微軟貢獻(xiàn)開(kāi)源 Hornet LSM 模塊，強(qiáng)化 Linux 內(nèi)核 eBPF 安全

IT之家 3 月 22 日消息，科技媒體 phoronix 昨日（3 月 21 日）發(fā)布博文，報(bào)道稱微軟向 Linux 內(nèi)核社區(qū)提交了新的開(kāi)源貢獻(xiàn)-- Hornet，這是一個(gè)用于驗(yàn)證 eBPF 程序簽名的 Linux 安全模塊（LSM）。

IT之家注：eBPF 全稱 Extended Berkeley Packet Filter，是一種在 Linux 內(nèi)核中運(yùn)行程序的技術(shù)。在無(wú)需修改內(nèi)核源代碼或加載內(nèi)核模塊的情況下，eBPF 支持開(kāi)發(fā)者在 Runtime 安全、高效地?cái)U(kuò)展內(nèi)核功能。

微軟長(zhǎng)期以來(lái)一直是 eBPF 技術(shù)的積極推動(dòng)者，該技術(shù)能夠在 Linux 內(nèi)核中安全高效地運(yùn)行定制程序。Hornet 的推出標(biāo)志著微軟在 eBPF 領(lǐng)域的進(jìn)一步深耕，旨在提升 eBPF 程序的安全性。

Hornet 采用與內(nèi)核模塊類似的簽名驗(yàn)證機(jī)制。具體來(lái)說(shuō)，它會(huì)在可執(zhí)行文件的末尾附加一個(gè) pkcs#7 簽名。在調(diào)用 bpf_prog_load 時(shí)，Hornet 會(huì)從當(dāng)前任務(wù)的可執(zhí)行文件中提取簽名，并利用該簽名驗(yàn)證傳入內(nèi)核的 bpf 指令和映射的完整性。

此外，Hornet 默認(rèn)信任從內(nèi)核內(nèi)部加載的程序，而非用戶空間的程序。這一設(shè)計(jì)讓 BPF_PRELOAD 程序和 BPF_SYSCALL 程序能順利輸出。Hornet 還支持輕量級(jí)加載器和靜態(tài)生成程序，確保所有在內(nèi)核中運(yùn)行的代碼都經(jīng)過(guò)簽名驗(yàn)證。

除了 Hornet LSM 模塊，微軟還提議在 Linux 內(nèi)核源碼樹(shù)中引入一個(gè)新的工具 ——sign-ebpf，用于簽名 eBPF 程序。開(kāi)發(fā)者可以通過(guò)查看 RFC 補(bǔ)丁系列了解 Hornet LSM 的詳細(xì)實(shí)例。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。