BPF LSM
¿Qué es BPF LSM?
BPF LSMModulo de Seguridad de Linux que permite a programas eBPF verificados engancharse a hooks LSM y aplicar decisiones de control de acceso obligatorio sobre syscalls, ficheros, sockets y capabilities.
BPF LSM (BPF Linux Security Module) se integro en Linux 5.7 (2020), liderado por KP Singh y otros de Google. El framework LSM define cientos de hooks de seguridad en el kernel (inode_permission, socket_connect, bprm_check, file_open, capable, etc.) a los que se enganchan los LSM tradicionales como SELinux, AppArmor, Smack y Tomoyo. BPF LSM permite a programas eBPF verificados engancharse a esos mismos hooks en tiempo de ejecucion, de modo que los operadores entregan politica como bytecode compilado en vez de parchear el kernel. Herramientas como Cilium Tetragon, KubeArmor y bpfd lo usan para aplicar controles MAC —por ejemplo, denegar execve de binarios en /tmp dentro de un contenedor o bloquear ptrace sobre un proceso sensible— manteniendo la carga en caliente y la consciencia de cgroups. Complementa, no reemplaza, a SELinux y AppArmor.
● Ejemplos
- 01
Cargar un programa BPF LSM via KubeArmor que niega execve de cualquier binario fuera de /usr/bin dentro de un pod de Kubernetes.
- 02
Usar Tetragon para denegar un intento de ptrace contra un proceso protegido mediante el hook bpf/security_ptrace_access_check.
● Preguntas frecuentes
¿Qué es BPF LSM?
Modulo de Seguridad de Linux que permite a programas eBPF verificados engancharse a hooks LSM y aplicar decisiones de control de acceso obligatorio sobre syscalls, ficheros, sockets y capabilities. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa BPF LSM?
Modulo de Seguridad de Linux que permite a programas eBPF verificados engancharse a hooks LSM y aplicar decisiones de control de acceso obligatorio sobre syscalls, ficheros, sockets y capabilities.
¿Cómo defenderse de BPF LSM?
Las defensas contra BPF LSM combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para BPF LSM?
Nombres alternativos comunes: LSM BPF, eBPF LSM.