近日,知名科技资讯平台Phoronix披露了一项来自微软的开源新动向。据悉,微软已正式向Linux内核社区贡献了一款名为Hornet的安全模块(LSM),该模块专为验证eBPF(Extended Berkeley Packet Filter)程序签名而设计。
eBPF,这一在Linux内核中运行程序的技术,以其无需修改内核源代码或加载内核模块便能安全高效地扩展内核功能的特点,受到了广泛认可。微软作为eBPF技术的长期倡导者,此次通过Hornet的推出,再次展示了其在该领域的深厚积累和积极贡献。
Hornet的核心功能在于,它采用了一种与内核模块相似的签名验证机制,通过在可执行文件的末尾附加pkcs#7签名,来确保eBPF程序的完整性。当bpf_prog_load被调用时,Hornet会智能地从当前任务的可执行文件中提取签名,并利用该签名对传入内核的bpf指令和映射进行严格的验证。
值得注意的是,Hornet在设计上默认信任从内核内部加载的程序,而对于用户空间的程序则持谨慎态度。这一设计不仅保证了BPF_PRELOAD程序和BPF_SYSCALL程序的顺利输出,还通过支持轻量级加载器和静态生成程序,进一步确保了内核中所有运行代码的签名验证。
除了Hornet LSM模块外,微软还提议在Linux内核源码树中引入一个新的工具——sign-ebpf,这一工具将专门用于eBPF程序的签名。开发者们可以通过查阅RFC补丁系列,深入了解Hornet LSM的具体实例和用法。
微软的这一系列举措,无疑为Linux内核的安全防护提供了新的思路和手段。通过Hornet和sign-ebpf的引入,Linux内核在eBPF程序的安全性方面将得到显著提升,为开发者们提供更加安全、高效的开发环境。
