļauta uzlabota programma netsniff-ng, kas papildus filtrēšanai, izmantojot BPF, satur arī efektīvu trafika ģeneratoru un daudz modernāku nekā tools/bpf/bpf_asm, sauca BPF montētājs bpfc. Paketē ir diezgan detalizēta dokumentācija, skatiet arī saites raksta beigās.

seccomp

Tātad, mēs jau zinām, kā rakstīt patvaļīgas sarežģītības BPF programmas un esam gatavi aplūkot jaunus piemērus, no kuriem pirmais ir seccomp tehnoloģija, kas ļauj, izmantojot BPF filtrus, pārvaldīt pieejamo sistēmas izsaukuma argumentu kopu un kopu. dotais process un tā pēcteči.

Pirmā seccomp versija tika pievienota kodolam 2005. gadā un nebija īpaši populāra, jo tā nodrošināja tikai vienu iespēju — ierobežot procesam pieejamo sistēmas izsaukumu kopu līdz šādam: read, write, exit и sigreturn, un process, kurā tika pārkāpti noteikumi, tika nogalināts, izmantojot SIGKILL. Tomēr 2012. gadā seccomp pievienoja iespēju izmantot BPF filtrus, ļaujot definēt atļauto sistēmas izsaukumu kopu un pat veikt to argumentu pārbaudes. (Interesanti, ka Chrome bija viens no pirmajiem šīs funkcionalitātes lietotājiem, un Chrome lietotāji pašlaik izstrādā KRSI mehānismu, kura pamatā ir jauna BPF versija un kas ļauj pielāgot Linux drošības moduļus.) Saites uz papildu dokumentāciju var atrast beigās. no raksta.

Ņemiet vērā, ka centrmezglā jau ir bijuši raksti par seccomp lietošanu, iespējams, kāds tos vēlēsies izlasīt pirms (vai tā vietā), lai lasītu turpmākās apakšsadaļas. Rakstā Konteineri un drošība: seccomp sniedz seccomp izmantošanas piemērus, gan 2007. gada versiju, gan versiju, kas izmanto BPF (filtri tiek ģenerēti, izmantojot libseccomp), runā par seccomp savienojumu ar Docker, kā arī sniedz daudzas noderīgas saites. Rakstā Dēmonu izolēšana ar systemd vai “jums šim nav nepieciešams Docker!” Tas jo īpaši attiecas uz to, kā pievienot sistēmas zvanu melnos sarakstus vai baltos sarakstus dēmoniem, kuros darbojas systemd.

Tālāk mēs redzēsim, kā rakstīt un ielādēt filtrus seccomp tukšajā C valodā un izmantojot bibliotēku libseccomp un kādi ir katras opcijas plusi un mīnusi, un, visbeidzot, redzēsim, kā programma izmanto seccomp strace.

Seccomp rakstīšanas un ielādes filtri

Mēs jau zinām, kā rakstīt BPF programmas, tāpēc vispirms apskatīsim seccomp programmēšanas saskarni. Varat iestatīt filtru procesa līmenī, un visi pakārtotie procesi pārmantos ierobežojumus. Tas tiek darīts, izmantojot sistēmas zvanu seccomp(2):

seccomp(SECCOMP_SET_MODE_FILTER, flags, &filter)

kur &filter - šī ir norāde uz mums jau pazīstamu struktūru struct sock_fprog, t.i. BPF programma.

Kā programmas seccomp atšķiras no programmām ligzdām? Pārraidīts konteksts. Sockets gadījumā mums tika piešķirts atmiņas apgabals, kurā bija pakete, un seccomp gadījumā mums tika dota tāda struktūra kā

struct seccomp_data {
    int   nr;
    __u32 arch;
    __u64 instruction_pointer;
    __u64 args[6];
};

Šeit nr ir sistēmas izsaukuma numurs, kas jāuzsāk, arch - pašreizējā arhitektūra (vairāk par to zemāk), args - līdz sešiem sistēmas izsaukuma argumentiem un instruction_pointer ir rādītājs uz lietotāja telpas instrukciju, kas veica sistēmas izsaukumu. Tā, piemēram, lai ielādētu reģistrā sistēmas izsaukuma numuru A mums jāsaka

ldw [0]

Seccomp programmām ir arī citas funkcijas, piemēram, kontekstam var piekļūt tikai ar 32 bitu izlīdzināšanu, un jūs nevarat ielādēt pusi vārda vai baitu - mēģinot ielādēt filtru ldh [0] sistēmas zvans seccomp atgriezīsies EINVAL. Funkcija pārbauda ielādētos filtrus seccomp_check_filter() kodoli. (Smieklīgi ir tas, ka sākotnējā apņemšanā, kas pievienoja seccomp funkcionalitāti, viņi aizmirsa pievienot atļauju izmantot instrukciju šai funkcijai mod (sadalīšanas atlikums) un tagad nav pieejams seccomp BPF programmām kopš tā pievienošanas salūzīs ABI.)

