BPF LSM.

Module de securite Linux qui permet a des programmes eBPF verifies de s'attacher aux hooks LSM et d'appliquer des decisions de controle d'acces obligatoire personnalisees sur les appels systeme, les fichiers, les sockets et les capabilities. Cette notion relève de la catégorie Identité et accès en cybersécurité.

Module de securite Linux qui permet a des programmes eBPF verifies de s'attacher aux hooks LSM et d'appliquer des decisions de controle d'acces obligatoire personnalisees sur les appels systeme, les fichiers, les sockets et les capabilities.

BPF LSM (BPF Linux Security Module) a ete integre dans Linux 5.7 (2020), porte par KP Singh et d'autres chez Google. Le framework Linux Security Module definit des centaines de hooks de securite dans le noyau (inode_permission, socket_connect, bprm_check, file_open, capable, etc.) sur lesquels s'appuient les LSM traditionnels SELinux, AppArmor, Smack et Tomoyo. BPF LSM permet a des programmes eBPF verifies de s'attacher a ces memes hooks a l'execution, ce qui transforme la politique en bytecode compile plutot qu'en patches noyau. Des outils comme Cilium Tetragon, KubeArmor et bpfd l'exploitent pour appliquer du MAC — par exemple refuser un execve sur les binaires de /tmp dans un conteneur, ou bloquer un ptrace sur un processus sensible — tout en restant rechargeables a chaud et sensibles aux cgroups. Il complete sans remplacer SELinux et AppArmor.

Les défenses contre BPF LSM combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : LSM BPF, eBPF LSM.