בוך "BPF פֿאַר לינוקס מאָניטאָרינג"

העלא, כאַבראָ רעזידאַנץ! די BPF ווירטועל מאַשין איז איינער פון די מערסט וויכטיק קאַמפּאָונאַנץ פון די לינוקס קערן. זיין געהעריק נוצן וועט לאָזן סיסטעם ענדזשאַנירז צו געפֿינען חסרונות און סאָלווע אפילו די מערסט קאָמפּליצירט פּראָבלעמס. איר וועט לערנען ווי צו שרייַבן מגילה וואָס מאָניטאָר און מאָדיפיצירן די נאַטור פון די קערן, ווי צו בעשאָלעם ינסטרומענט קאָד צו מאָניטאָר events אין די קערן, און פיל מער. David Calavera און Lorenzo Fontana וועט העלפֿן איר ופשליסן די מאַכט פון BPF. יקספּאַנד דיין וויסן פון פאָרשטעלונג אַפּטאַמאַזיישאַן, נעטוואָרקינג, זיכערהייט. - ניצן BPF צו מאָניטאָר און מאָדיפיצירן די נאַטור פון די לינוקס קערן. - אַרייַנשפּריצן קאָד צו סיקיורלי מאָניטאָר קערן געשעענישן אָן ריקאָמפּילע די קערן אָדער רעבאָאָט די סיסטעם. - ניצן באַקוועם קאָד ביישפילן אין C, Go אָדער Python. - נעמען קאָנטראָל דורך אָונינג די BPF פּראָגראַם לעבן ציקל.

Linux Kernel Security, זייַן פֿעיִקייטן און סעקאָמפּ

BPF גיט אַ שטאַרק וועג צו פאַרברייטערן די קערן אָן סאַקראַפייסינג פעסטקייַט, זיכערהייט אָדער גיכקייַט. פֿאַר דעם סיבה, די קערן דעוועלאָפּערס געדאַנק עס וואָלט זיין אַ גוטע געדאַנק צו נוצן זייַן ווערסאַטילאַטי צו פֿאַרבעסערן פּראָצעס אפגעזונדערטקייט אין Secomp דורך ימפּלאַמענינג Secomp פילטערס געשטיצט דורך BPF מגילה, אויך באקאנט ווי Secomp BPF. אין דעם קאַפּיטל מיר וועלן דערקלערן וואָס Secommp איז און ווי עס איז געניצט. דערנאָך איר וועט לערנען ווי צו שרייַבן Secomp פילטערס ניצן BPF מגילה. דערנאָך, מיר וועלן קוקן אין די געבויט-אין BPF כוקס וואָס זענען אַרייַנגערעכנט אין די קערן פֿאַר לינוקס זיכערהייט מאַדזשולז.

לינוקס סעקוריטי מאָדולעס (LSM) זענען אַ פריימווערק וואָס גיט אַ גאַנג פון פאַנגקשאַנז וואָס קענען זיין גענוצט צו ינסטרומענט פאַרשידן זיכערהייט מאָדעלס אויף אַ סטאַנדערדייזד שטייגער. LSM קענען זיין געוויינט גלייַך אין די קערן מקור בוים, אַזאַ ווי אַפּפּאַרמאָר, SELinux און Tomoyo.

לאָמיר אָנהייבן מיט דיסקוטירן די קייפּאַבילאַטיז פון לינוקס.

קייפּאַבילאַטיז

די עסאַנס פון לינוקס ס קייפּאַבילאַטיז איז אַז איר דאַרפֿן צו געבן אַן אַנפּריווילידזשד פּראָצעס דערלויבעניש צו דורכפירן אַ זיכער אַרבעט, אָבער אָן ניצן סויד פֿאַר דעם צוועק, אָדער אַנדערש מאַכן דעם פּראָצעס פּריוולידזשד, רידוסינג די מעגלעכקייט פון באַפאַלן און לאָזן דעם פּראָצעס צו דורכפירן זיכער טאַסקס. פֿאַר בייַשפּיל, אויב דיין אַפּלאַקיישאַן דאַרף צו עפֿענען אַ פּריוולידזשד פּאָרט, זאָגן 80, אַנשטאָט פון לויפן דעם פּראָצעס ווי וואָרצל, איר קענען פשוט געבן עס די CAP_NET_BIND_SERVICE פיייקייט.

באַטראַכטן אַ גיין פּראָגראַם מיטן נאָמען main.go:

package main
import (
            "net/http"
            "log"
)
func main() {
     log.Fatalf("%v", http.ListenAndServe(":80", nil))
}

דער פּראָגראַם סערוועס אַ הטטפּ סערווער אויף פּאָרט 80 (דאָס איז אַ פּריוולידזשד פּאָרט). יוזשאַוואַלי מיר לויפן עס מיד נאָך זאַמלונג:

$ go build -o capabilities main.go
$ ./capabilities

אָבער, זינט מיר געבן נישט וואָרצל פּריווילאַדזשאַז, דער קאָד וועט וואַרפן אַ טעות ווען ביינדינג די פּאָרט:

2019/04/25 23:17:06 listen tcp :80: bind: permission denied
exit status 1

קאַפּש (שאָל פאַרוואַלטער) איז אַ געצייַג וואָס לויפט אַ שאָל מיט אַ ספּעציפיש גאַנג פון קייפּאַבילאַטיז.

