标签：CAP bpf ADMIN eBPF AntiRootkit SYS 调用 root

背景：

针对最近几年频繁出现的通过eBPF进行容器逃逸、rootkit等攻击，需要考虑如何收敛服务器ebpf相关权限，防止被黑客利用。

静态方案：

宿主机层面：

1. 非root用户不赋予CAP_BPF及CAP_SYS_ADMIN
   注：3.15 - 5.7 内核不赋予CAP_SYS_ADMIN即可 5.8及以后内核需要同时不存在CAP_BPF及CAP_SYS_ADMIN权限
2. 非root用户禁止调用ebpf功能 /proc/sys/kernel/unprivileged_bpf_disabled 设置为1
   1. 值为0表示允许非特权用户调用bpf
   2. 值为1表示禁止非特权用户调用bpf且该值不可再修改，只能重启后修改
   3. 值为2表示禁止非特权用户调用bpf，可以再次修改为0或1
3. 添加签名机制，只有经过签名的ebpf程序才可以加载(参考MTOS热补丁验签机制)

容器层面：

1. seccomp设置禁止bpf系统调用
2. 容器启动时禁止携带privilege参数
3. 非root用户不赋予CAP_BPF及CAP_SYS_ADMIN
4. 非root用户禁止调用ebpf功能 /proc/sys/kernel/unprivileged_bpf_disabled 设置为1

动态方案：

1. hook bpf / bpf_probe_write_user 等敏感函数，监控主机bpf事件
2. 枚举已经加载的bpf程序及map(此种方案只能针对普通bpf程序，如果bpf程序实现了rootkit对自身进行隐藏，那此种方案就无法生效）

本文由博客一文多发平台 OpenWrite 发布！

标签：CAP,bpf,ADMIN,eBPF,AntiRootkit,SYS,调用,root
来源： https://www.cnblogs.com/senberhu/p/15731083.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。