3 月 22 日消息,科技媒體 phoronix 昨日(3 月 21 日)發(fā)布博文��,報道稱微軟向 Linux 內(nèi)核社區(qū)提交了新的開源貢獻-- Hornet��,這是一個用于驗證 eBPF 程序簽名的 Linux 安全模塊(LSM)��。
注:eBPF 全稱 Extended Berkeley Packet Filter����,是一種在 Linux 內(nèi)核中運行程序的技術(shù)�。在無需修改內(nèi)核源代碼或加載內(nèi)核模塊的情況下,eBPF 支持開發(fā)者在 Runtime 安全��、高效地擴展內(nèi)核功能�。
微軟長期以來一直是 eBPF 技術(shù)的積極推動者,該技術(shù)能夠在 Linux 內(nèi)核中安全高效地運行定制程序��。Hornet 的推出標志著微軟在 eBPF 領(lǐng)域的進一步深耕�,旨在提升 eBPF 程序的安全性。
Hornet 采用與內(nèi)核模塊類似的簽名驗證機制�。具體來說�����,它會在可執(zhí)行文件的末尾附加一個 pkcs7 簽名�。在調(diào)用 bpf_prog_load 時���,Hornet 會從當(dāng)前任務(wù)的可執(zhí)行文件中提取簽名����,并利用該簽名驗證傳入內(nèi)核的 bpf 指令和映射的完整性�。
此外�����,Hornet 默認信任從內(nèi)核內(nèi)部加載的程序����,而非用戶空間的程序。這一設(shè)計讓 BPF_PRELOAD 程序和 BPF_SYSCALL 程序能順利輸出�����。Hornet 還支持輕量級加載器和靜態(tài)生成程序���,確保所有在內(nèi)核中運行的代碼都經(jīng)過簽名驗證��。
除了 Hornet LSM 模塊���,微軟還提議在 Linux 內(nèi)核源碼樹中引入一個新的工具 ——sign-ebpf��,用于簽名 eBPF 程序����。開發(fā)者可以通過查看 RFC 補丁系列了解 Hornet LSM 的詳細實例��。