אין דעם פאַל, ווי שוין דערמאנט, אַנשטאָט צו געבן פול וואָרצל רעכט, איר קענען געבן פּריוולידזשד פּאָרט ביינדינג דורך פּראַוויידינג די cap_net_bind_service פיייקייט צוזאַמען מיט אַלץ וואָס איז שוין אין דעם פּראָגראַם. צו טאָן דאָס, מיר קענען אַרייַננעמען אונדזער פּראָגראַם אין קאַפּש:

# capsh --caps='cap_net_bind_service+eip cap_setpcap,cap_setuid,cap_setgid+ep' 
   --keep=1 --user="nobody" 
   --addamb=cap_net_bind_service -- -c "./capabilities"

זאל ס פֿאַרשטיין דעם קאָלעקטיוו אַ ביסל.

• קאַפּש - נוצן קאַפּש ווי אַ שאָל.
• —caps='cap_net_bind_service+eip cap_setpcap,cap_setuid,cap_setgid+ep' - זינט מיר דאַרפֿן צו טוישן דעם באַניצער (מיר טאָן נישט וועלן צו לויפן ווי וואָרצל), מיר ספּעציפיצירן cap_net_bind_service און די פיייקייט צו אַקטשאַוואַלי טוישן די באַניצער שייַן פֿון וואָרצל צו קיינער, ניימלי cap_setuid און cap_setgid.
• -קעפּ = 1 - מיר ווילן צו האַלטן די אינסטאַלירן קייפּאַבילאַטיז ווען סוויטשינג פון די וואָרצל חשבון.
• — באַניצער = "קיינער" — דער סוף באַניצער וואָס לויפן דעם פּראָגראַם וועט זיין קיינער.
• —addamb=cap_net_bind_service — שטעלן די קלירינג פון פֿאַרבונדענע קייפּאַבילאַטיז נאָך סוויטשינג פון וואָרצל מאָדע.
• - C "./קייפּאַבילאַטיז" - נאָר לויפן דעם פּראָגראַם.

לינגקט קייפּאַבילאַטיז זענען אַ ספּעציעל סאָרט פון קייפּאַבילאַטיז וואָס זענען ינכעראַטיד דורך קינד מגילה ווען די קראַנט פּראָגראַם עקסאַקיוץ זיי ניצן עקסעקווע (). בלויז קייפּאַבילאַטיז וואָס זענען ערלויבט צו זיין פארבונדן, אָדער אין אנדערע ווערטער, ווי סוויווע קייפּאַבילאַטיז, קענען זיין ינכעראַטיד.

איר מיסטאָמע וואַנדערינג וואָס +eip מיטל נאָך ספּעציפיצירן די פיייקייט אין די --caps אָפּציע. די פלאַגס זענען געניצט צו באַשליסן די פיייקייט:

-מוזן זיין אַקטיווייטיד (פּ);

- בנימצא פֿאַר נוצן (E);

-קענען זיין ינכעראַטיד דורך קינד פּראַסעסאַז (איך).

זינט מיר ווילן צו נוצן cap_net_bind_service, מיר דאַרפֿן צו טאָן דאָס מיט די E פאָן. דערנאָך מיר וועלן אָנהייבן די שאָל אין די באַפֿעל. דאָס וועט לויפן די ביינערי קייפּאַבילאַטיז און מיר דאַרפֿן צו צייכן עס מיט די i פאָן. צום סוף, מיר וועלן אַז די שטריך זאָל זיין ענייבאַלד (מיר האבן דאָס אָן טשאַנגינג די UID) מיט פּ. עס קוקט ווי cap_net_bind_service+eip.

איר קענען קאָנטראָלירן די רעזולטאַט מיט ss. לאָמיר פאַרקירצן די רעזולטאַט אַ ביסל צו פּאַסיק אויף דעם בלאַט, אָבער עס וועט ווייַזן די פֿאַרבונדן פּאָרט און באַניצער שייַן אנדערע ווי 0, אין דעם פאַל 65:

# ss -tulpn -e -H | cut -d' ' -f17-
128 *:80 *:*
users:(("capabilities",pid=30040,fd=3)) uid:65534 ino:11311579 sk:2c v6only:0

אין דעם בייַשפּיל מיר געוויינט קאַפּש, אָבער איר קענען שרייַבן אַ שאָל מיט ליבקאַפּ. פֿאַר מער אינפֿאָרמאַציע, זען מענטש 3 libcap.

ווען שרייבן מגילה, אָפט די דעוועלאָפּער קען נישט וויסן אין שטייַגן אַלע די פֿעיִקייטן וואָס די פּראָגראַם דאַרף אין די לויפן צייט; דערצו, די פֿעיִקייטן קען טוישן אין נייַע ווערסיעס.

