krsi优势和流程 基于以上历史原因，eBPF和基于函数的更细粒度管控方案重磅出炉，名字就叫内核运行时检测KRSI（Kernel Runtime Security Instrumentation）。 KRSI的原型通过LSM (Linux security module)形式已经实现出来了，可以将eBPF program挂载到kernel的security hook（安全 …

2023年11月7日 · eBPF 和 LSM 可以结合使用，形成一种基于 eBPF 的 LSM 扩展，叫做 KRSI (eBPF+LSM)。 它允许用户在运行时使用 eBPF 程序实现和执行自定义的安全策略和审计规则。 它的优点是不需要修改或重新编译内核，也不需要配置现有的 LSM 模块。 KRSI (eBPF+LSM) 的工作原理是将 eBPF 程序加载到 LSM 钩子中，然后在调用路径中执行这些程序，对系统资源的访问进行检查和控制。 safeguard 基于 KRSI (eBPF+LSM) 实现，整体架构采取了 C/S 架构，分 …

2019年9月4日 · He has created a new eBPF program type that can be used by the KRSI LSM. There is a set of eBPF helpers that provide a "unified policy API" for signals and mitigations. They are security-focused helpers that can be built up to create the behavior required.

2022年9月7日 · KRSI (Kernel Runtime Security Instrumentation)的原型通过LSM (Linux security module)形式实现，可以将 eBPF program 挂载到 kernel 的 security hook（安全挂钩点）上。 内核的安全性主要包括两个方面：Signals 和 Mitigations，这两者密不可分。

2019年12月27日 · KRSI逻辑本身非常好理解：它会允许拥有合适权限的用户来在Linux security module子系统里面的几百处hook位置加载BPF program。 为了让这个操作更加便捷，KRSI在/sys/kernel/security/bpf下面提供了一系列文件系统接口，针对每个hook都有一个文件节点。

krsi优势和流程 基于以上历史原因，eBPF 和基于函数的更细粒度管控方案重磅出炉，名字就叫内核运行时检测 KRSI（Kernel Runtime Security Instrumentation）。 KRSI 的原型通过 LSM (Linux security module)形式已经实现出来了，可以将 eBPF program 挂载到kernel 的 security hook（安 …

2023年11月7日 · eBPF 和 LSM 可以结合使用，形成一种基于 eBPF 的 LSM 扩展，叫做 KRSI (eBPF+LSM)。 它允许用户在运行时使用 eBPF 程序实现和执行自定义的安全策略和审计规则。 它的优点是不需要修改或重新编译内核，也不需要配置现有的 LSM 模块。 KRSI (eBPF+LSM) 的工作原理是将 eBPF 程序加载到 LSM 钩子中，然后在调用路径中执行这些程序，对系统资源的访问进行检查和控制。 safeguard 架构及功能介绍. safeguard 基于 KRSI (eBPF+LSM) 实现，整 …

2019年12月27日 · 在 KRSI 中，这个钩子的三个参数将直接传递给任何挂载的 BPF 程序; 而这些程序可以通过 vma 指针来了解所有受影响的内存区域。 它们还可以根据 vma->vm_mm 来获得调用进程的顶层内存管理数据( mm_struct 结构体)。

2020年2月20日 · The patchset introduces a new eBPF (https://docs.cilium.io/en/v1.6/bpf/) program type BPF_PROG_TYPE_LSM which can only be attached to LSM hooks. Attachment requires CAP_SYS_ADMIN for loading eBPF programs and …

2019年9月10日 · KRSI attempts to solve this problem by providing a common policy API in the form of security focussed eBPF helpers and a common surface for creating dynamic (not requiring re-compilation of the kernel) MAC and Audit policies by …