book

Observabilidad de Linux con BPF

by David Calavera, Lorenzo Fontana

October 2024

Intermediate to advanced

180 pages

5h 5m

Spanish

O'Reilly Media, Inc.

Read now

Unlock full access

Convenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
Historia de BPFArquitecturaConclusión
Escribir programas BPFTipos de programas BPFProgramas de filtro de enchufesProgramas KprobeProgramas TracepointProgramas XDPProgramas de Eventos PerfProgramas de Socket CgroupProgramas Cgroup Open SocketProgramas opcionales de zócaloProgramas de mapas de zócalosProgramas de dispositivos CgroupProgramas de entrega de mensajes por socketProgramas Tracepoint en brutoProgramas de dirección de socket CgroupProgramas de reutilización de zócalosProgramas de disección de flujosOtros programas de BPFEl verificador BPFFormato Tipo BPFLlamadas de cola BPFConclusión
Crear mapas BPFConvenciones ELF para crear mapas BPFTrabajar con mapas BFPActualizar elementos de un mapa BPFLectura de elementos de un mapa BPFEliminar un elemento de un mapa BPFIterar sobre los elementos de un mapa BPFBuscar y borrar elementosAcceso simultáneo a los elementos del mapaTipos de mapas BPFMapas de tablas hashMapas de matricesProgramar mapas de matricesMapas de matrices de eventos PerfMapas Hash por CPUMapas de matrices por CPUMapas de seguimiento de pilaMapas de matrices CgroupHash LRU y mapas hash por CPUMapas de Trias LPMConjunto de mapas y Hash de mapasMapa del dispositivo MapasMapa CPU MapasMapas de zócalos abiertosMatrices de sockets y mapas HashAlmacenamiento Cgroup y mapas de almacenamiento por CPUMapas de tomas ReuseportMapas de colasMapas de pilaEl sistema de archivos virtual BPFConclusión
SondasSondas del núcleoTracepuntosSondas del espacio de usuarioTracepuntos definidos estáticamente por el usuarioVisualización de los datos de seguimientoGráficos de llamaHistogramasEventos PerfConclusión
BPFToolInstalaciónPantalla de funcionesInspeccionar los programas de BPFInspeccionar los mapas BPFInspeccionar programas adjuntos a interfaces específicasCargar comandos en modo LoteVisualización de la información de BTFBPFTraceInstalaciónReferencia lingüísticaFiltradoMapeo dinámicokubectl-traceInstalaciónInspeccionar nodos KubernetesExportador eBPFInstalaciónExportar métricas desde BPFConclusión
BPF y filtrado de paquetesExpresiones tcpdump y BPFFiltrado de paquetes para sockets sin procesarClasificador de control de tráfico basado en BPFTerminologíaPrograma clasificador de control de tráfico mediante cls_bpfDiferencias entre el Control del Tráfico y el XDPConclusión
Visión general de los programas XDPModos de funcionamientoEl procesador de paquetesXDP e iproute2 como cargadorXDP y BCCProbar programas XDPPruebas XDP con el marco de pruebas unitarias de PythonCasos de uso del XDPMonitoreoMitigación DDoSEquilibrio de cargaCortafuegosConclusión
CapacidadesSeccompErrores SeccompEjemplo de filtro Seccomp BPFGanchos BPF LSMConclusión

Sysdig eBPF Modo DiosMolino de flujo

Content preview from Observabilidad de Linux con BPF

Capítulo 8. Seguridad, capacidades y Seccomp del núcleo Linux

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

BPF es una forma potente de ampliar el kernel sin comprometer la estabilidad, la seguridad y la velocidad. Por este motivo, los desarrolladores del núcleo pensaron que habría sido bueno utilizar su versatilidad para mejorar el aislamiento de procesos en Seccomp mediante la implementación de filtros Seccomp respaldados por programas BPF, también conocidos como Seccomp BPF. En este capítulo examinamos qué es Seccomp y cómo se utiliza. Luego aprenderás a escribir filtros Seccomp utilizando programas BPF. Después explorarás los ganchos BPF incorporados que tiene el núcleo para los módulos de seguridad de Linux.

Los Módulos de Seguridad Linux (LSM) son un marco que proporciona un conjunto de funciones que pueden utilizarse para implementar distintos modelos de seguridad de forma estandarizada. Un LSM puede utilizarse directamente en el árbol de código fuente del núcleo, como Apparmor, SELinux y Tomoyo.

Empezaremos hablando de las capacidades de Linux.

Capacidades

La cuestión con las capacidades de Linux es que necesitas proporcionar a tu proceso no privilegiado el permiso para realizar una tarea específica, pero no quieres dar privilegios suid al binario ni convertir de otro modo al proceso en privilegiado, así que reduces la superficie de ataque dándole simplemente al proceso la capacidad específica para ...