Būtībā mēs jau zinām visu, lai rakstītu un lasītu seccomp programmas. Parasti programmas loģika tiek sakārtota kā balts vai melns sistēmas izsaukumu saraksts, piemēram, programma

ld [0]
jeq #304, bad
jeq #176, bad
jeq #239, bad
jeq #279, bad
good: ret #0x7fff0000 /* SECCOMP_RET_ALLOW */
bad: ret #0

pārbauda četru sistēmas zvanu melno sarakstu ar numuriem 304, 176, 239, 279. Kas ir šie sistēmas zvani? Mēs nevaram droši pateikt, jo mēs nezinām, kādai arhitektūrai programma tika rakstīta. Tāpēc seccomp autori piedāvājums sāciet visas programmas ar arhitektūras pārbaudi (pašreizējā arhitektūra kontekstā tiek norādīta kā lauks arch struktūras struct seccomp_data). Pārbaudot arhitektūru, piemēra sākums izskatītos šādi:

ld [4]
jne #0xc000003e, bad_arch ; SCMP_ARCH_X86_64

un tad mūsu sistēmas zvanu numuri iegūtu noteiktas vērtības.

Mēs rakstām un ielādējam filtrus seccomp lietošanai `libseccomp`

Filtru rakstīšana vietējā kodā vai BPF komplektācijā ļauj pilnībā kontrolēt rezultātu, taču tajā pašā laikā dažreiz ir vēlams izmantot pārnēsājamu un/vai lasāmu kodu. Bibliotēka mums palīdzēs šajā jautājumā libseccomp, kas nodrošina standarta saskarni melnu vai baltu filtru rakstīšanai.

Piemēram, uzrakstīsim programmu, kas palaiž bināro failu pēc lietotāja izvēles, iepriekš instalējot sistēmas zvanu melno sarakstu no iepriekš minētais raksts (programma ir vienkāršota labākai lasāmībai, var atrast pilno versiju šeit):

#include <seccomp.h>
#include <unistd.h>
#include <err.h>

static int sys_numbers[] = {
        __NR_mount,
        __NR_umount2,
       // ... еще 40 системных вызовов ...
        __NR_vmsplice,
        __NR_perf_event_open,
};

int main(int argc, char **argv)
{
        scmp_filter_ctx ctx = seccomp_init(SCMP_ACT_ALLOW);

        for (size_t i = 0; i < sizeof(sys_numbers)/sizeof(sys_numbers[0]); i++)
                seccomp_rule_add(ctx, SCMP_ACT_TRAP, sys_numbers[i], 0);

        seccomp_load(ctx);

        execvp(argv[1], &argv[1]);
        err(1, "execlp: %s", argv[1]);
}

Vispirms mēs definējam masīvu sys_numbers no 40+ sistēmas zvanu numuriem, ko bloķēt. Pēc tam inicializējiet kontekstu ctx un pastāstiet bibliotēkai, ko mēs vēlamies atļaut (SCMP_ACT_ALLOW) visi sistēmas zvani pēc noklusējuma (vieglāk ir izveidot melnos sarakstus). Pēc tam pa vienam pievienojam visus sistēmas zvanus no melnā saraksta. Atbildot uz sistēmas zvanu no saraksta, mēs pieprasām SCMP_ACT_TRAP, šajā gadījumā seccomp nosūtīs signālu procesam SIGSYS ar aprakstu, kura sistēmas izsaukumā tika pārkāpti noteikumi. Visbeidzot, mēs ielādējam programmu kodolā, izmantojot seccomp_load, kas apkopos programmu un pievienos procesam, izmantojot sistēmas izsaukumu seccomp(2).

