【oz9966sn怎么去保护】使用Seccomp过滤器保护容器

本文提出了一种使用后保护集装箱应用程序的新方法。这种额外的保护称为Seccomp-BPF。

许多企业使用容器作为管理和运行应用程序的基本技术。如果经常使用容器，很容易理解原因。换句话说，它提供了新级别的可移植性和可扩展性。但是，与其他新技术一样，容器的采用意味着开发应用程序的新方法。

根据容器配置的不同，使用中的应用程序最终可能会伤害运行容器的主机。容器中还存在其他需要考虑的影响，包括作为环境变量存储的潜在秘密和可以访问的内容。如果想进一步了解Docker容器安全最佳实践，gitGuardian提供了有用的备忘录。

经验证的软件开发生命周期已经包含漏洞扫描和软件配置分析等安全流程，但需要更多的安全流程。大多数可用的应用程序安全技术都是为了防止应用程序受到攻击而存在的，但不包括成功使用应用程序时可能发生的损坏。为了解决这个问题，一直在研究保护和利用容器应用程序的新方法。在这个软件中，我将分享这个软件是什么，以及如何无缝集成到已经设置的句子开发过程中。我说的额外保护称为Seccomp-BPF。在详细知道如何使用之前，必须说明它是什么。

背景

我们在电脑上运行的程序严重依赖基本操作系统，什么都做。打开文件和创建新进程等任务从现代编程语言中抽象出来，但在底部，代码正在发出称为系统调用(或系统调用)的内核请求。系统调用对程序的执行有多重要？嗯，在Linux内核中可以使用大约400个系统调用，甚至基本的“Hello，World！”也有。用c语言编写的程序有两个：写作和结束。

在所谓的“用户空间”中运行的代码不经过内核就不能执行任何操作。最终，一些聪明的Linux内核开发者决定利用这一事实创建强大的安全功能。2012年7月，Linux 3.5版增加了对Seccomp-BPF的支持。

Seccomp-BPF是Linux内核功能，允许您创建特殊过滤器来限制进程可以执行的系统调用。理论上，可以创建Seccomp-BPF过滤器，该过滤器接受只需要运行一个进程的准确系统调用。如果应用程序被意外使用，以便对方能够生成其他流程，则这很有用。如果进程不允许调用新系统，Seccomp很可能会拦截攻击者。

Seccomp非常酷，还可以集成到容器运行时和编排工具(如Docker、Kubernetes)中。那是“为什么Seccomp没有被广泛使用？”提出问题。我认为，答案是，缺乏资源来填补Seccomp等低级内核功能与现代软件开发过程之间的差距。(约翰f肯尼迪，美国电视剧)并非所有组织都有对系统调用很熟悉的低级代码开发者。此外，还必须确定程序所需的系统调用，并使用代码中实现的每个新功能进行更新。

我在考虑如何解决这个问题，我想到了一个主意。“如果我们在运行程序时记录发送的系统调用，会发生什么？”“我在跟我的一个同事说我的想法。第二天，他发送了指向在GitHub上找到的工具的链接。Red Hat的一些人制作了OCI-seccomp-bpf-hook，这是一款完全满足我需求的工具！

创建Seccomp-BPF过滤器

此工具oci-seccomp-bpf-hook用于Linux容器。OCI是指“开放容器发起”，是一组定义需要提供何种类型接口的容器运行时标准。与OCI兼容的容器运行时(例如Docker)提供了一种称为“挂接”的机制，使您能够在容器启动之前和容器删除后执行代码。比起解释红心的工具如何使用这个钩子，演示似乎更明确。

Red Hatoci-seccomp-bpf-hook是为与容器运行时podman一起使用而开发的。Podman向后兼容Docker，因此如果使用过Docker，则我示例的语法看起来很熟悉。此外，除非源代码安装，否则OCI挂接当前仅在Red-Hat特定的DNF存储库中可用。为了使这个演示不那么复杂，我只用了一个Fedora服务器。(如果没有Fedora环境，最好从Virtualbox和VMware等东西运行Fedora虚拟机。）

要开始使用，首先要做的是确保oci-seccomp-bpf-hook与podman一起安装。为此，可以运行以下命令：

sudo dnf install pod man OCI-sec comp-bpf-hook

现在我们有了podman和OCI钩子。我们终于可以深入了。

入研究如何生成 Seccomp-BPF 过滤器了。从自述文件中，语法是：

sudo podman run --annotation io.con;if:[absolute path to the input file];of:[absolute path to the output file]" IMAGE COMMAND

