[发明专利]一种基于eBPF对PAM认证模块监控的方法

权利要求书

1.一种基于eBPF对PAM认证模块监控的方法，其特征在于，包含以下步骤：

S1：在Linux系统中搜寻可插拔认证模块动态库文件libpam.so；

S2：使用ELF解析工具对搜寻到的libpam.so文件进行解析，获得ELF Header和各个ELFSection；

S3：解析ELF Header中的各个Section的类型，函数名保存在sh_type为SHT_SYMTAB和SHT_DYNAMIC的section中，遍历ELF Header的sh_type找到对应的section的位置，并根据这个位置提取出SHT_SYMTAB段和SHT_DYNAMIC段；

S4：遍历SHT_SYMTAB段和SHT_DYNAMIC段，找到其中的PAM认证模块、PAM账户模块、PAM会话模块和PAM口令模块的函数位置；

S5：关联经由编程、底层虚拟机编译、验证和即时编译生产的eBPF机器码程序和上述PAM各个模块的函数位置，形成对内核中用户空间事件的eBPF观察器；

S6：eBPF观察器接收内核探针触发的eBPF事件；

S7：eBPF观察器读取eBPF的上下文数据；

S8：对所述上下文数据进行解析，将相关数据赋值给PAM模块的变量；

S9：将所述PAM模块的变量数据写入PAM安全事件信息，实现对Linux系统PAM安全的监控。

2.根据权利要求1所述的基于eBPF对PAM认证模块监控的方法，其特征在于，步骤1中所述搜寻可插拔认证模块动态库文件时优先搜寻的目录包括/lib目录、/usr/lib目录和/etc/ld.so.conf。

3.根据权利要求1所述的基于eBPF对PAM认证模块监控的方法，其特征在于，步骤5中所述eBPF机器码程序的生成包含以下步骤：

S31：编写eBPF程序代码；

S32：经过底层虚拟机编译，将前述eBPF程序代码编译成字节码程序；

S33：经过验证器和JIT即时编译器，对所述字节码程序进行编译，生成BPF机器码程序。

4.根据权利要求1所述的基于eBPF对PAM认证模块监控的方法，其特征在于，步骤6中所述内核探针触发的eBPF事件包括login、passwd、ssh、su、sudo。