eBPF实战：容器逃逸检测与防御的深度实践

容器技术在现代应用开发和部署中扮演着至关重要的角色。然而，容器的隔离并非绝对安全，容器逃逸是一种严重的安全威胁，攻击者可以通过各种手段突破容器的边界，从而控制宿主机。本文将深入探讨如何利用 eBPF（extended Berkeley Packet Filter）技术来检测和防御容器逃逸，并提供实际可操作的示例。

1. 容器逃逸的原理与常见手段

容器逃逸是指攻击者利用容器自身的漏洞、配置不当或宿主机内核漏洞，突破容器的隔离边界，获取宿主机的控制权限。常见的容器逃逸手段包括：

• 内核漏洞利用： 容器共享宿主机内核，如果宿主机内核存在漏洞，攻击者可以通过容器利用这些漏洞进行提权，最终逃逸。
• Docker Socket 挂载： 将 Docker Socket（/var/run/docker.sock）挂载到容器内部，容器内的进程就可以通过 Docker API 控制 Docker Daemon，从而创建新的容器，甚至直接操作宿主机的文件系统。
• 特权模式容器： 以特权模式（--privileged）运行的容器拥有宿主机的所有 capabilities，可以执行一些敏感操作，例如加载内核模块、访问设备等，这为逃逸提供了便利。
• Capabilities 滥用： Linux Capabilities 是一种细粒度的权限控制机制，如果容器被赋予了不必要的 capabilities，攻击者可能会利用这些 capabilities 进行提权。
• 不安全的 Mount Namespace 配置： 如果容器的 Mount Namespace 配置不当，例如允许容器挂载宿主机的文件系统，攻击者就可以修改宿主机的文件，从而实现逃逸。

2. eBPF 技术简介

eBPF 是一种革命性的内核技术，它允许用户在内核中安全地运行自定义代码，而无需修改内核源码或加载内核模块。eBPF 程序运行在内核虚拟机中，受到严格的验证和安全检查，可以有效地防止恶意代码对内核造成损害。eBPF 具有以下优点：

• 高性能： eBPF 程序在内核中运行，避免了用户态和内核态之间的切换，性能非常高。
• 安全： eBPF 程序经过内核的验证器验证，确保程序的安全性。
• 灵活： eBPF 可以用于各种场景，例如网络监控、安全审计、性能分析等。

eBPF 的工作流程大致如下：

1. 用户编写 eBPF 程序（通常使用 C 语言，然后编译成 eBPF 字节码）。
2. 用户将 eBPF 程序加载到内核中。
3. 内核验证器对 eBPF 程序进行验证，确保程序的安全性。
4. 如果验证通过，内核将 eBPF 程序 JIT 编译成机器码，并将其附加到指定的事件（例如系统调用、网络事件等）。
5. 当事件发生时，内核会执行相应的 eBPF 程序。

3. 使用 eBPF 检测容器逃逸

利用 eBPF，我们可以监控容器内部的行为，检测是否存在潜在的逃逸风险。以下是一些使用 eBPF 检测容器逃逸的示例：

3.1 监控 Docker Socket 访问

如果容器尝试访问 Docker Socket，这可能意味着容器内的进程试图控制 Docker Daemon。我们可以使用 eBPF 监控 connect 系统调用，检测是否有进程连接到 Docker Socket：

#include <linux/kconfig.h>
#include <linux/ptrace.h>
#include <linux/version.h>

struct connect_args {
    unsigned short family;
    unsigned short type;
    unsigned int protocol;
    unsigned int remote_addr;
    unsigned int remote_port;
};

SEC("tracepoint/syscalls/sys_enter_connect")
int sys_enter_connect(struct trace_event_raw_sys_enter *args) {
    struct connect_args conn_args;
    bpf_probe_read(&conn_args, sizeof(conn_args), (void *)args->args[1]);

    // Check if connecting to docker.sock
    if (conn_args.family == AF_UNIX) {
        char path[128];
        bpf_probe_read_str(path, sizeof(path), (void *)conn_args.remote_addr);
        if (strstr(path, "/var/run/docker.sock")) {
            // Found a connection to docker.sock
            u64 pid_tgid = bpf_get_current_pid_tgid();
            u32 pid = pid_tgid >> 32;

