【问题标题】:How to use seccomp filter with ebpf?如何在 ebpf 中使用 seccomp 过滤器?
【发布时间】:2020-01-02 21:25:15
【问题描述】:

我正在寻找 eBPF 的示例来编写 seccomp 过滤器,但我找不到。有人可以告诉我是否可以使用 eBPF 来编写 seccomp 过滤器?

【问题讨论】:

    标签: c bpf ebpf seccomp


    【解决方案1】:

    Seccomp 目前不适用于 eBPF(仅限 cBPF)。

    不久前,在 Linux 网络邮件列表上有关于该主题的 a discussion。 eBPF 维护者反对向 seccomp 添加 eBPF 支持。

    【讨论】:

    • “向非特权用户开放 BPF 的目标已被放弃,因为无法实现,并且 BPF 维护者不会接受在该方向上的进一步工作”,仍然可以附加一个 ebpf 套接字过滤器到没有特权的 udp 套接字。这种说法是否意味着将来不可能?
    • 极不可能,这会破坏用户 API。 Linux 社区对破坏现有用户应用程序有严格的政策。
    • lists.linuxfoundation.org/pipermail/containers/2018-February/… 这个补丁是否合并到某个内核中?我怎样才能检查它?在我的内核源代码中,我没有 seccomp 示例。
    • 要搜索它,您可以尝试从 git 日志中 grep 它(例如git log --oneline | grep "eBPF Seccomp filters")。它是 BPF,所以它可能会通过 bpf-next 树添加(但不能 100% 确定,因为它也涉及安全问题)。但在实践中,您可以省去麻烦:我可以告诉您,截至今天它还没有被合并。 (顺便说一下全线程here)。
    【解决方案2】:

    【讨论】:

    • 不幸的是,KRSI 需要 root,但 seccomp 不需要。
    猜你喜欢
    • 1970-01-01
    • 2013-11-18
    • 2021-08-27
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多