BPF LSM
O que é BPF LSM?
BPF LSMModulo de Seguranca do Linux que permite a programas eBPF verificados ligar-se a hooks LSM e aplicar decisoes personalizadas de controlo de acesso obrigatorio sobre syscalls, ficheiros, sockets e capabilities.
O BPF LSM (BPF Linux Security Module) foi integrado no Linux 5.7 (2020), liderado por KP Singh e outros da Google. O framework Linux Security Module define centenas de hooks de seguranca no kernel (inode_permission, socket_connect, bprm_check, file_open, capable, etc.) sobre os quais assentam LSMs tradicionais como SELinux, AppArmor, Smack e Tomoyo. O BPF LSM permite que programas eBPF verificados se liguem a esses mesmos hooks em tempo de execucao, distribuindo a politica como bytecode compilado em vez de patches ao kernel. Ferramentas como Cilium Tetragon, KubeArmor e bpfd usam-no para aplicar controlos MAC — por exemplo, recusar execve de binarios em /tmp num contentor ou bloquear ptrace sobre um processo sensivel — mantendo hot-loading e consciencia de cgroups. Complementa, sem substituir, o SELinux e o AppArmor.
● Exemplos
- 01
Carregar via KubeArmor um programa BPF LSM que recusa execve a binarios fora de /usr/bin dentro de um pod Kubernetes.
- 02
Usar Tetragon para recusar uma tentativa de ptrace contra um processo endurecido via o hook bpf/security_ptrace_access_check.
● Perguntas frequentes
O que é BPF LSM?
Modulo de Seguranca do Linux que permite a programas eBPF verificados ligar-se a hooks LSM e aplicar decisoes personalizadas de controlo de acesso obrigatorio sobre syscalls, ficheiros, sockets e capabilities. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa BPF LSM?
Modulo de Seguranca do Linux que permite a programas eBPF verificados ligar-se a hooks LSM e aplicar decisoes personalizadas de controlo de acesso obrigatorio sobre syscalls, ficheiros, sockets e capabilities.
Como funciona BPF LSM?
O BPF LSM (BPF Linux Security Module) foi integrado no Linux 5.7 (2020), liderado por KP Singh e outros da Google. O framework Linux Security Module define centenas de hooks de seguranca no kernel (inode_permission, socket_connect, bprm_check, file_open, capable, etc.) sobre os quais assentam LSMs tradicionais como SELinux, AppArmor, Smack e Tomoyo. O BPF LSM permite que programas eBPF verificados se liguem a esses mesmos hooks em tempo de execucao, distribuindo a politica como bytecode compilado em vez de patches ao kernel. Ferramentas como Cilium Tetragon, KubeArmor e bpfd usam-no para aplicar controlos MAC — por exemplo, recusar execve de binarios em /tmp num contentor ou bloquear ptrace sobre um processo sensivel — mantendo hot-loading e consciencia de cgroups. Complementa, sem substituir, o SELinux e o AppArmor.
Como se defender contra BPF LSM?
As defesas contra BPF LSM costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para BPF LSM?
Nomes alternativos comuns: LSM BPF, eBPF LSM.
● Termos relacionados
- defense-ops№ 367
Seguranca com eBPF
Utilizacao de programas eBPF (extended Berkeley Packet Filter) executados no kernel Linux para oferecer observabilidade profunda e aplicacao de politicas em processos, rede e syscalls.
- identity-access№ 615
Capabilities do Linux
Funcionalidade do kernel Linux baseada no rascunho POSIX.1e que divide o privilegio omnipotente do root em mais de 40 capabilities discretas, atribuiveis de forma independente a processos e ficheiros.
- identity-access№ 585
Modo Kernel vs Modo Utilizador
Os dois niveis de privilegio de CPU aplicados pelos sistemas operativos modernos: modo kernel (supervisor, ring 0) com acesso completo ao hardware, e modo utilizador (ring 3) restrito ao seu espaco de enderecos e a instrucoes limitadas.
- cryptography№ 1006
SELinux
Security-Enhanced Linux, framework de controlo de acesso obrigatorio desenvolvido pela NSA, implementado via hooks LSM e politica de type enforcement.
- cryptography№ 053
AppArmor
Sistema de controlo de acesso obrigatorio para Linux baseado em caminhos, usado por Ubuntu e SUSE como alternativa mais simples ao SELinux para confinar programas.
- cloud-security№ 600
Segurança do Kubernetes
Proteção de um cluster Kubernetes — API server, plano de controlo, nós, workloads e rede — contra configurações incorretas, comprometimento e movimentação lateral.