导读:攻击者或恶意程序通常会通过尝试读取常见的各种配置文件内容的方式来获取系统内的敏感,以及会尝试更新特定系统文件的方式将攻击脚本长期驻留在被入侵的系统内。本文将介绍如何通过eBPF提供的各种主要特性实现审计和拦截文件读写操作的安全需求。
一、 审计文件读写操作
1. 基于eBPF Kprobe和Kretprobe实现
2. 基于eBPF Tracepoint实现
3. 基于eBPF LSM实现
二、 拦截文件读写操作
1. 基于bpf_send_signal实现
2. 基于bpf_override_return实现
3. 基于eBPF LSM实现
三、总结
首先我们来看一下如何审计文件读写操作。我们可以通过追踪名为vfs_open的内核函数或追踪openat系统调用的方式审计文件读写操作。
我们首先确定一下审计文件读写操作需要审计的信息。简单起见,我们只审计关键的信息,主要包括如下信息。
● 进程ID:发起文件读写操作的进程的ID。
● 进程名称:发起文件读写操作的进程的名称。
● 文件名称:被读写的文件的名称。
● 文件打开模式:文件被打开时设置的模式信息。
确定了需要审计的内容后,下面将选择几个常见的代表性方法介绍如何使用eBPF特性实现文件读写操作的审计功能。
基于eBPFKprobe特性编写eBPF程序的前提是确定需要追踪的内核函数。对于文件读写操作,这里决定通过追踪内核函数vfs_open来实现。
我们先来看一下vfs_open函数的签名。
int vfs_open(const struct path *path, struct file *file)
由vfs_open函数的签名可以看到,我们通过追踪这个函数能够获取到调用时传递的文件名称相关信息以及文件操作的参数信息。
我们可以从path参数中获取打开的文件名称,关键点是如何从path->dentry->d_name中获取文件名称。获取文件名称的实现方法如下。
static void get_file_path(const struct path *path, char *buf, size_t size)
{
struct qstr dname;
dname = BPF_CORE_READ(path, dentry, d_name);
bpf_probe_read_kernel(buf, size, dname.name);
}
SEC("kprobe/vfs_open")
int BPF_KPROBE(kprobe_vfs_open, const struct path *path, struct file *file) {
// 省略部分代码
// 获取文件名称
get_file_path(path, event.filename, sizeof(event.filename));
// 省略部分代码
}
我们还可以直接从file参数中获取文件打开模式。
event.fmode = BPF_CORE_READ(file, f_mode);
确定了获取事件参数的方法后,eBPF程序最关键的逻辑就已经确定了。剩下的通过eBPFMap保存中间结果、获取函数执行结果、将完整的事件信息提交到环形缓冲区的逻辑,这里就不再赘述。
通过追踪内核函数vfs_open实现审计文件读写操作的eBPF程序的关键代码如下。
static void get_file_path(const struct path *path, char *buf, size_t size)
{
struct qstr dname;
dname = BPF_CORE_READ(path, dentry, d_name);
bpf_probe_read_kernel(buf, size, dname.name);
}
SEC("kprobe/vfs_open")
int BPF_KPROBE(kprobe_vfs_open, const struct path *path, struct file *file) {
pid_t tid;
struct event_t event = {};
tid = (pid_t)bpf_get_current_pid_tgid();
event.pid = bpf_get_current_pid_tgid() >> 32;
bpf_get_current_comm(&event.comm, sizeof(event.comm));
// 获取打开模式
event.fmode = BPF_CORE_READ(file, f_mode);
// 获取文件名称
get_file_path(path, event.filename, sizeof(event.filename));
// 保存获取到的 event 信息
bpf_map_update_elem(&entries, &tid, &event, BPF_NOEXIST);
return 0;
}
SEC("kretprobe/vfs_open")
int BPF_KRETPROBE(kretprobe_vfs_open, long ret) {
pid_t tid;
struct event_t *event;
// 获取 kprobe_vfs_open 中保存的 event 信息
tid = (pid_t)bpf_get_current_pid_tgid();
event = bpf_map_lookup_elem(&entries, &tid);
if (!event)
return 0;
// 保存执行结果
event->ret = (int)ret;
// 将事件提交到 events 中供用户态程序消费
bpf_perf_event_output(ctx, &events, BPF_F_CURRENT_CPU, event, sizeof(*event));
// 删除保存的 event 信息
bpf_map_delete_elem(&entries, &tid);
return 0;
}
如前所述,我们也可以通过追踪系统调用openat实现审计文件读写操作的功能。因此,我们这里来看一下如何基于eBPFTracepoint特性通过追踪openat系统调用实现我们需要的审计功能。
