IT之家 3 月 22 日消息,科技媒体 phoronix 昨日(3 月 21 日)发布博文,报道称微软向 Linux 内核社区提交了新的开源贡献-- Hornet,这是一个用于验证 eBPF 程序签名的 Linux 安全模块(LSM)。
IT之家注:eBPF 全称 Extended Berkeley Packet Filter,是一种在 Linux 内核中运行程序的技术。在无需修改内核源代码或加载内核模块的情况下,eBPF 支持开发者在 Runtime 安全、高效地扩展内核功能。
微软长期以来一直是 eBPF 技术的积极推动者,该技术能够在 Linux 内核中安全高效地运行定制程序。Hornet 的推出标志着微软在 eBPF 领域的进一步深耕,旨在提升 eBPF 程序的安全性。
Hornet 采用与内核模块类似的签名验证机制。具体来说,它会在可执行文件的末尾附加一个 pkcs#7 签名。在调用 bpf_prog_load 时,Hornet 会从当前任务的可执行文件中提取签名,并利用该签名验证传入内核的 bpf 指令和映射的完整性。
此外,Hornet 默认信任从内核内部加载的程序,而非用户空间的程序。这一设计让 BPF_PRELOAD 程序和 BPF_SYSCALL 程序能顺利输出。Hornet 还支持轻量级加载器和静态生成程序,确保所有在内核中运行的代码都经过签名验证。
除了 Hornet LSM 模块,微软还提议在 Linux 内核源码树中引入一个新的工具 ——sign-ebpf,用于签名 eBPF 程序。开发者可以通过查看 RFC 补丁系列了解 Hornet LSM 的详细实例。