Veiksmīgai kompilācijai programmai jābūt saistītai ar bibliotēku libseccomp, piemēram:

cc -std=c17 -Wall -Wextra -c -o seccomp_lib.o seccomp_lib.c
cc -o seccomp_lib seccomp_lib.o -lseccomp

Veiksmīgas palaišanas piemērs:

$ ./seccomp_lib echo ok
ok

Bloķēta sistēmas zvana piemērs:

$ sudo ./seccomp_lib mount -t bpf bpf /tmp
Bad system call

Mēs izmantojam stracesīkākai informācijai:

$ sudo strace -e seccomp ./seccomp_lib mount -t bpf bpf /tmp
seccomp(SECCOMP_SET_MODE_FILTER, 0, {len=50, filter=0x55d8e78428e0}) = 0
--- SIGSYS {si_signo=SIGSYS, si_code=SYS_SECCOMP, si_call_addr=0xboobdeadbeef, si_syscall=__NR_mount, si_arch=AUDIT_ARCH_X86_64} ---
+++ killed by SIGSYS (core dumped) +++
Bad system call

kā mēs varam zināt, ka programma tika pārtraukta nelikumīga sistēmas izsaukuma izmantošanas dēļ mount(2).

Tātad, mēs uzrakstījām filtru, izmantojot bibliotēku libseccomp, iekļaujot netriviālu kodu četrās rindās. Iepriekš minētajā piemērā, ja ir liels sistēmas izsaukumu skaits, izpildes laiku var ievērojami samazināt, jo pārbaude ir tikai salīdzinājumu saraksts. Optimizācijai libseccomp nesen bija komplektā plāksteris, kas pievieno atbalstu filtra atribūtam SCMP_FLTATR_CTL_OPTIMIZE. Iestatot šo atribūtu uz 2, filtrs tiks pārveidots par bināro meklēšanas programmu.

Ja vēlaties redzēt, kā darbojas binārie meklēšanas filtri, apskatiet vienkāršs skripts, kas ģenerē šādas programmas BPF montētājā, sastādot sistēmas zvanu numurus, piemēram:

$ echo 1 3 6 8 13 | ./generate_bin_search_bpf.py
ld [0]
jeq #6, bad
jgt #6, check8
jeq #1, bad
jeq #3, bad
ret #0x7fff0000
check8:
jeq #8, bad
jeq #13, bad
ret #0x7fff0000
bad: ret #0

Nav iespējams kaut ko uzrakstīt ievērojami ātrāk, jo BPF programmas nevar veikt atkāpes lēcienus (mēs nevaram izdarīt, piemēram, jmp A vai jmp [label+X]), un tāpēc visas pārejas ir statiskas.

seccomp un strace

Ikviens zina lietderību strace ir neaizstājams rīks procesu uzvedības izpētei operētājsistēmā Linux. Tomēr daudzi ir dzirdējuši arī par veiktspējas problēmas izmantojot šo utilītu. Fakts ir tāds strace ieviests, izmantojot ptrace(2), un šajā mehānismā mēs nevaram norādīt, pie kādas sistēmas izsaukumu kopas ir nepieciešams process apturēt, t.i., komandas

$ time strace du /usr/share/ >/dev/null 2>&1

real    0m3.081s
user    0m0.531s
sys     0m2.073s

$ time strace -e open du /usr/share/ >/dev/null 2>&1

real    0m2.404s
user    0m0.193s
sys     0m1.800s

tiek apstrādāti aptuveni vienā laikā, lai gan otrajā gadījumā mēs vēlamies izsekot tikai vienam sistēmas izsaukumam.

Jauna iespēja --seccomp-bpf, pievienots strace versija 5.3, ļauj daudzkārt paātrināt procesu, un palaišanas laiks zem viena sistēmas zvana jau ir salīdzināms ar parastās palaišanas laiku:

$ time strace --seccomp-bpf -e open du /usr/share/ >/dev/null 2>&1

real    0m0.148s
user    0m0.017s
sys     0m0.131s

$ time du /usr/share/ >/dev/null 2>&1

real    0m0.140s
user    0m0.024s
sys     0m0.116s

(Šeit, protams, ir neliela maldināšana, jo mēs neizsekojam šīs komandas galveno sistēmas izsaukumu. Ja mēs izsekotu, piemēram, newfsstattad strace bremzētu tikpat spēcīgi kā bez --seccomp-bpf.)

Kā šī opcija darbojas? Bez viņas strace pieslēdzas procesam un sāk to lietot PTRACE_SYSCALL. Kad pārvaldītais process izdod (jebkuru) sistēmas izsaukumu, vadība tiek nodota uz strace, kas aplūko sistēmas zvana argumentus un palaiž to ar PTRACE_SYSCALL. Pēc kāda laika process pabeidz sistēmas izsaukumu un, izejot no tā, vadība tiek nodota vēlreiz strace, kas aplūko atgriešanas vērtības un sāk procesu, izmantojot PTRACE_SYSCALL, un tā tālāk.