在编写基于Tracepoint实现的追踪openat系统调用的eBPF代码前,我们需要先查看一下sys_enter_openat事件的参数信息。
$ sudo cat /sys/kernel/debug/tracing/events/syscalls/sys_enter_openat/format
name: sys_enter_openat
ID: 638
format:
field:unsigned short common_type; offset:0; size:2; signed:0;
field:unsigned char common_flags; offset:2; size:1; signed:0;
field:unsigned char common_preempt_count; offset:3; size:1; signed:0;
field:int common_pid; offset:4; size:4; signed:1;
field:int __syscall_nr; offset:8; size:4; signed:1;
field:int dfd; offset:16; size:8; signed:0;
field:const char * filename; offset:24; size:8; signed:0;
field:int flags; offset:32; size:8; signed:0;
field:umode_t mode; offset:40; size:8; signed:0;
print fmt: "dfd: 0x%08lx, filename: 0x%08lx, flags: 0x%08lx, mode: 0x%08lx",
((unsigned long)(REC->dfd)), ((unsigned long)(REC->filename)), ((unsigned long)
(REC->flags)), ((unsigned long)(REC->mode))
由以上代码可知,我们可以从第2个参数中获取文件名称信息,可以从第4个参数中获取文件打开模式。
SEC("tracepoint/syscalls/sys_enter_openat")
int tracepoint_syscalls__sys_enter_openat(struct trace_event_raw_sys_enter *ctx) {
// 省略部分代码
// 从 ctx->args[3] 中获取文件打开模式
event.fmode = (int)BPF_CORE_READ(ctx, args[3]);
// 从 ctx->args[1] 中获取被打开的文件名称
filename = (char *)BPF_CORE_READ(ctx, args[1]);
bpf_probe_read_user_str(event.filename, sizeof(event.filename), filename);
// 省略部分代码
}
获取到所需的参数信息后,我们就可以编写剩下的代码了。基于Tracepoint技术实现的追踪openat系统调用的eBPF程序的关键代码如下。
SEC("tracepoint/syscalls/sys_enter_openat")
int tracepoint_syscalls__sys_enter_openat(struct trace_event_raw_sys_enter *ctx) {
pid_t tid;
struct event_t event = {};
char *filename;
tid = (pid_t)bpf_get_current_pid_tgid();
// 获取进程 ID
event.pid = bpf_get_current_pid_tgid() >> 32;
// 执行 openat 的进程名称
bpf_get_current_comm(&event.comm, sizeof(event.comm));
// 获取文件打开模式
event.fmode = (int)BPF_CORE_READ(ctx, args[3]);
// 从 ctx->args[1] 中获取被打开的文件名称
filename = (char *)BPF_CORE_READ(ctx, args[1]);
bpf_probe_read_user_str(event.filename, sizeof(event.filename), filename);
// 保存获取到的 event 信息
bpf_map_update_elem(&entries, &tid, &event, BPF_NOEXIST);
return 0;
}
SEC("tracepoint/syscalls/sys_exit_openat")
int tracepoint_syscalls__sys_exit_openat(struct trace_event_raw_sys_exit *ctx) {
pid_t tid;
struct event_t *event;
// 获取 tracepoint_syscalls__sys_enter_openat 中保存的 event 信息
tid = (pid_t)bpf_get_current_pid_tgid();
event = bpf_map_lookup_elem(&entries, &tid);
if (!event)
return 0;
// 保存执行结果
event->ret = (int)BPF_CORE_READ(ctx, ret);
// 将事件提交到 events 中供用户态程序消费
bpf_perf_event_output(ctx, &events, BPF_F_CURRENT_CPU, event, sizeof(*event));
// 删除保存的 event 信息
bpf_map_delete_elem(&entries, &tid);
return 0;
}
基于eBPF提供的LSM特性编写相应的事件处理程序也可以实现审计文件读写操作的功能。
通常情况下,我们使用的Linux发行版本即便内核版本已经大于等于5.7(内核从5.7版本开始支持eBPF LSM特性),默认也不会开启eBPF的LSM特性。但是,我们可以通过如下方法手动启用LSM特性。
