BPF LSM
Was ist BPF LSM?
BPF LSMLinux-Security-Module, mit dem verifizierte eBPF-Programme an LSM-Hooks andocken und benutzerdefinierte MAC-Entscheidungen fur Syscalls, Dateien, Sockets und Capabilities durchsetzen.
BPF LSM (BPF Linux Security Module) wurde in Linux 5.7 (2020) integriert, federfuhrend von KP Singh und anderen bei Google. Das Linux-Security-Module-Framework definiert hunderte Security-Hooks im Kernel (inode_permission, socket_connect, bprm_check, file_open, capable usw.), an die klassische LSMs wie SELinux, AppArmor, Smack und Tomoyo andocken. BPF LSM lasst verifizierte eBPF-Programme zur Laufzeit dieselben Hooks belegen, sodass Policy als kompiliertes Bytecode statt als Kernel-Patch ausgerollt wird. Werkzeuge wie Cilium Tetragon, KubeArmor und bpfd nutzen BPF LSM fur MAC-Kontrollen — etwa Sperren von execve fur /tmp-Binaries in einem Container oder Verhindern von ptrace auf sensible Prozesse — bleiben dabei hot-loadable und cgroup-bewusst. Es erganzt SELinux und AppArmor, ersetzt sie aber nicht.
● Beispiele
- 01
Via KubeArmor ein BPF-LSM-Programm laden, das execve auf Binaries ausserhalb von /usr/bin im Kubernetes-Pod verbietet.
- 02
Mit Tetragon einen ptrace-Versuch gegen einen gehardeneten Prozess am Hook bpf/security_ptrace_access_check abweisen.
● Häufige Fragen
Was ist BPF LSM?
Linux-Security-Module, mit dem verifizierte eBPF-Programme an LSM-Hooks andocken und benutzerdefinierte MAC-Entscheidungen fur Syscalls, Dateien, Sockets und Capabilities durchsetzen. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet BPF LSM?
Linux-Security-Module, mit dem verifizierte eBPF-Programme an LSM-Hooks andocken und benutzerdefinierte MAC-Entscheidungen fur Syscalls, Dateien, Sockets und Capabilities durchsetzen.
Wie funktioniert BPF LSM?
BPF LSM (BPF Linux Security Module) wurde in Linux 5.7 (2020) integriert, federfuhrend von KP Singh und anderen bei Google. Das Linux-Security-Module-Framework definiert hunderte Security-Hooks im Kernel (inode_permission, socket_connect, bprm_check, file_open, capable usw.), an die klassische LSMs wie SELinux, AppArmor, Smack und Tomoyo andocken. BPF LSM lasst verifizierte eBPF-Programme zur Laufzeit dieselben Hooks belegen, sodass Policy als kompiliertes Bytecode statt als Kernel-Patch ausgerollt wird. Werkzeuge wie Cilium Tetragon, KubeArmor und bpfd nutzen BPF LSM fur MAC-Kontrollen — etwa Sperren von execve fur /tmp-Binaries in einem Container oder Verhindern von ptrace auf sensible Prozesse — bleiben dabei hot-loadable und cgroup-bewusst. Es erganzt SELinux und AppArmor, ersetzt sie aber nicht.
Wie schützt man sich gegen BPF LSM?
Schutzmaßnahmen gegen BPF LSM kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für BPF LSM?
Übliche alternative Bezeichnungen: LSM BPF, eBPF LSM.
● Verwandte Begriffe
- defense-ops№ 367
eBPF-Sicherheit
Einsatz von eBPF-Programmen (extended Berkeley Packet Filter) im Linux-Kernel, um tiefe Observability und Policy-Durchsetzung fur Prozesse, Netzwerk und Syscalls bereitzustellen.
- identity-access№ 615
Linux Capabilities
Linux-Kernel-Funktion auf Basis des POSIX.1e-Entwurfs, die das allmachtige Root-Privileg in mehr als 40 diskrete Capabilities aufteilt, die Prozessen und Dateien separat zugewiesen werden.
- identity-access№ 585
Kernel Mode vs User Mode
Die beiden CPU-Privilegierungsstufen moderner Betriebssysteme: Kernel Mode (Supervisor, Ring 0) mit vollem Hardwarezugriff und User Mode (Ring 3), beschrankt auf den eigenen Adressraum und ohne privilegierte Befehle.
- cryptography№ 1006
SELinux
Security-Enhanced Linux, ein von der NSA entwickeltes Mandatory-Access-Control-Framework, das ueber die Linux-Security-Module-Hooks und eine Type-Enforcement-Policy umgesetzt wird.
- cryptography№ 053
AppArmor
Pfadbasiertes Mandatory-Access-Control-System fuer Linux; Ubuntu und SUSE setzen es als einfachere Alternative zu SELinux ein, um einzelne Programme einzuschraenken.
- cloud-security№ 600
Kubernetes-Sicherheit
Schutz eines Kubernetes-Clusters – API-Server, Control Plane, Nodes, Workloads und Netzwerk – vor Fehlkonfiguration, Kompromittierung und lateraler Bewegung.