[gull] Debian security
Philippe Strauss
philippe at straussaudio.ch
Fri Sep 6 19:58:22 CEST 2024
Intéressant, je n'avais jamais regardé BPF en détail.
As-tu réussi a détecter des infiltrations avec, en dehors d'un lab?
T'es tu déjà amusé avec des chaînes de Markov discrètes dessus,
genre:
https://mchmm.readthedocs.io/en/latest/tutorials.html
L'étape d'après c'est l'OPA sur CrowdStrike :)
Linuxcrowd rulez :)
J'avais vu passer au sujet d'eBPF sous windows, justement peu après de
la faille crowdstrike.
On Fri, Sep 6 2024 at 11:50:03 AM +02:00:00, Marc SCHAEFER via gull
<gull at forum.linux-gull.ch> wrote:
> On Thu, Sep 05, 2024 at 10:28:22AM +0200, Marc SCHAEFER via gull
> wrote:
>> C'est intéressant. Jusqu'ici j'ai surtout fait du traçage de
>> quels
>> appels systèmes sont faits dans quelle application (avec eBPF),
>> dans
>
> ou quels fichiers sont accédés, ou quels programmes sont lancés.
>
> Voici une petite démo commentée (sans les détails, juste les
> exécutables
> lancés):
>
> root at ds-03:~# bpftrace -e 'tracepoint:syscalls:sys_enter_execve {
> printf("[%d] %d %s %s\n", cgroup, pid, comm, str(args->filename)); }'
> Attaching 1 probe...
>
> ça c'est le cgroup 5630, soit le conteneur ds-services-fail2ban,
> quelqu'un se logue sur ce container pour la démo:
>
> [5630] 440051 sshd /usr/sbin/sshd
> [5630] 440053 sshd /bin/sh
> [5630] 440054 sh /usr/bin/env
> [5630] 440054 env /usr/local/sbin/run-parts
> [5630] 440054 env /usr/local/bin/run-parts
> [5630] 440054 env /usr/sbin/run-parts
> [5630] 440054 env /usr/bin/run-parts
> [5630] 440055 run-parts /etc/update-motd.d/10-uname
> [5630] 440056 10-uname /usr/bin/uname
> [5630] 440058 sshd /bin/bash
> [5630] 440059 bash /usr/bin/id
> [5630] 440060 bash /usr/bin/dircolors
> [5630] 440076 bash /usr/bin/clear_console
>
> ça c'est le conteneur ds-services-mailman, où python est bien
> isolé:
>
> [5914] 440089 python3 /usr/bin/python3
>
> pis il y a du divers et varié: ici c'est un processus sur le host:
>
> [2666] 440485 cron /bin/sh
>
> eBPF est un outil qui permet de compiler du code C (ici un exemple
> trivial) dans une sandbox exécutée au fin fond du kernel de manière
> efficace: c'est utile pour l'acquisition de données mais aussi la
> sécurité.
>
> Ce qui est marrant est qu'apparemment c'est même en cours de
> portage sur l'environnement propriétaire Microsoft.
> _______________________________________________
> gull mailing list
> gull at forum.linux-gull.ch
> https://forum.linux-gull.ch/mailman/listinfo/gull
More information about the gull
mailing list