            // Report the event
            bpf_printk("Container (PID: %d) is trying to access docker.sock\n", pid);
        }
    }

    return 0;
}

代码解释：

• 这段代码使用 tracepoint 监控 connect 系统调用。
• bpf_probe_read 用于读取 connect 系统调用的参数，包括地址族、套接字类型、协议、远程地址和端口。
• 代码检查地址族是否为 AF_UNIX，如果是，则读取远程地址，并检查是否包含 /var/run/docker.sock。如果是，则说明容器正在尝试访问 Docker Socket。
• bpf_get_current_pid_tgid 用于获取当前进程的 PID 和 TGID。
• bpf_printk 用于将事件报告到内核日志。

编译并加载这个 eBPF 程序后，任何容器尝试连接到 Docker Socket 都会在内核日志中留下记录。

3.2 监控特权模式容器的创建

我们可以使用 eBPF 监控 clone 系统调用，检测是否有进程创建特权模式容器：

#include <linux/kconfig.h>
#include <linux/ptrace.h>
#include <linux/version.h>

SEC("tracepoint/syscalls/sys_enter_clone")
int sys_enter_clone(struct trace_event_raw_sys_enter *args) {
    unsigned long flags = args->args[0];

    // Check if CLONE_NEWUSER, CLONE_NEWNS, CLONE_NEWPID, CLONE_NEWNET, CLONE_NEWIPC are set
    if ((flags & CLONE_NEWUSER) && (flags & CLONE_NEWNS) && (flags & CLONE_NEWPID) && (flags & CLONE_NEWNET) && (flags & CLONE_NEWIPC)) {
        // This looks like a container creation
        u64 pid_tgid = bpf_get_current_pid_tgid();
        u32 pid = pid_tgid >> 32;

        // Report the event
        bpf_printk("Container (PID: %d) is being created\n", pid);
    }

    return 0;
}

代码解释：

• 这段代码使用 tracepoint 监控 clone 系统调用。
• 代码检查 clone 系统调用的 flags 参数，如果同时设置了 CLONE_NEWUSER、CLONE_NEWNS、CLONE_NEWPID、CLONE_NEWNET 和 CLONE_NEWIPC，则说明正在创建一个新的容器。
• bpf_get_current_pid_tgid 用于获取当前进程的 PID 和 TGID。
• bpf_printk 用于将事件报告到内核日志。

虽然这段代码不能直接判断是否是特权模式容器，但它可以作为第一步，检测容器的创建，然后结合其他信息（例如容器的 capabilities）来判断是否是特权模式容器。

3.3 监控 Capabilities 的使用

我们可以使用 eBPF 监控 cap_capable 函数，检测容器是否正在使用某些敏感的 capabilities：

#include <linux/kconfig.h>
#include <linux/ptrace.h>
#include <linux/version.h>

SEC("kprobe/cap_capable")
int BPF_KPROBE(cap_capable, const struct cred *cred, int cap, int audit) {
    // Check if the capability being checked is a sensitive one
    if (cap == CAP_SYS_MODULE || cap == CAP_SYS_ADMIN) {
        u64 pid_tgid = bpf_get_current_pid_tgid();
        u32 pid = pid_tgid >> 32;

        // Report the event
        bpf_printk("Container (PID: %d) is checking capability %d\n", pid, cap);
    }

    return 0;
}

代码解释：

• 这段代码使用 kprobe 监控 cap_capable 函数。
• 代码检查 cap_capable 函数的 cap 参数，如果 cap 是 CAP_SYS_MODULE 或 CAP_SYS_ADMIN，则说明容器正在检查是否具有加载内核模块或执行系统管理任务的权限。
• bpf_get_current_pid_tgid 用于获取当前进程的 PID 和 TGID。
• bpf_printk 用于将事件报告到内核日志。

4. 使用 eBPF 防御容器逃逸

除了检测容器逃逸，eBPF 还可以用于防御容器逃逸。例如，我们可以使用 eBPF 限制容器的 capabilities，阻止容器执行某些敏感操作。这需要更深入的内核编程知识和对容器安全模型的理解。

5. 总结与展望

eBPF 为容器安全带来了新的可能性。通过使用 eBPF，我们可以更有效地检测和防御容器逃逸，从而提高容器的安全性。然而，eBPF 仍然是一项相对较新的技术，学习曲线较陡峭。希望本文能够帮助读者了解 eBPF 在容器安全方面的应用，并激发大家对 eBPF 技术的兴趣。

未来的容器安全将更加依赖于内核级别的安全技术，eBPF 将在其中扮演越来越重要的角色。我们可以期待更多基于 eBPF 的容器安全工具和解决方案的出现。

参考资料：

• eBPF Documentation: https://www.kernel.org/doc/html/latest/networking/filter.html
• cilium: https://cilium.io/
• Falco: https://falco.org/