safeguard简介

针对操作系统、内核安全，safeguard 是一个基于 eBPF 的 Linux 安全防护系统，可以实现安全操作的拦截及审计记录。项目采用 libbpfgo 库，使用go语言实现顶层控制。目前项目已在 openEuler sig-ebpf 社区开源，链接：https://gitee.com/openeuler/safeguard。

KRSI(eBPF+LSM)

eBPF 是扩展的伯克利包过滤器（extended Berkeley Packet Filter）的缩写，它是一种可以在内核空间运行沙箱化程序的技术。eBPF 程序可以在不修改或重新编译内核，也不需要加载内核模块的情况下，动态地增加内核的能力。通过 eBPF，可以实现网络、观测、跟踪和安全等多种用例。

LSM 是 Linux 安全模块（Linux Security Module）的缩写，它是一种提供可插拔的安全框架的机制，可以让不同的安全模块在内核中注册并实施自己的安全策略。LSM 提供了一系列的钩子（hooks），可以在系统调用或其他关键操作之前或之后执行安全检查。

eBPF 和 LSM 可以结合使用，形成一种基于 eBPF 的 LSM 扩展，叫做 KRSI(eBPF+LSM)。它允许用户在运行时使用 eBPF 程序实现和执行自定义的安全策略和审计规则。它的优点是不需要修改或重新编译内核，也不需要配置现有的 LSM 模块。它的工作原理是将 eBPF 程序加载到 LSM 钩子中，然后在调用路径中执行这些程序，对系统资源的访问进行检查和控制。

特性

• 审计：记录配置文件范围内的行为，并输出日志。
• 控制：针对文件，进程，网络的安全访问控制。
• 行为分析：收集信息，进行资源，热点，异常等分析。

应用场景

safeguard 是一种基于 KRSI(eBPF+LSM) 的 Linux 安全审计和管控解决方案，可以实现对系统的全面监控和保护。下面是一些可能的应用场景：

• 容器安全：safeguard 可以对容器内部的行为进行审计和控制，例如记录容器的进程、文件、网络活动，限制容器访问特定的资源或端口，检测容器的异常行为等。这样可以有效地防止容器被恶意攻击或滥用，提高容器的安全性和稳定性。
• 云服务安全：safeguard 可以对云服务提供商的客户机进行审计和控制，例如记录客户机的操作系统、应用程序、用户等信息，限制客户机执行特定的命令或系统调用，检测客户机的恶意行为或漏洞利用等。这样可以有效地保护云服务提供商的资源和信誉，防止客户机被黑客入侵或破坏。
• 安全合规： safeguard 可以对系统的安全合规性进行审计和控制，例如记录系统的配置、权限、日志等信息，限制系统修改特定的设置或文件，检测系统的违规行为或异常事件等。这样可以有效地满足各种安全标准和法规要求，提高系统的可信度和合法性。

项目功能

审计控制

文件：

• 追踪文件系统的活动，包括文件的打开、关闭、读写、删除等。
• 修改文件系统的行为，例如拦截某些文件操作，或者实现自定义的安全策略。 安全策略：
  1. 拦截或重定向某些文件操作，使用 eBPF 来拦截对敏感文件的读写操作，或者重定向对某些文件的访问到其他位置。
  2. 实现自定义的访问控制，使用 eBPF 来检查对文件的访问者的身份、权限、环境等信息，然后根据一些规则来允许或拒绝访问。
  3. 实现自定义的审计和监控，使用 eBPF 来记录对某些文件的操作的详细信息，如操作者、时间、内容等，并将这些信息输出到日志。

进程：

• 追踪进程的生命周期，例如进程的创建、终止、调度、上下文切换等。
• 修改进程的行为，例如注入或修改某些系统调用，或者实现自定义的调度策略。

网络：

• 追踪网络的活动，例如网络包的发送、接收、转发、丢弃等。
• 修改网络的行为，例如过滤或重写某些网络包，或者实现自定义的路由策略。

特性列表

针对文件，网络，进程的审计控制

• 文件

  功能： 配置允许访问的文件列表。 配置禁止访问的文件列表并拦截相关操作。 文件打开的日志记录，包括操作命令，主机名称，PID，UID 等信息。

  影响的操作： 打开文件或目录，包括创建、读取、写入、执行等模式。 修改文件或目录的权限或属性。 映射文件或目录到内存。

• 网络

  功能： 可配置 CIDR 允许以及拒绝的列表。 可配置域名允许以及拒绝的列表。 可配置操作命令允许以及拒绝的列表。 可配置 UID 允许以及拒绝的列表。 可配置 GID 允许以及拒绝的列表。 网络连接的日志记录，包括 CGroupID，PID，主机名，操作命令等。

  影响的操作： 网络连接相关操作，创建 socket。 当一个 socket 调用 connect() 或 sendto() 函数时，且目标地址不是 NULL。 当一个 socket 调用 accept()或recvfrom() 函数时，且源地址不是 NULL。 当一个 socket 调用 getpeername() 函数时，且返回的地址不是 NULL。

• 进程

  功能：

  进程创建的日志记录，包括 PID，PPID，主机名，操作命令等。

  影响的操作包括：

  进程创建相关操作，包括 fork，vfork，clone 等。

日志

配置日志格式为 json 或 text。 配置日志文件输出路径。 配置日志文件轮转大小，超出后自动创建新的日志文件，默认大小为100M。 配置日志文件轮转时间限制，超出后自动创建新的日志文件，默认时间为365天。 配置日志标签。 配置日志级别，DEBUG（10）、INFO（20）、WARNING（30）、ERROR（40）、CRITICAL（50）。

配置

配置文件，进程，网络，日志模块的打开或关闭以及对应模块子配置。 配置模式，可以选择监控或拦截，只有在拦截模式下才会阻止相关操作（如拒绝访问的文件列表）。