eBPF运行时安全

引言

eBPF作为当前linux系统上最为炙手可热的技术，通常被用于网络流量过滤和分析、系统调用跟踪、性能优化、安全监控，当下比较知名的项目有Cilium、Falco等。

Cilium 是一个开源的容器网络和安全性项目，致力于提供高效的容器通信和强大的安全性功能，Cilium 基于eBPF、XDP、TC等技术实现了Layer 3（IP）、Layer 4（TCP/UDP）以及 HTTP 层的负载均衡和网络防护，是一款非常优秀的网络安全工具。Falco是一个开源的云原生应用安全项目，旨在提供运行时容器安全性监控和威胁检测，Falco通过监视容器运行时环境的系统调用和其他事件，检测并报告可能的异常行为和安全威胁，使系统管理员和开发人员能够更好地了解和响应与容器运行时环境相关的安全问题。

Cilium 和Falco在其各自的领域都是非常优秀的存在，但是它们在运行时安全上面都存在一些缺失，缺少对运行时进程的实时阻断能力。这是否意味着eBPF无法实现运行时的阻断？答案是否定的，在eBPF的后续不断发展的过程中，增加了对进程和内核函数的阻断能力，这让基于eBPF构建一款运行时安全产品成为可能。

Tetragon

2022年5月，Isovalent发布了基于 eBPF 的安全可观察性和运行时执行项目Tetragon，Tetragon可以根据规则在内核中同步进行过滤、阻止和响应，从而可以防止攻击，而不是异步地对其做出反应。

Tetragon是一款运行时安全执行和可观测性工具。这意味着Tetragon直接在内核中使用eBPF应用策略和过滤。它在内核中执行过滤、阻断和对事件的响应，而不是将事件发送到用户空间代理。对于可观测性用例，直接在内核中应用过滤器极大地减少了观测开销。通过避免昂贵的上下文切换和唤醒，特别是对于高频事件（如发送、读取或写入操作），eBPF减少了所需的资源。相反，Tetragon在eBPF中提供了丰富的过滤器（文件、套接字、二进制名称、命名空间/权限等），允许用户在其特定上下文中指定重要和相关的事件，并仅将这些事件传递到用户空间代理。

Tetragon可以钩入Linux内核中的任何函数，并在其参数、返回值以及Tetragon收集的有关进程（例如可执行文件名称）、文件和其他属性的关联元数据上进行过滤。通过编写跟踪策略，用户可以解决各种安全性和可观测性用例。关键是，Tetragon允许在内核深层进行挂钩，用户空间应用程序无法操纵数据结构，从而避免了系统调用跟踪中常见的问题，如错误读取数据、被攻击者恶意更改数据，或由于页面错误和其他用户/内核边界错误而丢失数据。Tetragon的许多开发人员同时也是内核开发人员。通过充分利用这一知识基础，Tetragon创建了一组可以解决许多常见可观测性和安全性用例的跟踪策略。

Tetragon通过eBPF技术可以访问Linux内核状态。然后，Tetragon可以将这个内核状态与Kubernetes感知或用户策略结合起来，以实时由内核执行的方式创建规则。这使得可以对进程命名空间和权限、进程与套接字的关系、进程文件描述符与文件名等进行注解和强制执行。例如，当应用程序更改其特权时，我们可以创建一个策略，触发警报甚至在进程有机会完成系统调用并可能运行其他系统调用之前终止该进程。

根据上述介绍，Tetragon具备了在内核中阻断的能力，那么到底Tetragon是如何进行阻断的呢？是使用了eBPF中的什么功能实现的呢？

分析Tetragon的源码发现，Tetragon在使用了send_signal()函数下发FGS_SIGKILL指令给当前进程，完成阻断动作，这个动作相当于在用户态发送kill -9指令给进程。send_signal()函数是eBPF的内置函数，在linux 5.3版本内核中引入。

除了send_signal()函数，eBPF还提供了其它的阻断方式，在linux 5.7版本内核中eBPF添加了LSM的支持，开发者可以在eBPF中基于LSM实现更细粒度的管。出于兼容性的考虑，Tetragon没有选择eBPF LSM。下面通过例子演示一下这两种阻断方式。

send_signal()

send_signal()是eBPF的一个功能，它允许用户在内核空间发送信号来干预指定的进程。这个功能是Linux 5.3内核提供的一种新的方法，用于实时响应和控制系统行为。通过直接从内核空间发送信号，避免了用户空间的额外开销，从而确保信号能够在事件发生后立即被发送，大大减少了延迟。

send_signal()的主要优势包括：

实时响应：由于减少了延迟，信号可以在事件发生后立即被发送，实现实时响应。

准确性：减少的延迟使得我们可以获得更准确的系统状态快照，对于性能分析和异常检测尤为重要。

灵活性：send_signal()提供了更多的灵活性，开发人员可以根据不同的使用场景和需求来自定义信号的发送逻辑，从而更精确地控制和管理系统行为。

我们使用kprobe配合bpf_send_signal()来阻断内核中do_sys_openat2函数，do_sys_openat2是一个Linux内核函数，用于在指定的目录下打开文件或创建文件。例如我们可以配置阻断curl，以阻止用户使用curl对网络进行访问。

当用户使用curl的时候，eBPF程序会发送bpf_send_signal(9)杀死当前进程。

eBPF LSM

上文提到，Tetragon使用send_signal()函数来杀死当前进程，以达到运行时控制的目的。那么有没有一种更细粒度的控制方式，比如只是对进程的某个函数进程控制？答案是有的，eBPF LSM可以做到这一点。

LSM（Linux Security Module）是Linux内核中的一个安全框架，它从linux2.6版本内核开始引入。LSM 提供了一系列的安全钩子（hooks），这些钩子允许安全模块在关键系统操作发生时介入。例如，文件系统操作、网络通信、进程创建等都有相应的钩子，允许模块执行安全检查和控制。

eBPF LSM是eBPF技术的扩展，于linux 5.7版本内核引入，让eBPF程序有了使用LSM框架的能力。借助LSM框架，eBPF 程序可以阻止进程执行过程中的某个特定函数，而不用将整个程序kill掉。

下面是一个LSM BPF程序，功能是对特定应用发送网络包的行为进行阻拦，选择socket_sendmsg这个LSM钩子，当使用curl请求网络包的时候，就会进行阻拦：

可以看到这里与bpf_send_signal(9)有一些不同，使用LSM BPF只是阻止了socket_sendmsg这个调用，而非直接杀死进程。

总结

借助eBPF中的阻断能力，特别是对LSM的支持，开发者现在不光可以监控内核中的活动，也可以控制内核中函数的执行。相信在未来我们会看到越来越多基于eBPF的运行时安全产品。