צו בעסער פֿאַרשטיין די קייפּאַבילאַטיז פון אונדזער פּראָגראַם, מיר קענען נעמען די BCC טויגעוודיק געצייַג, וואָס שטעלט די קפּראָבע פֿאַר די cap_capable קערן פונקציע:

/usr/share/bcc/tools/capable
TIME      UID  PID   TID   COMM               CAP    NAME           AUDIT
10:12:53 0 424     424     systemd-udevd 12 CAP_NET_ADMIN         1
10:12:57 0 1103   1101   timesync        25 CAP_SYS_TIME         1
10:12:57 0 19545 19545 capabilities       10 CAP_NET_BIND_SERVICE 1

מיר קענען דערגרייכן די זעלבע זאַך דורך ניצן bpftrace מיט אַ איין-לינער קפּראָבע אין די cap_capable קערן פונקציע:

bpftrace -e 
   'kprobe:cap_capable {
      time("%H:%M:%S ");
      printf("%-6d %-6d %-16s %-4d %dn", uid, pid, comm, arg2, arg3);
    }' 
    | grep -i capabilities

דאָס וועט רעזולטאַט עפּעס ווי די פאלגענדע אויב די קייפּאַבילאַטיז פון אונדזער פּראָגראַם זענען ענייבאַלד נאָך kprobe:

12:01:56 1000 13524 capabilities 21 0
12:01:56 1000 13524 capabilities 21 0
12:01:56 1000 13524 capabilities 21 0
12:01:56 1000 13524 capabilities 12 0
12:01:56 1000 13524 capabilities 12 0
12:01:56 1000 13524 capabilities 12 0
12:01:56 1000 13524 capabilities 12 0
12:01:56 1000 13524 capabilities 10 1

די פינפט זייַל איז די קייפּאַבילאַטיז אַז דער פּראָצעס דאַרף, און זינט דעם רעזולטאַט כולל ניט-אָדיטע געשעענישן, מיר זען אַלע ניט-אָדיט טשעקס און לעסאָף די פארלאנגט פיייקייט מיט די קאָנטראָלירן פאָן (לעצטע אין דער רעזולטאַט) שטעלן צו 1. Capability איינער וואָס מיר זענען אינטערעסירט אין איז CAP_NET_BIND_SERVICE, עס איז דיפיינד ווי אַ קעסיידערדיק אין די קערן מקור קאָד אין דער טעקע אַרייַננעמען/uapi/linux/ability.h מיט יידענאַפייד 10:

/* Allows binding to TCP/UDP sockets below 1024 */
/* Allows binding to ATM VCIs below 32 */
#define CAP_NET_BIND_SERVICE 10<source lang="go">

קייפּאַבילאַטיז זענען אָפט ענייבאַלד ביי רונטימע פֿאַר קאַנטיינערז אַזאַ ווי runC אָדער Docker צו לאָזן זיי לויפן אין אַנפּריווילאַדזשד מאָדע, אָבער זיי זענען בלויז ערלויבט די קייפּאַבילאַטיז צו לויפן רובֿ אַפּלאַקיישאַנז. ווען אַ אַפּלאַקיישאַן ריקווייערז זיכער קייפּאַבילאַטיז, Docker קענען צושטעלן זיי מיט --cap-add:

docker run -it --rm --cap-add=NET_ADMIN ubuntu ip link add dummy0 type dummy

דער באַפֿעל וועט געבן דעם קאַנטיינער די CAP_NET_ADMIN פיייקייט, אַלאַוינג עס צו קאַנפיגיער אַ נעץ לינק צו לייגן די Dummy0 צובינד.

דער ווייַטער אָפּטיילונג ווייזט ווי צו נוצן פֿעיִקייטן אַזאַ ווי פֿילטרירונג, אָבער ניצן אַ אַנדערש טעכניק וואָס אַלאַוז אונדז צו פּראָגראַממאַטיק ינסטרומענט אונדזער אייגענע פילטערס.

Secomp

Secomp שטייט פֿאַר Secure Computing און איז אַ זיכערהייט שיכטע ימפּלאַמענאַד אין די לינוקס קערן וואָס אַלאַוז דעוועלאָפּערס צו פילטער זיכער סיסטעם רופט. כאָטש Secommp איז פאַרגלייַכלעך אין קייפּאַבילאַטיז צו לינוקס, זיין פיייקייט צו פירן זיכער סיסטעם רופט מאכט עס פיל מער פלעקסאַבאַל קאַמפּערד מיט זיי.

Secomp און Linux פֿעיִקייטן זענען נישט מיוטשואַלי ויסשליסיק און זענען אָפט געניצט צוזאַמען צו נוץ פון ביידע אַפּראָוטשיז. פֿאַר בייַשפּיל, איר זאל וועלן צו געבן אַ פּראָצעס די CAP_NET_ADMIN פיייקייט אָבער נישט לאָזן עס צו אָננעמען כאָלעל קאַנעקשאַנז, בלאַקינג די אָננעמען און אָננעמען4 סיסטעם קאַללס.

די Secomp פֿילטרירונג אופֿן איז באזירט אויף BPF פילטערס אַפּערייטינג אין די SECCOMP_MODE_FILTER מאָדע, און סיסטעם רופן פֿילטרירונג איז דורכגעקאָכט אין די זעלבע וועג ווי פֿאַר פּאַקיץ.

סעקאָמפּ פילטערס זענען לאָודיד מיט פּרקטל דורך די PR_SET_SECCOMP אָפּעראַציע. די פילטערס נעמען די פאָרעם פון אַ BPF פּראָגראַם וואָס איז עקסאַקיוטאַד פֿאַר יעדער סעקאָמפּ פּאַקאַט רעפּריזענטיד דורך די סעקקאָמפּ_דאַטאַ סטרוקטור. די סטרוקטור כּולל די רעפֿערענץ אַרקאַטעקטשער, אַ טייַטל צו פּראַסעסער אינסטרוקציעס אין דער צייט פון די סיסטעם רופן, און אַ מאַקסימום פון זעקס סיסטעם רופן אַרגומענטן, אויסגעדריקט ווי uint64.