Tomēr ar seccomp šo procesu var optimizēt tieši tā, kā mēs vēlētos. Proti, ja gribam aplūkot tikai sistēmas izsaukumu X, tad mēs varam uzrakstīt BPF filtru, kas paredzēts X atgriež vērtību SECCOMP_RET_TRACE, un zvaniem, kas mūs neinteresē - SECCOMP_RET_ALLOW:

ld [0]
jneq #X, ignore
trace: ret #0x7ff00000
ignore: ret #0x7fff0000

Šajā gadījumā strace sākotnēji procesu sāk kā PTRACE_CONT, mūsu filtrs tiek apstrādāts katram sistēmas zvanam, ja sistēmas zvans nav X, process turpinās darboties, bet, ja šis X, tad seccomp nodos vadību stracekas izskatīs argumentus un sāks procesu līdzīgi PTRACE_SYSCALL (jo seccomp nevar palaist programmu, izejot no sistēmas izsaukuma). Kad sistēmas zvans atgriežas, strace atsāks procesu, izmantojot PTRACE_CONT un gaidīs jaunus ziņojumus no seccomp.

Izmantojot opciju --seccomp-bpf ir divi ierobežojumi. Pirmkārt, nebūs iespējams pievienoties jau esošam procesam (opcija -p programmas strace), jo seccomp to neatbalsta. Otrkārt, nav iespēju nē apskatiet bērnprocesus, jo seccomp filtrus manto visi bērnprocesi bez iespējas to atspējot.

Nedaudz sīkāk par to, kā tieši strace strādā ar seccomp var atrast no nesenais ziņojums. Mums interesantākais fakts ir tas, ka klasiskais BPF, ko pārstāv seccomp, tiek izmantots arī mūsdienās.

`xt_bpf`

Tagad atgriezīsimies tīklu pasaulē.

Priekšvēsture: sen, 2007. gadā, kodols bija piebilda modulis xt_u32 tīkla filtram. Tas tika uzrakstīts pēc analoģijas ar vēl senāku satiksmes klasifikatoru cls_u32 un ļāva rakstīt patvaļīgus bināros noteikumus iptables, izmantojot šādas vienkāršas darbības: ielādējiet 32 bitus no pakotnes un veiciet aritmētisko darbību kopu ar tiem. Piemēram,

sudo iptables -A INPUT -m u32 --u32 "6&0xFF=1" -j LOG --log-prefix "seen-by-xt_u32"

Ielādē IP galvenes 32 bitus, sākot ar 6. polsterējumu, un uzliek tiem masku 0xFF (paņemiet zemo baitu). Šis lauks protocol IP galveni un salīdzinām to ar 1 (ICMP). Vienā noteikumā varat apvienot daudzas pārbaudes, kā arī izpildīt operatoru @ — pārvietot X baitus pa labi. Piemēram, noteikums

iptables -m u32 --u32 "6&0xFF=0x6 && 0>>22&0x3C@4=0x29"

pārbauda, vai TCP kārtas numurs nav vienāds 0x29. Sīkāk neiedziļināšos, jo jau tagad ir skaidrs, ka šādus noteikumus rakstīt ar roku nav īpaši ērti. Rakstā BPF - aizmirstais baitkods, ir vairākas saites ar lietojuma piemēriem un noteikumu ģenerēšanu xt_u32. Skatiet arī saites šī raksta beigās.

Kopš 2013. gada modulis moduļa vietā xt_u32 varat izmantot BPF balstītu moduli xt_bpf. Ikvienam, kurš ir lasījis tik tālu, jau vajadzētu būt skaidram par tā darbības principu: palaist BPF baitu kodu kā iptables noteikumus. Varat izveidot jaunu noteikumu, piemēram, šādi:

iptables -A INPUT -m bpf --bytecode <байткод> -j LOG

šeit <байткод> - šis ir kods montētāja izvades formātā bpf_asm pēc noklusējuma, piemēram,

$ cat /tmp/test.bpf
ldb [9]
jneq #17, ignore
ret #1
ignore: ret #0

$ bpf_asm /tmp/test.bpf
4,48 0 0 9,21 0 1 17,6 0 0 1,6 0 0 0,

# iptables -A INPUT -m bpf --bytecode "$(bpf_asm /tmp/test.bpf)" -j LOG

Šajā piemērā mēs filtrējam visas UDP paketes. BPF programmas konteksts modulī xt_bpf, protams, norāda uz pakešu datiem, iptables gadījumā uz IPv4 galvenes sākumu. BPF programmas atgriešanas vērtība BūlaKur false nozīmē, ka pakete nesakrita.

