Langer Umbau mitten im Kernel-Space

Auch ein anderes Projekt, den eBPF (extended Berkley Packet Filter), sollten Interessierte genau verfolgen, empfiehlt Langzeit-Kernel-Beobachter Leemhuis. Dabei handelt es sich um eine im Kernel-Space angesiedelte spezielle Art von Virtual Machine (VM), die System-Events verarbeitet und es ermöglicht, Code im Kernel-Space auszuführen. Die Interaktionen mit dem Userspace laufen über sogenannte Maps (Key-Value-Stores), die Programme dürfen nicht Turing-komplett sein und der Userspace darf nur lesend auf die von der eBPF generierten Werte zugreifen.

Stellenmarkt
  1. Assistenz Bereichsvorstand Vertrieb, Service und Technologie Exzellenz (m/w/d)
    DMG MORI Global Service GmbH, Pfronten
  2. DevSecOps Engineer* (m/w/d)
    HARTING IT Services GmbH & Co. KG, Espelkamp, Berlin
Detailsuche

Tatsächlich gibt es bereits erste Nutzer dieser neuen Technologie, wie etwa den Dtrace-Entwickler Brendan Gregg, dem sich dank eBPF die Option für ein Dtrace 2.0 eröffnet. Das ursprünglich vom Computer- und Softwarehersteller Sun Microsystems erstellte Analysewerkzeug Dtrace stand jahrelang wegen Lizenzproblemen nicht ohne weiteres für Linux bereit. Die fortdauernden Arbeiten von Gregg und der Kernel-Community, um BPF systematisch zu erweitern, schufen letztlich aber einen Ersatz für Dtrace.

Zusätzlich stellte die Entwicklerin Kris Nova in ihrem Clusterfuck-Vortrag auf der Fosdem wenig später das Projekt Falco vor, eine Runtime Security Engine für Kubernetes. Diese kann zur Laufzeit eines Clusters unter anderem ungewöhnliche und ungewollte Systemaufrufe blockieren.

Dazu durchsucht die Software mit Hilfe von eBPF unter anderem die Systemaufrufe, überprüft aber auch Container-Kontexte sowie die Meta- und Audit-Daten von Kubernetes und untersucht diese auf bekannte Angriffsmuster hin. Das macht Falco zu einer Art "Wireshark für den Kernel". Möglich machen das erst die jahrelange Arbeit an Containertechnik und eBPF.

Container besser isolieren

Golem Karrierewelt
  1. LPI DevOps Tools Engineer – Prüfungsvorbereitung: virtueller Zwei-Tage-Workshop
    15./16.12.2022, Virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    28.02.2023, Virtuell
Weitere IT-Trainings

Mit Containersicherheit setzten sich die Entwickler Mike Rapoport und James Bottomley auseinander. Sie suchen nach einem Weg, Container ohne zusätzliche Werkzeuge sicher genug für den Einsatz zu machen. Eines der zentralen Argumente gegen Container ist laut dem Vortrag nämlich noch immer die fehlende Isolation im Speicher. Auch wenn die Angst oft übertrieben scheint, stecken Nutzer und Unternehmen die Container daher mit Vorliebe zusätzlich in VMs, um sie voneinander zu isolieren. Dafür gibt es inzwischen eine Vielzahl unterschiedlicher Projekte, das zieht jedoch einen Overhead nach sich.

Bottomley und Rapoport suchen nun nach einer Möglichkeit, über den Linux-Kernel auch Adressräume im Speicher direkt voneinander zu isolieren. In ihrem Talk zeigten sie die verschiedenen Ansätze - mögliche und bereits ausprobierte -, um gleich auch die Probleme aufzulisten, die sich aus den jeweiligen Ansätzen ergeben.

Es scheint ein mühsamer Weg zu sein, den die Forscher da vor sich haben und auf dem sie wohl wieder mal nur in kleinen Schritten vorwärtskommen können. Ein paar Jahre werde es schon dauern, bis ihr Code einsatzbereit sei, schätzen die Entwickler. Aber das ist in der Kernel-Entwicklung ja keine Seltenheit und muss kein schlechtes Zeichen sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Fosdem: Linux ist Entwicklung auf der Langstrecke
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
25 Jahre Mars Attacks!
"Aus irgendeinem merkwürdigen Grund fehl am Platz"

Viele Amerikaner fanden Tim Burtons Mars Attacks! nicht so witzig, aber der Rest der Welt lacht umso mehr - bis heute, der Film ist grandios gealtert.
Von Peter Osteried

25 Jahre Mars Attacks!: Aus irgendeinem merkwürdigen Grund fehl am Platz
Artikel
  1. NIS 2 und Compliance vs. Security: Kann Sicherheit einfach beschlossen werden?
    NIS 2 und Compliance vs. Security
    Kann Sicherheit einfach beschlossen werden?

    Mit der NIS-2-Richtlinie will der Gesetzgeber für IT-Sicherheit sorgen. Doch gut gemeinte Regeln kommen in der Praxis nicht immer unbedingt auch gut an.
    Von Nils Brinker

  2. Artemis I: Orion-Kapsel ist in Mondorbit eingeschwenkt
    Artemis I
    Orion-Kapsel ist in Mondorbit eingeschwenkt

    Die Testmission für Mondlandungen der Nasa Artemis I hat den Mond erreicht. In den kommenden Tagen macht sich die Orion-Kapsel auf den Rückweg.

  3. Apple-Auftragsfertiger: Unruhen bei Foxconn und 30 Prozent iPhone-Produktionsverlust
    Apple-Auftragsfertiger
    Unruhen bei Foxconn und 30 Prozent iPhone-Produktionsverlust

    Foxconn soll Einstellungsprämien an Arbeiter nicht gezahlt haben, weshalb es zu Unruhen kam. Nun gab es Massenkündigungen. Für Apple ist die Situation gefährlich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN770 500GB 49,99€ • GIGABYTE Z690 AORUS ELITE 179€ • Seagate FireCuda 530 1TB 119,90€ • Crucial P3 Plus 1TB 81,99 & P2 1TB 67,99€ • Alpenföhn Wing Boost 3 ARGB 120 3er-Pack 42,89€ [Werbung]
    •  /