我想使用EBPF并在打开的系统调用上放置一个探针,因此当用户想要打开某个文件时,我将检查其名称,如果它是目标名称,则将阻止其打开。唯一的是我不知道如何实际实现这个目标。
此外,如果您能指定某种解决方案是否适用于uprobe或root探针,我将不胜感激。 非常感谢。
答案 0 :(得分:1)
TL; DR。当前无法使用BPF做到这一点。
Linux内核中目前没有没有选项可以使用eBPF对系统调用实施策略。不过,这可能会随着基于eBPF的LSM(Linux安全模块)的引入而改变(请参阅{{3} },Kernel Runtime Security Instrumentation和KRSI — the other BPF security module)。
不过,您可以