bpfd:在Linux上将规则作为后台程序运行BPF程序的框架。 容器意识

时间:2024-02-20 13:22:54
【文件属性】:

文件名称:bpfd:在Linux上将规则作为后台程序运行BPF程序的框架。 容器意识

文件大小:2.41MB

文件格式:ZIP

更新时间:2024-02-20 13:22:54

linux docker cli security kernel

bpfd 在Linux上将规则作为后台程序运行BPF跟踪器的框架。 容器意识。 这不仅是“还有另一个追踪工具” ... 由于它使用BPF并允许Tracer接口的任何实现,因此您可以使用它来执行各种操作,从每次调用open修改文件到热修补内部内核功能以防止已知漏洞而无需需要升级内核。 更多用例以及即将推出的示例...现在。 目录 这个怎么运作 检索数据...过滤数据...对数据执行操作。 示踪剂位于。 这个想法是,您可以添加所需的任何跟踪器,然后为从跟踪器检索到的数据创建。 任何包含通过筛选器的数据的事件都将传递到指定的操作。 示踪剂 今天存在的跟踪器基于一些跟踪器。 如果您担心人们会对收集和发出警报的数据进行反向工程,则可以始终在叉子中添加自己的跟踪器。 当前在跟踪器中编译的是: :跟踪何时访问不在容器rootfs内部的文件 :在bash命令行中输入的跟踪命令 :跟踪对exec二进制文件的调用 :跟踪调用以打开文件 这些必须实现Tracer接口: // Tracer defines the basic capabilities of a tracer. typ


网友评论