דאָס איז ווי די secomp_data סטרוקטור קוקט ווי פֿון די קערן מקור קאָד אין די linux/secomp.h טעקע:

struct seccomp_data {
int nr;
      __u32 arch;
      __u64 instruction_pointer;
      __u64 args[6];
};

ווי איר קענען זען פֿון דעם סטרוקטור, מיר קענען פילטער דורך די סיסטעם רופן, זייַן אַרגומענטן אָדער אַ קאָמבינאַציע פון ​​​​ביידע.

נאָך באקומען יעדער סעקאָמפּ פּאַקאַט, דער פילטער מוזן דורכפירן פּראַסעסינג צו מאַכן אַ לעצט באַשלוס און זאָגן די קערן וואָס צו טאָן ווייַטער. די לעצט באַשלוס איז אויסגעדריקט דורך איינער פון די צוריקקומען וואַלועס (סטאַטוס קאָודז).

- SECCOMP_RET_KILL_PROCESS - קילז די גאנצע פּראָצעס גלייך נאָך פילטערינג אַ סיסטעם רופן וואָס איז נישט עקסאַקיוטאַד ווייַל פון דעם.

- SECCOMP_RET_KILL_THREAD - טערמאַנייץ דעם קראַנט פאָדעם גלייך נאָך פילטערינג אַ סיסטעם רופן וואָס איז נישט עקסאַקיוטאַד ווייַל פון דעם.

- SECCOMP_RET_KILL - אַליאַס פֿאַר SECCOMP_RET_KILL_THREAD, לינקס פֿאַר צוריק קאַמפּאַטאַבילאַטי.

- SECCOMP_RET_TRAP - די סיסטעם רופן איז פּראָוכיבאַטאַד, און די SIGSYS (שלעכט סיסטעם רופן) סיגנאַל איז געשיקט צו די אַרבעט וואָס רופט עס.

- SECCOMP_RET_ERRNO - די סיסטעם רופן איז נישט עקסאַקיוטאַד, און טייל פון די SECCOMP_RET_DATA פילטער צוריקקומען ווערט איז דורכגעגאנגען צו באַניצער פּלאַץ ווי די עררנאָ ווערט. דעפּענדינג אויף די גרונט פון די טעות, פאַרשידענע עררנאָ וואַלועס זענען אומגעקערט. א רשימה פון טעות נומערן איז צוגעשטעלט אין דער ווייַטער אָפּטיילונג.

- SECCOMP_RET_TRACE - געוויינט צו געבנ צו וויסן די פּטראַסע טרייסער ניצן - PTRACE_O_TRACESECCOMP צו ינטערסעפּט ווען אַ סיסטעם רופן איז עקסאַקיוטאַד צו זען און קאָנטראָלירן דעם פּראָצעס. אויב אַ טרייסער איז נישט קאָננעקטעד, אַ טעות איז אומגעקערט, עררנאָ איז באַשטימט צו -ENOSYS, און די סיסטעם רופן איז נישט עקסאַקיוטאַד.

- SECCOMP_RET_LOG - די סיסטעם רופן איז ריזאַלווד און לאָגד.

- SECCOMP_RET_ALLOW - די סיסטעם רופן איז פשוט ערלויבט.

ptrace איז אַ סיסטעם רופן צו ינסטרומענט טרייסינג מעקאַניזאַמז אין אַ פּראָצעס גערופֿן טראַסעע, מיט די פיייקייט צו מאָניטאָר און קאָנטראָלירן די דורכפירונג פון דעם פּראָצעס. די שפּור פּראָגראַם קענען יפעקטיוולי השפּעה דער דורכפירונג און מאָדיפיצירן די זיקאָרן רעדזשיסטערז פון טראַסעע. אין די Secomp קאָנטעקסט, ptrace איז געניצט ווען טריגערד דורך די SECCOMP_RET_TRACE סטאַטוס קאָד, אַזוי די טרייסער קענען פאַרמייַדן די סיסטעם רופן פון עקסאַקיוטינג און ינסטרומענט זיין אייגענע לאָגיק.

אויסקלייַבן די טעות

פון צייט צו צייט, ווען איר אַרבעט מיט Secomp, איר וועט טרעפן פאַרשידן ערראָרס, וואָס זענען יידענאַפייד דורך אַ צוריקקער ווערט פון טיפּ SECCOMP_RET_ERRNO. צו באַריכט אַ טעות, די סעקקאָמפּ סיסטעם רופן וועט צוריקקומען -1 אַנשטאָט פון 0.

