• IT-Karriere:
  • Services:

Langer Umbau mitten im Kernel-Space

Auch ein anderes Projekt, den eBPF (extended Berkley Packet Filter), sollten Interessierte genau verfolgen, empfiehlt Langzeit-Kernel-Beobachter Leemhuis. Dabei handelt es sich um eine im Kernel-Space angesiedelte spezielle Art von Virtual Machine (VM), die System-Events verarbeitet und es ermöglicht, Code im Kernel-Space auszuführen. Die Interaktionen mit dem Userspace laufen über sogenannte Maps (Key-Value-Stores), die Programme dürfen nicht Turing-komplett sein und der Userspace darf nur lesend auf die von der eBPF generierten Werte zugreifen.

Stellenmarkt
  1. Bürgerschaft der Freien und Hansestadt Hamburg, Hamburg
  2. Bank of Scotland, Berlin Mitte

Tatsächlich gibt es bereits erste Nutzer dieser neuen Technologie, wie etwa den Dtrace-Entwickler Brendan Gregg, dem sich dank eBPF die Option für ein Dtrace 2.0 eröffnet. Das ursprünglich vom Computer- und Softwarehersteller Sun Microsystems erstellte Analysewerkzeug Dtrace stand jahrelang wegen Lizenzproblemen nicht ohne weiteres für Linux bereit. Die fortdauernden Arbeiten von Gregg und der Kernel-Community, um BPF systematisch zu erweitern, schufen letztlich aber einen Ersatz für Dtrace.

Zusätzlich stellte die Entwicklerin Kris Nova in ihrem Clusterfuck-Vortrag auf der Fosdem wenig später das Projekt Falco vor, eine Runtime Security Engine für Kubernetes. Diese kann zur Laufzeit eines Clusters unter anderem ungewöhnliche und ungewollte Systemaufrufe blockieren.

Dazu durchsucht die Software mit Hilfe von eBPF unter anderem die Systemaufrufe, überprüft aber auch Container-Kontexte sowie die Meta- und Audit-Daten von Kubernetes und untersucht diese auf bekannte Angriffsmuster hin. Das macht Falco zu einer Art "Wireshark für den Kernel". Möglich machen das erst die jahrelange Arbeit an Containertechnik und eBPF.

Container besser isolieren

Golem Akademie
  1. Masterclass: Data Science mit Pandas & Python
    22./23. April 2021, online
  2. Terraform mit AWS
    4./5. Mai 2021, online
Weitere IT-Trainings

Mit Containersicherheit setzten sich die Entwickler Mike Rapoport und James Bottomley auseinander. Sie suchen nach einem Weg, Container ohne zusätzliche Werkzeuge sicher genug für den Einsatz zu machen. Eines der zentralen Argumente gegen Container ist laut dem Vortrag nämlich noch immer die fehlende Isolation im Speicher. Auch wenn die Angst oft übertrieben scheint, stecken Nutzer und Unternehmen die Container daher mit Vorliebe zusätzlich in VMs, um sie voneinander zu isolieren. Dafür gibt es inzwischen eine Vielzahl unterschiedlicher Projekte, das zieht jedoch einen Overhead nach sich.

Bottomley und Rapoport suchen nun nach einer Möglichkeit, über den Linux-Kernel auch Adressräume im Speicher direkt voneinander zu isolieren. In ihrem Talk zeigten sie die verschiedenen Ansätze - mögliche und bereits ausprobierte -, um gleich auch die Probleme aufzulisten, die sich aus den jeweiligen Ansätzen ergeben.

Es scheint ein mühsamer Weg zu sein, den die Forscher da vor sich haben und auf dem sie wohl wieder mal nur in kleinen Schritten vorwärtskommen können. Ein paar Jahre werde es schon dauern, bis ihr Code einsatzbereit sei, schätzen die Entwickler. Aber das ist in der Kernel-Entwicklung ja keine Seltenheit und muss kein schlechtes Zeichen sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Fosdem: Linux ist Entwicklung auf der Langstrecke
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Tragen 04. Feb 2020

Du hast Microsoft vergessen, so verrückt wie es ist.


Folgen Sie uns
       


Geforce RTX 3060 - Test

Schneller als eine Geforce RTX 2070, so günstig wie die Geforce GTX 1060 (theoretisch).

Geforce RTX 3060 - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /