如何停止使用Ebpf打开文件?

时间:2020-02-09 15:26:19

标签: python linux file filesystems ebpf

我想使用EBPF并在打开的系统调用上放置一个探针,因此当用户想要打开某个文件时,我将检查其名称,如果它是目标名称,则将阻止其打开。唯一的是我不知道如何实际实现这个目标。

此外,如果您能指定某种解决方案是否适用于uprobe或root探针,我将不胜感激。 非常感谢。

1 个答案:

答案 0 :(得分:1)

TL; DR。当前无法使用BPF做到这一点。

Linux内核中目前没有没有选项可以使用eBPF对系统调用实施策略。不过,这可能会随着基于eBPF的LSM(Linux安全模块)的引入而改变(请参阅{{3} },Kernel Runtime Security InstrumentationKRSI — the other BPF security module)。

不过,您可以使用seccomp-bpf在syscall上强制执行策略,但是它使用的是旧的BPF字节码cBPF而不是eBPF。但是,对于KRSI and proprietary BPF programs无法检查通过seccomp-bpf指针传递的syscall参数;因此您将无法检查正在打开的文件的名称。

相关问题
最新问题