BPF 程序与信号交互大揭秘

2024年1月9日

| BPF security system

本文地址： https://www.ebpf.top/post/how-ebpf-interacts-signals 原文：Signaling from within: how eBPF interacts with signals 1. 背景 2. 动机 3. 场景：拦截 openat(2) 4. 内核如何处理 SIGKILL 信号？ 5. 什么信号要后置处理 6. 通过 BPF程序触发 SIGKILL 7. 自愿信号检查 8. open & write 操作竞争（Racing） 9. 其他影响 10. 结论本文探讨了 eBPF 程序生成的 UNIX 信号的一些语义。 1. 背景信号自 1971 年 UNIX 第一版问世以来就一直……

阅读全文

LSM BPF 实践

2024年1月4日

| BPF security

本文地址：https://www.ebpf.top/post/lsm_bpf_intro 1. 安全背景知识 2. 内核安全策略模块通用框架 LSM 2.1 LSM 框架介绍 2.2 LSM 架构 2.3 LSM 中的钩子函数 3. LSM BPF 3.1 BCC 实践 3.2 libbpf-bootstrap 框架实践 4. 总结 5. 附录：LSM 热修内核漏洞查找 hook 点过程 1. 安全背景知识国际上对计算机安全概括了三个特……

阅读全文

【BPF 攻防系列-2】【译】恶意使用的 bpftrace 🤯

2021年12月18日

| BPF offensive security

本文地址：https://www.ebpf.top/post/offensive-bpf-bpftrace 本篇文章是我正在进行的关于 BPF 攻防系列的一部分，用于学习 BPF 以了解相关的攻击和防御，请点击 “ebpf” 标签查看所有相关帖子。我正在学习 BPF，以了解其使用将如何影响安全攻击、恶意软件和检测……

阅读全文

【BPF 攻防系列-1】【译】开战！！！

2021年12月17日

| BPF offensive security

本文地址：https://www.ebpf.top/post/offensive-bpf-getting-started 在近几年来，eBPF 在 Linux 社区和之外得到了越来越多的关注。 eBPF 在攻击场景中的使用也逐渐引起大家的关注。因此，我决定从红队的角度进入深入探讨，以让大家对此有个整体的认……

阅读全文

深入浅出 eBPF 安全项目 Tracee

2021年9月7日

| security BPF

1. Tracee 介绍 1.1 Tracee 介绍 Tracee 是一个用于 Linux 的运行时安全和取证工具。它使用 Linux eBPF 技术在运行时跟踪系统和应用程序，并分析收集的事件以检测可疑的行为模式。Tracee 以 Docker 镜像的形式交付，监控操作系统并根据预定义的行为模式集检测可疑行为。官网文档参见这里。 Tracee 由以下子项目组成： Trace-eBPF - 使用 eBPF 进行 Linux 追踪和取证……

阅读全文

初识容器安全项目 Falco

2021年2月26日

| security

1. 为什么需要 Falco？容器化普及进行的如火如荼，但是无论是公有云环境还是企业内部的容器化环境，都有可能会面对部分异常的用户行为，有些是有意为之，有些可能是无意之失，但是都可能给容器底层的主机造成安全的隐患。容器的工作模式是共享宿主机内核，从出道以来就面临着各种安全的问题，比如 Fork……

阅读全文

【BPF入门系列-5】基于 eBPF 实现容器运行时安全

2021年1月1日

| BPF foundation security

本文作者：范彬 1 前言随着容器技术的发展，越来越多业务甚至核心业务开始采用这一轻量级虚拟化方案。作为一项依然处于发展阶段的新技术，容器的安全性在不断提高，也在不断地受到挑战。天翼云云容器引擎于去年11月底上线，目前已经在22个自研资源池部署上线。天翼云云容器引擎使用 ebpf 技术实现了细粒……

阅读全文

分类 security 中的文章

BPF 程序与信号交互大揭秘

LSM BPF 实践

【BPF 攻防系列-2】【译】恶意使用的 bpftrace 🤯

【BPF 攻防系列-1】【译】开战！！！

深入浅出 eBPF 安全项目 Tracee

初识容器安全项目 Falco

【BPF入门系列-5】基于 eBPF 实现容器运行时安全

最近文章

分类

标签

友情链接

其它