Ir skaidrs, ka modulis xt_bpf atbalsta sarežģītākus filtrus nekā iepriekš minētajā piemērā. Apskatīsim reālus piemērus no Cloudfare. Vēl nesen viņi izmantoja moduli xt_bpf lai aizsargātu pret DDoS uzbrukumiem. Rakstā Iepazīstinām ar BPF rīkiem viņi paskaidro, kā (un kāpēc) viņi ģenerē BPF filtrus un publicē saites uz utilītu kopu šādu filtru izveidei. Piemēram, izmantojot utilītu bpfgen varat izveidot BPF programmu, kas atbilst vārda DNS vaicājumam habr.com:

$ ./bpfgen --assembly dns -- habr.com
ldx 4*([0]&0xf)
ld #20
add x
tax

lb_0:
    ld [x + 0]
    jneq #0x04686162, lb_1
    ld [x + 4]
    jneq #0x7203636f, lb_1
    ldh [x + 8]
    jneq #0x6d00, lb_1
    ret #65535

lb_1:
    ret #0

Programmā mēs vispirms ielādējam reģistrā X rindas sākuma adrese x04habrx03comx00 UDP datagrammā un pēc tam pārbaudiet pieprasījumu: 0x04686162 <-> "x04hab" uc

Nedaudz vēlāk Cloudfare publicēja p0f -> BPF kompilatora kodu. Rakstā Iepazīstinām ar p0f BPF kompilatoru viņi runā par to, kas ir p0f un kā pārvērst p0f parakstus par BPF:

$ ./bpfgen p0f -- 4:64:0:0:*,0::ack+:0
39,0 0 0 0,48 0 0 8,37 35 0 64,37 0 34 29,48 0 0 0,
84 0 0 15,21 0 31 5,48 0 0 9,21 0 29 6,40 0 0 6,
...

Pašlaik vairs neizmanto Cloudfare xt_bpf, jo viņi pārcēlās uz XDP - vienu no iespējām izmantot jauno BPF versiju, sk. L4Drop: XDP DDoS mazināšanas pasākumi.

`cls_bpf`

Pēdējais piemērs klasiskā BPF izmantošanai kodolā ir klasifikators cls_bpf satiksmes vadības apakšsistēmai operētājsistēmā Linux, kas tika pievienota Linux 2013. gada beigās un konceptuāli aizstāj seno cls_u32.

Tomēr mēs tagad neaprakstīsim darbu cls_bpf, jo no zināšanu viedokļa par klasisko BPF tas mums neko nedos - mēs jau esam iepazinušies ar visu funkcionalitāti. Turklāt turpmākajos rakstos, kas runā par paplašināto BPF, mēs vairāk nekā vienu reizi tiksimies ar šo klasifikatoru.

Vēl viens iemesls, lai nerunātu par klasiskā BPF lietošanu c cls_bpf Problēma ir tāda, ka, salīdzinot ar Extended BPF, pielietojamības joma šajā gadījumā ir radikāli sašaurināta: klasiskās programmas nevar mainīt pakotņu saturu un nevar saglabāt stāvokli starp zvaniem.

Tāpēc ir pienācis laiks atvadīties no klasiskā BPF un skatīties nākotnē.

Ardievas klasiskajam BPF

Mēs apskatījām, kā deviņdesmito gadu sākumā izstrādātā BPF tehnoloģija veiksmīgi nodzīvoja gadsimta ceturksni un līdz beigām atrada jaunus pielietojumus. Tomēr līdzīgi kā pāreja no steka mašīnām uz RISC, kas kalpoja par stimulu klasiskā BPF attīstībai, 32. gados notika pāreja no 64 bitu uz XNUMX bitu mašīnām un klasiskais BPF sāka novecot. Turklāt klasiskā BPF iespējas ir ļoti ierobežotas, un papildus novecojušajai arhitektūrai - mums nav iespējas saglabāt stāvokli starp zvaniem uz BPF programmām, nav tiešas lietotāja mijiedarbības, nav mijiedarbības iespējas. ar kodolu, izņemot ierobežota skaita struktūras lauku nolasīšanu sk_buff un palaižot vienkāršākās palīgfunkcijas, nevar mainīt pakešu saturu un tās pāradresēt.