די פאלגענדע ערראָרס זענען מעגלעך:

- אַקסעס - דער קאַללער איז נישט ערלויבט צו מאַכן אַ סיסטעם רופן. דעם יוזשאַוואַלי כאַפּאַנז ווייַל עס טוט נישט האָבן CAP_SYS_ADMIN פּריווילאַדזשאַז אָדער no_new_privs איז נישט באַשטימט ניצן prctl (מיר וועלן רעדן וועגן דעם שפּעטער);

- EFAULT - די דורכגעגאנגען אַרגומענטן (אַרגס אין די סעקקאָמפּ_דאַטאַ סטרוקטור) טאָן ניט האָבן אַ גילטיק אַדרעס;

- EINVAL - עס קען זיין פיר סיבות דאָ:

-די געבעטן אָפּעראַציע איז אומבאַקאַנט אָדער נישט געשטיצט דורך די קערן אין די קראַנט קאַנפיגיעריישאַן;

-די ספּעסיפיעד פלאַגס זענען נישט גילטיק פֿאַר די געבעטן אָפּעראַציע;

-אָפּעראַציע כולל BPF_ABS, אָבער עס זענען פּראָבלעמס מיט די ספּעסיפיעד פאָטאָ, וואָס קען יקסיד די גרייס פון די סעקקאָמפּ_דאַטאַ סטרוקטור;

-די נומער פון ינסטראַקשאַנז דורכגעגאנגען צו די פילטער יקסידז די מאַקסימום;

- ENOMEM - ניט גענוג זכּרון צו ויספירן דעם פּראָגראַם;

- EOPNOTSUPP - די אָפּעראַציע האט אנגעוויזן אַז מיט SECCOMP_GET_ACTION_AVAIL די אַקציע איז בנימצא, אָבער דער קערן שטיצט נישט קערט אין אַרגומענטן;

- ESRCH - אַ פּראָבלעם איז פארגעקומען ווען סינגקראַנייזינג אן אנדער טייַך;

- ENOSYS - עס איז קיין טרייסער אַטאַטשט צו די SECCOMP_RET_TRACE קאַמף.

prctl איז אַ סיסטעם רופן וואָס אַלאַוז אַ באַניצער-פּלאַץ פּראָגראַם צו מאַניפּולירן (שטעלן און באַקומען) ספּעציפיש אַספּעקץ פון אַ פּראָצעס, אַזאַ ווי בייטע ענדנאַס, פאָדעם נעמען, זיכער קאַמפּיאַטיישאַן מאָדע (Secomp), פּריווילאַדזשאַז, פּערף געשעענישן, עטק.

Secommp קען ויסקומען ווי אַ זאַמדקאַסטן טעכנאָלאָגיע פֿאַר איר, אָבער דאָס איז נישט. Secommp איז אַ נוצן וואָס אַלאַוז ניצערס צו אַנטוויקלען אַ זאַמדקאַסטן מעקאַניזאַם. איצט לאָזן ס קוק ווי באַניצער ינטעראַקשאַן מגילה זענען באשאפן מיט אַ פילטער גערופֿן גלייַך דורך די Secommp סיסטעם רופן.

ביישפּיל פון BPF Secommp פילטער

דאָ מיר וועלן ווייַזן ווי צו פאַרבינדן די צוויי אַקשאַנז דיסקאַסט פריער, ניימלי:

- מיר וועלן שרייַבן אַ Secomp BPF פּראָגראַם, וואָס וועט זיין געוויינט ווי אַ פילטער מיט פאַרשידענע צוריקקומען קאָודז דיפּענדינג אויף די דיסיזשאַנז געמאכט;

- לאָדן די פילטער מיט prctl.

ערשטער איר דאַרפֿן כעדערז פון די נאָרמאַל ביבליאָטעק און די לינוקס קערן:

#include <errno.h>
#include <linux/audit.h>
#include <linux/bpf.h>
#include <linux/filter.h>
#include <linux/seccomp.h>
#include <linux/unistd.h>
#include <stddef.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/prctl.h>
#include <unistd.h>

איידער איר פּרוּווט דעם בייַשפּיל, מיר מוזן ענשור אַז דער קערן איז קאַמפּיילד מיט CONFIG_SECCOMP און CONFIG_SECCOMP_FILTER שטעלן צו י. אויף אַ ארבעטן מאַשין איר קענען קאָנטראָלירן דעם ווי דאָס:

cat /proc/config.gz| zcat | grep -i CONFIG_SECCOMP

די רעשט פון די קאָד איז אַ צוויי-טייל install_filter פונקציע. דער ערשטער טייל כּולל אונדזער רשימה פון BPF פֿילטרירונג ינסטראַקשאַנז:

static int install_filter(int nr, int arch, int error) {
  struct sock_filter filter[] = {
    BPF_STMT(BPF_LD + BPF_W + BPF_ABS, (offsetof(struct seccomp_data, arch))),
    BPF_JUMP(BPF_JMP + BPF_JEQ + BPF_K, arch, 0, 3),
    BPF_STMT(BPF_LD + BPF_W + BPF_ABS, (offsetof(struct seccomp_data, nr))),
    BPF_JUMP(BPF_JMP + BPF_JEQ + BPF_K, nr, 0, 1),
    BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_ERRNO | (error & SECCOMP_RET_DATA)),
    BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_ALLOW),
  };

די ינסטראַקשאַנז זענען באַשטימט מיט די BPF_STMT און BPF_JUMP מאַקראָס דיפיינד אין די לינוקס / פילטער.ה טעקע.
זאל ס גיין דורך די ינסטראַקשאַנז.

- BPF_STMT(BPF_LD + BPF_W + BPF_ABS (offsetof(struct secomp_data, arch))) - די סיסטעם לאָודז און אַקיומיאַלייץ פֿון BPF_LD אין די פאָרעם פון די וואָרט BPF_W, פּאַקאַט דאַטן איז ליגן אין אַ פאַרפעסטיקט פאָטאָ BPF_ABS.

