IT之家3月22日消息,科技媒体phoronix昨日(3月21日)发布博文,报道称微软向Linux内核社区提交了新的开源贡献--Hornet,这是一个用于验证eBPF程序签名的Linux安全模块(LSM)。
IT之家注:eBPF全称ExtendedBerkeleyPacketFilter,是一种在Linux内核中运行程序的技术。在无需修改内核源代码或加载内核模块的情况下,eBPF支持开发者在Runtime安全、高效地扩展内核功能。
微软长期以来一直是eBPF技术的积极推动者,该技术能够在Linux内核中安全高效地运行定制程序。Hornet的推出标志着微软在eBPF领域的进一步深耕,旨在提升eBPF程序的安全性。
Hornet采用与内核模块类似的签名验证机制。具体来说,它会在可执行文件的末尾附加一个pkcs#7签名。在调用bpf_prog_load时,Hornet会从当前任务的可执行文件中提取签名,并利用该签名验证传入内核的bpf指令和映射的完整性。
此外,Hornet默认信任从内核内部加载的程序,而非用户空间的程序。这一设计让BPF_PRELOAD程序和BPF_SYSCALL程序能顺利输出。Hornet还支持轻量级加载器和静态生成程序,确保所有在内核中运行的代码都经过签名验证。
除了HornetLSM模块,微软还提议在Linux内核源码树中引入一个新的工具——sign-ebpf,用于签名eBPF程序。开发者可以通过查看RFC补丁系列了解HornetLSM的详细实例。