Faktiski šobrīd viss, kas paliek no klasiskā BPF operētājsistēmā Linux, ir API saskarne, un kodola iekšpusē visas klasiskās programmas, neatkarīgi no tā, vai tie būtu ligzdas filtri vai seccomp filtri, tiek automātiski tulkoti jaunā formātā Extended BPF. (Par to, kā tieši tas notiek, mēs runāsim nākamajā rakstā.)

Pāreja uz jaunu arhitektūru sākās 2013. gadā, kad Aleksejs Starovoitovs ierosināja BPF atjaunināšanas shēmu. 2014. gadā atbilstošos ielāpus sāka parādīties kodolā. Cik es saprotu, sākotnējais plāns bija tikai optimizēt arhitektūru un JIT kompilatoru, lai tā darbotos efektīvāk 64 bitu iekārtās, taču tā vietā šīs optimizācijas iezīmēja jaunas nodaļas sākumu Linux attīstībā.

Turpmākie raksti šajā sērijā aptvers jaunās tehnoloģijas arhitektūru un lietojumus, kas sākotnēji bija pazīstami kā iekšējais BPF, pēc tam paplašinātais BPF un tagad vienkārši BPF.

atsauces

Stīvens Makkens un Van Džeikobsons, "BSD pakešu filtrs: jauna arhitektūra lietotāja līmeņa pakešu uztveršanai", https://www.tcpdump.org/papers/bpf-usenix93.pdf
Stīvens Makkens, "libpcap: arhitektūra un optimizācijas metodika pakešu uztveršanai", https://sharkfestus.wireshark.org/sharkfest.11/presentations/McCanne-Sharkfest'11_Keynote_Address.pdf
tcpdump, libpcap: https://www.tcpdump.org/
IPtable U32 atbilstības apmācība.
BPF — aizmirstais baitkods: https://blog.cloudflare.com/bpf-the-forgotten-bytecode/
Iepazīstinām ar BPF rīku: https://blog.cloudflare.com/introducing-the-bpf-tools/
bpf_cls: http://man7.org/linux/man-pages/man8/tc-bpf.8.html
Seccomp pārskats: https://lwn.net/Articles/656307/
https://github.com/torvalds/linux/blob/master/Documentation/userspace-api/seccomp_filter.rst
habr: Konteineri un drošība: seccomp
habr: Dēmonu izolēšana ar systemd vai “jums šim nav nepieciešams Docker!”
Pols Čeinons, "strace --seccomp-bpf: skatiens zem pārsega", https://fosdem.org/2020/schedule/event/debugging_strace_bpf/
netsniff-ng: http://netsniff-ng.org/

Avots: www.habr.com

BPF mazajiem, nulles daļa: klasiskais BPF

Īss kurss BPF vēsturē (c)

BPF mašīnu arhitektūra

tcpdump

Piemērs: IPv6 pakešu novērošana

Sarežģītāks piemērs: mēs apskatām TCP paketes pēc mērķa porta

Tcpdump: tiek ielādēts

Klasiskais BPF un XNUMX. gs

BPF programmēšana ar savām rokām

Linux un netsniff-ng paplašinājumi

seccomp

Seccomp rakstīšanas un ielādes filtri

Mēs rakstām un ielādējam filtrus seccomp lietošanai `libseccomp`

seccomp un strace

`xt_bpf`

`cls_bpf`

Ardievas klasiskajam BPF

atsauces

Pievieno komentāru Atcelt atbildi

BPF mazajiem, nulles daļa: klasiskais BPF

Īss kurss BPF vēsturē (c)

BPF mašīnu arhitektūra

tcpdump

Piemērs: IPv6 pakešu novērošana

Sarežģītāks piemērs: mēs apskatām TCP paketes pēc mērķa porta

Tcpdump: tiek ielādēts

Klasiskais BPF un XNUMX. gs

BPF programmēšana ar savām rokām

Linux un netsniff-ng paplašinājumi

seccomp

Seccomp rakstīšanas un ielādes filtri

Mēs rakstām un ielādējam filtrus seccomp lietošanai libseccomp

seccomp un strace

xt_bpf

cls_bpf

Ardievas klasiskajam BPF

atsauces

Pievieno komentāru Atcelt atbildi

Mēs rakstām un ielādējam filtrus seccomp lietošanai `libseccomp`

`xt_bpf`

`cls_bpf`