- BPF_JUMP(BPF_JMP + BPF_JEQ + BPF_K, אַרטש, 0, 3) - טשעקס ניצן BPF_JEQ צי די אַרקאַטעקטשער ווערט אין די BPF_K אַקיומיאַלאַטאָר קעסיידערדיק איז גלייַך צו אַרטש. אויב אַזוי, דזשאַמפּס בייַ פאָטאָ 0 צו דער ווייַטער לימעד, אַנדערש דזשאַמפּס בייַ פאָטאָ 3 (אין דעם פאַל) צו וואַרפן אַ טעות ווייַל אַרטש טוט נישט גלייַכן.

- BPF_STMT(BPF_LD + BPF_W + BPF_ABS (offsetof(struct secomp_data, nr))) - לאָדן און אַקיומיאַלייץ פֿון BPF_LD אין די פאָרעם פון די וואָרט BPF_W, וואָס איז די סיסטעם רופן נומער קאַנטיינד אין די פאַרפעסטיקט פאָטאָ פון BPF_ABS.

- BPF_JUMP(BPF_JMP + BPF_JEQ + BPF_K, nr, 0, 1) - קאַמפּערז די סיסטעם רופן נומער מיט די ווערט פון די נומער וועריאַבאַל. אויב זיי זענען גלייַך, מאַך אויף צו דער ווייַטער לימעד און דיסייבאַל די סיסטעם רופן, אַנדערש אַלאַוז די סיסטעם רופן מיט SECCOMP_RET_ALLOW.

- BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_ERRNO | (טעות & SECCOMP_RET_DATA)) - טערמאַנייץ די פּראָגראַם מיט BPF_RET און ווי אַ רעזולטאַט טראגט אַ טעות SECCOMP_RET_ERRNO מיט די נומער פון די טעות בייַטעוודיק.

- BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_ALLOW) - טערמאַנייץ די פּראָגראַם מיט BPF_RET און אַלאַוז די סיסטעם רופן צו זיין עקסאַקיוטאַד מיט SECCOMP_RET_ALLOW.

SECCOMP איז CBPF
איר קען זיין וואַנדערינג וואָס אַ רשימה פון ינסטראַקשאַנז איז געניצט אַנשטאָט פון אַ קאָמפּילעד ELF כייפעץ אָדער אַ JIT קאָמפּילעד C פּראָגראַם.

עס זענען צוויי סיבות פֿאַר דעם.

• ערשטער, Secomp ניצט cBPF (קלאַסיש BPF) און ניט eBPF, וואָס מיטל: עס האט קיין רעדזשיסטערז, אָבער בלויז אַן אַקיומיאַלאַטאָר צו קראָם די לעצטע רעזולטאַט פון די כעזשבן, ווי קענען זיין געזען אין דעם בייַשפּיל.

• רגע, Secomp אַקסעפּץ אַ אָנווייַז צו אַ מענגע פון ​​BPF אינסטרוקציעס גלייַך און גאָרנישט אַנדערש. די מאַקראָס וואָס מיר האָבן געוויינט פשוט העלפֿן ספּעציפיצירן די ינסטראַקשאַנז אויף אַ פּראָגראַמיסט-פרייַנדלעך וועג.

אויב איר דאַרפֿן מער הילף צו פֿאַרשטיין דעם פֿאַרזאַמלונג, באַטראַכטן די פּסעוודאָקאָדע וואָס טוט די זעלבע זאַך:

if (arch != AUDIT_ARCH_X86_64) {
    return SECCOMP_RET_ALLOW;
}
if (nr == __NR_write) {
    return SECCOMP_RET_ERRNO;
}
return SECCOMP_RET_ALLOW;

נאָך דיפיינינג די פילטער קאָד אין די socket_filter סטרוקטור, איר דאַרפֿן צו דעפינירן אַ sock_fprog מיט די קאָד און די קאַלקיאַלייטיד לענג פון די פילטער. די דאַטן סטרוקטור איז דארף ווי אַן אַרגומענט צו דערקלערן דעם פּראָצעס צו לויפן שפּעטער:

struct sock_fprog prog = {
   .len = (unsigned short)(sizeof(filter) / sizeof(filter[0])),
   .filter = filter,
};

עס איז בלויז איין זאַך צו טאָן אין די install_filter פונקציע - לאָדן די פּראָגראַם זיך! צו טאָן דאָס, מיר נוצן prctl, גענומען PR_SET_SECCOMP ווי אַן אָפּציע צו אַרייַן זיכער קאַמפּיוטינג מאָדע. דערנאָך מיר זאָגן די מאָדע צו מאַסע די פילטער ניצן SECCOMP_MODE_FILTER, וואָס איז קאַנטיינד אין די פּראָג בייַטעוודיק פון טיפּ sock_fprog:

  if (prctl(PR_SET_SECCOMP, SECCOMP_MODE_FILTER, &prog)) {
    perror("prctl(PR_SET_SECCOMP)");
    return 1;
  }
  return 0;
}

צום סוף, מיר קענען נוצן אונדזער ינסטאַלל_פילטער פֿונקציע, אָבער פריער מיר דאַרפֿן צו נוצן prctl צו שטעלן PR_SET_NO_NEW_PRIVS פֿאַר די קראַנט דורכפירונג און דערמיט ויסמיידן די סיטואַציע ווו קינד פּראַסעסאַז באַקומען מער פּריווילאַדזשאַז ווי זייער עלטערן. מיט דעם, מיר קענען מאַכן די פאלגענדע prctl רופט אין די install_filter פונקציע אָן וואָרצל רעכט.

