Рождение "Шершня": Microsoft создала новый защитный модуль для Linux
Открытый код и pkcs#7-подписи сделают ядро безопаснее.
Microsoft представила Hornet — новый модуль безопасности Linux (LSM), который проверяет подписи eBPF-программ. Это очередной вклад компании в развитие Linux и технологий безопасности с открытым исходным кодом.
Microsoft уже долгое время активно поддерживает eBPF — технологию, позволяющую запускать пользовательские программы прямо внутри ядра Linux, причём безопасно и эффективно. С помощью eBPF реализуются различные задачи — от улучшения сетевой производительности до мониторинга и повышения безопасности. Microsoft не только перенесла eBPF на Windows, но и стала одним из основателей eBPF Foundation, подтверждая своё серьёзное отношение к этой технологии.
Теперь Microsoft представила Hornet — Linux-модуль, который призван усилить безопасность eBPF-программ. Hornet проверяет подписи исполняемых eBPF-файлов с помощью схемы, аналогичной той, что используется при проверке подписей модулей ядра Linux. Подпись стандарта pkcs#7 добавляется в конец исполняемого файла, и во время загрузки программы через системный вызов bpf_prog_load Hornet автоматически извлекает её из файла текущего процесса. Затем подпись используется для проверки целостности инструкций и структур данных eBPF, загружаемых в ядро.
Особенность Hornet в том, что он автоматически доверяет программам, загруженным напрямую из ядра Linux, а не из пользовательского пространства. Благодаря этому Hornet совместим с программами, предварительно загруженными через механизм BPF_PRELOAD, и обеспечивает корректную работу статически сгенерированных программ, не требующих дополнительной обработки в пользовательском пространстве.
Кроме самого модуля Hornet (доступного при включении опции SECURITY_HORNET в конфигурации ядра), Microsoft предложила также новый инструмент под названием sign-ebpf. Он предназначен специально для подписывания eBPF-программ и интегрирован непосредственно в исходный код Linux.
Пока предложение находится на стадии обсуждения, и все желающие могут ознакомиться с подробностями, изучив RFC-патчи модуля Hornet, опубликованные в репозитории Linux .