• Linux eBPFAntiRootkit


    背景:

    针对最近几年频繁出现的通过eBPF进行容器逃逸、rootkit等攻击,需要考虑如何收敛服务器ebpf相关权限,防止被黑客利用。

       静态方案:

          宿主机层面:

      1. 非root用户不赋予CAP_BPF及CAP_SYS_ADMIN
        注:3.15 - 5.7 内核不赋予CAP_SYS_ADMIN即可 5.8及以后内核需要同时不存在CAP_BPF及CAP_SYS_ADMIN权限
      2. 非root用户禁止调用ebpf功能 /proc/sys/kernel/unprivileged_bpf_disabled 设置为1
        1. 值为0表示允许非特权用户调用bpf
        2. 值为1表示禁止非特权用户调用bpf且该值不可再修改,只能重启后修改
        3. 值为2表示禁止非特权用户调用bpf,可以再次修改为0或1
      3. 添加签名机制,只有经过签名的ebpf程序才可以加载(参考MTOS热补丁验签机制)

        容器层面:

      4. seccomp设置禁止bpf系统调用
      5. 容器启动时禁止携带privilege参数
      6. 非root用户不赋予CAP_BPF及CAP_SYS_ADMIN
      7. 非root用户禁止调用ebpf功能 /proc/sys/kernel/unprivileged_bpf_disabled 设置为1

        动态方案:

      8. hook bpf / bpf_probe_write_user 等敏感函数,监控主机bpf事件
      9. 枚举已经加载的bpf程序及map(此种方案只能针对普通bpf程序,如果bpf程序实现了rootkit对自身进行隐藏,那此种方案就无法生效)
  • 相关阅读:
    python爬虫 -掘金
    python 爬取简书评论
    python爬取知乎评论
    python 爬取链家
    python爬虫获取下一页
    python正则找到字符串里面的数字
    faker切换user-agent
    python 爬虫可视化函数,可以先看看要爬取的数据是否存在
    acwing 471. 棋盘 解题记录
    ACWING 95 费解的开关 解题记录
  • 原文地址:https://www.cnblogs.com/wszme/p/15931894.html
Copyright © 2020-2023  润新知