איצט מיר קענען רופן די install_filter פונקציע. לאָמיר פאַרשפּאַרן אַלע שרייבן סיסטעם רופט שייַכות צו די X86-64 אַרקאַטעקטשער און נאָר געבן אַ דערלויבעניש וואָס בלאַקס אַלע פרווון. נאָך ינסטאָלינג די פילטער, מיר פאָרזעצן דורכפירונג מיט דער ערשטער אַרגומענט:

int main(int argc, char const *argv[]) {
  if (prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0)) {
   perror("prctl(NO_NEW_PRIVS)");
   return 1;
  }
   install_filter(__NR_write, AUDIT_ARCH_X86_64, EPERM);
  return system(argv[1]);
 }

לאמיר אנהייבען. צו צונויפנעמען אונדזער פּראָגראַם מיר קענען נוצן אָדער קלאַנג אָדער גקק, אָדער וועג עס ס נאָר קאַמפּיילינג די main.c טעקע אָן ספּעציעל אָפּציעס:

clang main.c -o filter-write

ווי שוין אנגעוויזן, מיר האָבן אפגעשטעלט אַלע איינסן אין דעם פּראָגראַם. צו פּרובירן דעם איר דאַרפֿן אַ פּראָגראַם וואָס אַוטפּוץ עפּעס - עס מיינט ווי אַ גוט קאַנדידאַט. אזוי פירט זי זיך געווענליך:

ls -la
total 36
drwxr-xr-x 2 fntlnz users 4096 Apr 28 21:09 .
drwxr-xr-x 4 fntlnz users 4096 Apr 26 13:01 ..
-rwxr-xr-x 1 fntlnz users 16800 Apr 28 21:09 filter-write
-rw-r--r-- 1 fntlnz users 19 Apr 28 21:09 .gitignore
-rw-r--r-- 1 fntlnz users 1282 Apr 28 21:08 main.c

ווונדערלעך! דאָ ס ווי ניצן אונדזער ראַפּער פּראָגראַם קוקט ווי: מיר פשוט פאָרן די פּראָגראַם מיר ווילן צו פּרובירן ווי דער ערשטער אַרגומענט:

./filter-write "ls -la"

ווען עקסאַקיוטאַד, דעם פּראָגראַם טראגט גאָר ליידיק רעזולטאַט. אָבער, מיר קענען נוצן סטראַסע צו זען וואָס איז געשעעניש:

strace -f ./filter-write "ls -la"

דער רעזולטאַט פון דער אַרבעט איז זייער פאַרקירצט, אָבער די קאָראַספּאַנדינג טייל פון עס ווייזט אַז רעקאָרדס זענען אפגעשטעלט מיט די EPERM טעות - די זעלבע וואָס מיר קאַנפיגיערד. דעם מיטל אַז דער פּראָגראַם טוט נישט רעזולטאַט עפּעס ווייַל עס קען נישט אַקסעס די שרייַבן סיסטעם רופן:

[pid 25099] write(2, "ls: ", 4) = -1 EPERM (Operation not permitted)
[pid 25099] write(2, "write error", 11) = -1 EPERM (Operation not permitted)
[pid 25099] write(2, "n", 1) = -1 EPERM (Operation not permitted)

איצט איר פֿאַרשטיין ווי Secomp BPF אַרבעט און האָבן אַ גוטע געדאַנק פון וואָס איר קענען טאָן מיט אים. אָבער וואָלט איר נישט ווי צו דערגרייכן די זעלבע זאַך מיט eBPF אַנשטאָט פון cBPF צו כאַרניס זיין פול מאַכט?

ווען איר טראַכטן וועגן eBPF מגילה, רובֿ מענטשן טראַכטן אַז זיי פשוט שרייַבן זיי און מאַסע זיי מיט אַדמיניסטראַטאָר פּריווילאַדזשאַז. כאָטש די ויסזאָגונג איז בכלל אמת, די קערן ימפּלאַמאַנץ אַ גאַנג פון מעקאַניזאַמז צו באַשיצן eBPF אַבדזשעקץ אין פאַרשידן לעוועלס. די מעקאַניזאַמז זענען גערופן BPF LSM טראַפּס.

BPF LSM טראַפּס

צו צושטעלן אַרקאַטעקטשער-פרייַ מאָניטאָרינג פון סיסטעם געשעענישן, LSM ימפּלאַמאַנץ דער באַגריף פון טראַפּס. א קרוק רופן איז טעקניקלי ענלעך צו אַ סיסטעם רופן, אָבער איז סיסטעם פרייַ און ינאַגרייטיד מיט די ינפראַסטראַקטשער. LSM גיט אַ נייַע באַגריף אין וואָס אַ אַבסטראַקציע שיכטע קענען העלפֿן ויסמיידן פּראָבלעמס ווען איר האַנדלען מיט סיסטעם רופט אויף פאַרשידענע אַרקאַטעקטשערז.

אין דער צייט פון שרייבן, דער קערן האט זיבן כוקס פֿאַרבונדן מיט BPF מגילה, און SELinux איז דער בלויז געבויט-אין LSM וואָס ימפּלאַמאַנץ זיי.