让我们ls在基本容器中运行命令并将输出通过管道传输到/dev/null. 当我们这样做时，我们将记录该ls命令发出的系统调用并将它们保存到/tm.

sudo podman run --annotation io.containers.trace-syscall=of:/tm fedora:35 ls / > /dev/null

由于我们将ls命令的输出通过管道传输到/dev/null，因此终端中应该没有输出。但是，在命令完成后，我们可以查看保存系统调用的文件。在那里我们看到该命令确实有效，并且系统调用被捕获：

cat /tm {"defaultAction":"SCMP_ACT_ERRNO","architectures":["SCMP_ARCH_X86_64"],"syscalls":[{"names":["access","arch_prctl","brk","capset","chdir","close","close_range","dup2","execve","exit_group","fchdir","fchown","fstatfs","getdents64","getegid","geteuid","getgid","getrandom","getuid","ioctl","lseek","mmap","mount","mprotect","munmap","newfstatat","openat","openat2","pivot_root","prctl","pread64","prlimit64","pselect6","read","rt_sigaction","rt_sigprocmask","seccomp","set_robust_list","set_tid_address","sethostname","setresgid","setresuid","setsid","statfs","statx","umask","umount2","write"],"action":"SCMP_ACT_ALLOW","args":[],"comment":"","includes":{},"excludes":{}}]}

这个文件是我们的 Seccomp 过滤器，我们现在可以将它与任何支持它的容器运行时一起使用。让我们尝试将过滤器与ls我们刚刚运行的相同容器化命令一起使用：

sudo podman run --security-opt seccomp=/tm fedora ls / > /dev/null

没有输出也没有任何错误，表明该命令能够在应用了 Seccomp 过滤器的情况下成功运行。有趣的来了。我们将向容器添加一些在记录系统调用时不存在的功能，以制作我们的 Seccomp 过滤器。我们要做的就是将-l标志添加到我们的ls命令中。

sudo podman run --security-opt seccomp=/tm fedora ls -l / > /dev/null ls: /: Operation not permitted ls: /proc: Operation not permitted ls: /root: Operation not permitted …

如您所见，我们现在收到一堆错误，告诉我们无法执行命令尝试执行的某些操作。在-l我们的命令中添加标志为ls进程添加了一些新的系统调用，这些系统调用不在我们的 Seccomp 过滤器的允许列表中。如果我们使用该命令生成一个新的 Seccomp 过滤器ls -l，我们可以看到新过滤器有效，因为它现在具有所有必需的系统调用。

sudo podman run --annotation io.containers.trace-syscall=of:/tm fedora ls -l / > /dev/null sudo podman run --security-opt seccomp=/tm fedora ls -l / > /dev/null

如您所见，将 Seccomp 过滤器应用于您的容器极大地限制了它的功能。在攻击者可以利用您的应用程序的情况下，它可能会阻止他们造成损害，甚至完全阻止利用。

通过使用 Red Hat 的 OCI 挂钩，您不再需要深入了解 Linux 内核的系统调用来创建 Seccomp 过滤器。您可以轻松地创建一个特定于应用程序的过滤器，该过滤器不允许您的容器做任何超出它需要做的事情。这是弥合内核特性和高级软件开发之间差距的一大步。

结论

尽管如此，oci-seccomp-bpf-hook该工具本身并不能完全达到我将 Seccomp 集成到成熟的软件工程工作流程中的期望。运行该工具仍然存在开销，作为软件开发人员，您不希望每次更新应用程序都花时间手动更新 Seccomp 过滤器。为了弥合最后的差距并尽可能轻松地在企业应用程序中使用 Seccomp，我们需要找到一种方法来自动生成 Seccomp-BPF 过滤器。幸运的是，当我们看到现代软件开发是如何发生的时，已经有一个完美的地方可以实现这种自动化：在 持续集成 (CI)期间。

CI 工作流已经是成熟软件开发生命周期中成熟的一部分。对于那些不熟悉 CI 的人，它使您能够在每次将代码提交到 git 存储库时执行自动化单元测试和代码安全扫描等操作。那里有很多 CI 工具，因此它是为您的容器化应用程序自动生成 Seccomp 过滤器的理想场所。

这篇文章的时间已经不多了，所以我将在另一篇文章中展示如何创建一个 CI 工作流程，每次更新代码时都会生成一个 Seccomp 过滤器。然后，您最终将有能力利用 Seccomp 的系统调用限制并保护您的应用程序！