1)确认内核配置中包含CONFIG_BPF_LSM=y配置项,如果未包含该配置项,则需要重新编译内核。
$ grep CONFIG_BPF_LSM /boot/config-$(uname -r)
CONFIG_BPF_LSM=y
2)确认/sys/kernel/security/lsm文件的内容中包含bpf配置项。
$ cat /sys/kernel/security/lsm
lockdown,capability,yama,apparmor,bpf
3)如果/sys/kernel/security/lsm文件的内容没有包含bpf配置项,可以通过下面的方法修改配置。
● 修改配置文件/etc/default/grub中的GRUB_CMDLINE_LINUX配置,增加bpf配置项。
$ grep GRUB_CMDLINE_LINUX= /etc/default/grub
GRUB_CMDLINE_LINUX="lsm=lockdown,capability,yama,apparmor,bpf"
● 更新GRUB配置。
sudo update-grub2
● 重启系统。修改完配置后需要重启操作系统,新的配置才会生效。
在确保系统启用了eBPF LSM特性后,我们就可以开始编写基于eBPF LSM实现追踪文件读写操作的eBPF程序了。
首先需要确认可以使用LSM提供的哪个追踪点实现我们的需求。可以在内核源码文件include/linux/lsm_hooks.h中查找可用的LSM追踪点,阅读源码后,我们决定使用file_open追踪点。file_open追踪点的说明如下。
● 保存打开时的权限检查状态用于后续使用file_permission。
● 如果在inode_permission的内容确定后发生了任何改变,则将重新检测访问权限。
● 如果返回0则表示权限被允许。
确认使用file_open追踪点后,我们来看一下这个追踪点事件的参数信息。可以在内核源码文件include/linux/lsm_hook_defs.h中获取到这个信息。
LSM_HOOK(int, 0, file_open, struct file *file)
由于上面的file参数是file结构体类型,因此我们可以从中获取被打开的文件名称及文件打开模式信息。
static void get_file_path(const struct file *file, char *buf, size_t size)
{
struct qstr dname;
dname = BPF_CORE_READ(file, f_path.dentry, d_name);
bpf_probe_read_kernel(buf, size, dname.name);
}
SEC("lsm/file_open")
int BPF_PROG(lsm_file_open, struct file *file) {
// 省略部分代码
// 获取打开模式
event.fmode = BPF_CORE_READ(file, f_mode);
// 获取文件名称
get_file_path(file, event.filename, sizeof(event.filename));
// 省略部分代码
}
最后就可以基于上面这些信息编写eBPF程序了。基于eBPFLSM特性实现的审计文件读写操作的eBPF程序的关键代码如下。
static void get_file_path(const struct file *file, char *buf, size_t size)
{
struct qstr dname;
dname = BPF_CORE_READ(file, f_path.dentry, d_name);
bpf_probe_read_kernel(buf, size, dname.name);
}
SEC("lsm/file_open")
int BPF_PROG(lsm_file_open, struct file *file) {
struct event_t event = {};
event.pid = bpf_get_current_pid_tgid() >> 32;
bpf_get_current_comm(&event.comm, sizeof(event.comm));
// 获取打开模式
event.fmode = BPF_CORE_READ(file, f_mode);
// 获取文件名称
get_file_path(file, event.filename, sizeof(event.filename));
// 将事件提交到 events 中供用户态程序消费
bpf_perf_event_output(ctx, &events, BPF_F_CURRENT_CPU, &event, sizeof(event));
return 0;
}
在实现拦截操作中,比较关键的一个步骤就是如何决策是否需要拦截当前事件。对于文件读写操作,假设我们只拦截通过cat命令打开文件的操作(仅作示例,实际场景下一般不用这种基于命令名称的判断作为决策),那么可以通过下面的方法判断文件读写事件是否满足被拦截的条件。
首先,我们需要定义两个函数,一个函数str_len用于获取字符串长度,另一个函数str_eq用于判断两个字符串是否相等。
static __always_inline bool str_eq(const char *a, const char *b, int len)
{
for (int i = 0; i < len; i++) {
if (a[i] != b[i])
return false;
if (a[i] == '\0')
break;
}
return true;
}
static __always_inline int str_len(char *s, int max_len)
{
for (int i = 0; i < max_len; i++) {
if (s[i] == '\0')
return i;
}
if (s[max_len - 1] != '\0')
return max_len;
