Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 3
Поделитесь, если у вас есть какие-то подобные находки или другие проблемы eBPF, которые хотелось бы осветить
Проблема доступа к чужим eBPF-картам – не баг конкретного инструмента, а следствие DAC-модели Linux: все процессы с CAP_SYS_ADMIN равны, ядро не ведёт учёт владельца карты. Правильное решение не патчить bpftool, а переходить на LSM BPF hooks (доступны с Linux 5.7) – они дают MAC-контроль на уровне eBPF-объектов без кастомных kernel-модулей.
Спасибо за уточнения с LSM BPF hooks Действительно, в статье я лишь частично упомянула проблему модели доступа, но не углублялась в MAC-решения. Проблема всей системы, но по тому что я вижу, ее часто не связывают с использованием eBPF
Если не секрет, есть ли у вас опыт использования LSM BPF hooks в продакшене? Или опыт внедрения поверх существующих eBPF-агентов? Интересно было бы про это узнать подробнее
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
(Не)безопасный eBPF: что маркетологи забыли упомянуть об уязвимостях