![](/img/trans.png)
[英]How to print the file path from an open syscall using ebpf python?
[英]How to Stop File From Opening Using Ebpf?
我想使用 EBPF 并在打开的系统调用上放置一个探测器,因此当用户想要打开某个文件时,我将检查它的名称,如果它是目标名称,我将阻止它打开。 唯一的问题是我不知道如何真正实现这个目标。
此外,如果您能指定某个解决方案是否适用于 uprobe 或 root 探针,我将不胜感激。 非常感谢。
TL;博士。 目前没有办法使用 BPF 来做到这一点。
目前Linux 内核中没有选项可以使用 eBPF 对系统调用强制执行策略。 不过,这可能会随着基于 eBPF 的 LSM(Linux 安全模块)的引入而改变(参见内核运行时安全检测、 KRSI——另一个 BPF 安全模块,以及KRSI 和专有 BPF 程序)。
但是,您可以使用 seccomp-bpf 对系统调用实施策略,但它使用 cBPF(旧的 BPF 字节码)而不是 eBPF。 然而,出于安全原因,无法检查由 seccomp-bpf 指针传递的系统调用参数; 所以你将无法检查正在打开的文件的名称。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.