return 0;
}
然后,我们再在eBPF程序中使用这两个函数检查进程名称,确认当前进程名称是否是需要拦截的名称。如果是,则执行拦截操作。
SEC("tracepoint/syscalls/sys_enter_openat")
int tracepoint_syscalls__sys_enter_openat(struct trace_event_raw_sys_enter *ctx) {
// 省略部分代码
char target_comm[TASK_COMM_LEN] = "cat";
bpf_get_current_comm(&event.comm, sizeof(event.comm));
// 决策是否需要拦截当前事件
if (!str_eq(event.comm, target_comm, str_len(target_comm, TASK_COMM_LEN)))
return 0;
// 拦截操作
// 省略部分代码
}
借助bpf-helpers提供的辅助函数bpf_send_signal,我们同样可以实现拦截文件读写操作的需求。基于bpf_send_signal实现的拦截文件读写操作的关键代码如下。
SEC("tracepoint/syscalls/sys_enter_openat")
int tracepoint_syscalls__sys_enter_openat(struct trace_event_raw_sys_enter *ctx) {
// 省略部分代码
// 决策是否需要拦截当前事件
if (!str_eq(event.comm, target_comm, str_len(target_comm, TASK_COMM_LEN)))
return 0;
// 拦截
long ret = bpf_send_signal(SIGKILL);
// 省略部分代码
}
同样的,借助bpf-helpers提供的辅助函数bpf_override_return也可以实现拦截文件读写操作的需求。基于bpf_override_return实现的拦截文件读写操作的关键代码如下。
SEC("tracepoint/syscalls/sys_enter_openat")
int tracepoint_syscalls__sys_enter_openat(struct trace_event_raw_sys_enter *ctx) {
// 省略部分代码
// 决策是否需要替换返回值
if (!str_eq(event.comm, target_comm, str_len(target_comm, TASK_COMM_LEN)))
return 0;
// 保存要替换的返回值
bpf_map_update_elem(&override_tasks, &tid, &err, BPF_NOEXIST);
// 省略部分代码
}
SEC("kprobe/__x64_sys_openat")
int BPF_KPROBE(kprobe_sys_openat_with_override)
{
// 省略部分代码
// 查找是否需要替换返回值
tid = (pid_t)bpf_get_current_pid_tgid();
err = bpf_map_lookup_elem(&override_tasks, &tid);
if (!err)
return 0;
// 替换返回值
bpf_override_return(ctx, *err);
bpf_map_delete_elem(&override_tasks, &tid);
return 0;
}
由前文eBPFLSM提供的file_open追踪点的说明可知,可以通过返回非0的方式在处理file_open事件的时候进行拦截操作。
了解这个信息后,要基于eBPFLSM实现拦截文件读写操作就比较简单了。修改后包含拦截逻辑的file_open事件处理函数的eBPF程序关键代码如下。
SEC("lsm/file_open")
int BPF_PROG(lsm_file_open, struct file *file) {
// 省略部分代码
// 决策是否需要拦截当前事件
if (!str_eq(event.comm, target_comm, str_len(target_comm, TASK_COMM_LEN)))
return 0;
// 省略部分代码
// 拦截
return -1;
}
上面的代码逻辑很简单,只是将返回值由之前的0改为-1就实现了拦截功能.
本文介绍了如何使用eBPF技术实现审计文件读写操作,包括基于eBPF提供的Kprobe/Kretprobe、Tracepoint及LSM特性等方法,并探讨了如何使用bpf_send_signal和bpf_override_return辅助函数及LSM实现拦截文件读写操作。此外,我们还提供了各种方法的关键实现代码以供参考。如果您对eBPF技术的其他落地应用感兴趣,推荐您阅读黄竹刚、匡大虎老师的新书 eBPF云原生安全:原理与实践》。
本文摘编自《eBPF云原生安全:原理与实践》(书号:978-7-111-75804-4),经出版方授权发布,转载请保留文章来源。
《eBPF云原生安全:原理与实践》是一本系统讲解如何使用eBPF技术构建云原生安全防线的著作,是一本面向eBPF技术爱好者和云安全领域从业者的实战宝典,从原理与实践角度详述了eBPF技术在云原生安全领域正在发生的关键作用,是作者多年构筑云原生安全纵深防御经验的总结。本书详细阐述了eBPF技术的核心原理以及在云原生安全领域的应用价值,并结合大量的代码案例分析,深入探讨了在典型的云原生安全需求场景下使用eBPF技术可以帮助实现的安全功能和实践原理,同时也讲述了可能引入的安全风险,帮助读者从零基础快速了解eBPF技术,开始eBPF安全编程。
作者简介
黄竹刚,阿里云容器服务技术专家,eBPF技术爱好者,云原生安全领域从业人员,拥有十余年软件开发经验,熟悉Python、Go等多种编程语言,热爱开源并长期活跃于开源社区。
匡大虎,阿里云容器服务高级技术专家,曾就职于IBM和华为云。专注云原生安全,有十余年的云计算和容器安全攻防经验,负责阿里云容器服务团队安全产品能力的架构设计和研发工作。
