[gull] Debian security

[Marc SCHAEFER]

On Thu, Sep 05, 2024 at 10:28:22AM +0200, Marc SCHAEFER via gull wrote:
> C'est intéressant.  Jusqu'ici j'ai surtout fait du traçage de quels
> appels systèmes sont faits dans quelle application (avec eBPF), dans

ou quels fichiers sont accédés, ou quels programmes sont lancés.

Voici une petite démo commentée (sans les détails, juste les exécutables
lancés):

root at ds-03:~# bpftrace -e 'tracepoint:syscalls:sys_enter_execve { printf("[%d] %d %s %s\n", cgroup, pid, comm, str(args->filename)); }'
Attaching 1 probe...

ça c'est le cgroup 5630, soit le conteneur ds-services-fail2ban,
quelqu'un se logue sur ce container pour la démo:

[5630] 440051 sshd /usr/sbin/sshd
[5630] 440053 sshd /bin/sh
[5630] 440054 sh /usr/bin/env
[5630] 440054 env /usr/local/sbin/run-parts
[5630] 440054 env /usr/local/bin/run-parts
[5630] 440054 env /usr/sbin/run-parts
[5630] 440054 env /usr/bin/run-parts
[5630] 440055 run-parts /etc/update-motd.d/10-uname
[5630] 440056 10-uname /usr/bin/uname
[5630] 440058 sshd /bin/bash
[5630] 440059 bash /usr/bin/id
[5630] 440060 bash /usr/bin/dircolors
[5630] 440076 bash /usr/bin/clear_console

ça c'est le conteneur ds-services-mailman, où python est bien isolé:

[5914] 440089 python3 /usr/bin/python3

pis il y a du divers et varié: ici c'est un processus sur le host:

[2666] 440485 cron /bin/sh

eBPF est un outil qui permet de compiler du code C (ici un exemple
trivial) dans une sandbox exécutée au fin fond du kernel de manière
efficace: c'est utile pour l'acquisition de données mais aussi la
sécurité.

Ce qui est marrant est qu'apparemment c'est même en cours de
portage sur l'environnement propriétaire Microsoft.