如何使用eBPF和seccomp过滤器？

Question

如何使用eBPF和seccomp过滤器？

cbpfebpfseccomp

8

我正在寻找一个eBPF的示例，用于编写seccomp过滤器，但我找不到任何信息。请问有人能告诉我是否可以使用eBPF来编写seccomp过滤器吗？

- Maicake

2个回答

2

Kernel Runtime Security Instrumentation (KRSI)是为此而设计的。它已经被合并到内核中了。

- Natan Yellin

很遗憾，KRSI需要root权限，但seccomp不需要。 - Timmmm

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Qeole · Accepted Answer

6

目前，Seccomp在eBPF上不起作用（仅适用于cBPF）。

不久前，在Linux网络邮件列表上就该主题进行了讨论。 eBPF维护者反对将eBPF支持添加到Seccomp中。

- Qeole

“开放BPF给非特权用户的目标已被放弃，因为这是不可实现的，并且在该方向上的进一步工作将不会被BPF维护者接受。”但仍然可以在没有特权的情况下将ebpf套接字过滤器附加到udp套接字。那么这个声明是否意味着未来不可能实现？ - Maicake

1

很不可能，那会破坏用户API。Linux社区有强有力的政策来防止破坏现有的用户应用程序。 - Qeole

这个程序补丁已经合并到哪个内核中了？我该如何检查呢？在我的内核源代码中，我没有seccomp示例。 - Maicake

1

要搜索它，您可以尝试从git日志中grep它（例如git log --oneline | grep“eBPF Seccomp filters”）。它是BPF，所以可能会通过bpf-next树添加（但不确定，因为它还涉及安全问题）。但在实践中，您可以省去麻烦：我可以告诉您，截至今天，它尚未合并。（顺便说一下，完整的线程在此处）https://lore.kernel.org/netdev/20180226072651.GA27045@ircssh-2.c.rugged-nimbus-611.internal/）。 - Qeole