דער מקור קאָד פֿאַר די טראַפּס איז ליגן אין די קערן בוים אין דער טעקע include/linux/security.h:

extern int security_bpf(int cmd, union bpf_attr *attr, unsigned int size);
extern int security_bpf_map(struct bpf_map *map, fmode_t fmode);
extern int security_bpf_prog(struct bpf_prog *prog);
extern int security_bpf_map_alloc(struct bpf_map *map);
extern void security_bpf_map_free(struct bpf_map *map);
extern int security_bpf_prog_alloc(struct bpf_prog_aux *aux);
extern void security_bpf_prog_free(struct bpf_prog_aux *aux);

יעדער פון זיי וועט זיין גערופֿן אין פאַרשידענע סטאַגעס פון דורכפירונג:

- security_bpf - פּערפאָרמז אַן ערשט טשעק פון עקסאַקיוטאַד BPF סיסטעם רופט;

- security_bpf_map - טשעקס ווען דער קערן קערט אַ טעקע דיסקריפּטאָר פֿאַר די מאַפּע;

- security_bpf_prog - טשעקס ווען דער קערן קערט אַ טעקע דיסקריפּטאָר פֿאַר די eBPF פּראָגראַם;

- security_bpf_map_alloc - טשעקס צי די זיכערהייט פעלד אין BPF מאַפּס איז יניטיאַלייזד;

- security_bpf_map_free - טשעקס צי די זיכערהייט פעלד איז קלירד אין BPF מאַפּס;

- security_bpf_prog_alloc - טשעקס צי די זיכערהייט פעלד איז יניטיאַלייזד אין BPF מגילה;

- security_bpf_prog_free - טשעקס צי די זיכערהייט פעלד איז קלירד אין BPF מגילה.

איצט, ווען מיר זען אַלע דעם, מיר פֿאַרשטיין: דער געדאַנק הינטער LSM BPF ינטערסעפּטאָרס איז אַז זיי קענען צושטעלן שוץ צו יעדער eBPF אַבדזשעקט, ינשורינג אַז בלויז יענע מיט די צונעמען פּריווילאַדזשאַז קענען דורכפירן אַפּעריישאַנז אויף קאַרדס און מגילה.

קיצער

זיכערהייט איז נישט עפּעס איר קענען ינסטרומענט אין אַ איין-גרייס-פיץ-אַלע וועג פֿאַר אַלץ איר ווילן צו באַשיצן. עס איז וויכטיק צו קענען צו באַשיצן סיסטעמען אין פאַרשידענע לעוועלס און אין פאַרשידענע וועגן. גלויבן עס אָדער נישט, דער בעסטער וועג צו באַוואָרענען אַ סיסטעם איז צו אָרגאַניזירן פאַרשידענע לעוועלס פון שוץ פון פאַרשידענע שטעלעס, אַזוי אַז רידוסינג די זיכערהייט פון איין מדרגה טוט נישט לאָזן אַקסעס צו די גאנצע סיסטעם. די האַרץ דעוועלאָפּערס האָבן געטאן אַ גרויס אַרבעט צו געבן אונדז אַ סכום פון פאַרשידענע לייַערס און טאָוטפּוינץ. מיר האָפן אַז מיר האָבן געגעבן איר אַ גוטע פארשטאנד פון וואָס לייַערס זענען און ווי צו נוצן BPF מגילה צו אַרבעטן מיט זיי.

וועגן מחברים

דוד קאַלאַווער איז די CTO אין Netlify. ער האָט געארבעט אין דאָקער שטיצן און קאַנטריביוטיד צו דער אַנטוויקלונג פון Runc, Go און BCC מכשירים, ווי געזונט ווי אנדערע אָפֿן מקור פּראַדזשעקס. באַוווסט פֿאַר זיין אַרבעט אויף דאָקער פּראַדזשעקס און אַנטוויקלונג פון די דאָקקער פּלוגין יקאָוסיסטאַם. דוד איז זייער לייַדנשאַפטלעך וועגן פלאַם גראַפס און איז שטענדיק זוכט צו אַפּטאַמייז פאָרשטעלונג.

לאָרענזאָ פאָנטאַנאַ אַרבעט אויף די אָפֿן מקור מאַנשאַפֿט ביי Sysdig, ווו ער איז בפֿרט פאָוקיסט אויף Falco, אַ קלאָוד נאַטיווע קאַמפּיוטינג וויקיפּעדיע פּרויעקט וואָס גיט קאַנטיינער רונטימע זיכערהייט און אַנאַמאַלי דיטעקשאַן דורך אַ קערן מאָדולע און eBPF. ער איז לייַדנשאַפטלעך וועגן פונאנדערגעטיילט סיסטעמען, ווייכווארג דיפיינד נעטוואָרקינג, די לינוקס קערן און פאָרשטעלונג אַנאַליסיס.

» מער דעטאַילס וועגן דעם בוך קענען זיין געפֿונען אין אַרויסגעבער ס וועבזייַטל
» טיש פון אינהאַלט
» עקססערפּט

פֿאַר Khabrozhiteley 25% אַראָפּרעכענען מיט קופּאָן - לינוקס

ביי צאָלונג פון די פּאַפּיר ווערסיע פון ​​דעם בוך, אַן עלעקטראָניש בוך וועט זיין געשיקט דורך E- פּאָסט.

מקור: www.habr.com