[发明专利]一种基于eBPF对PAM认证模块监控的方法

说明书

本发明公开了一种基于eBPF对PAM认证模块监控的方法。首先在Linux系统中搜寻可插拔认证模块动态库文件，解析之后获得其中的各个Section和ELF Header。遍历ELF Header寻找其中的认证模块、账户模块、会话模块和口令模块的函数位置。然后关联经编译之后的eBPF机器码程序和PAM各个模块的函数位置，形成对内核中用户空间事件的观察。通过内核探针触发eBPF事件，读取eBPF的上下文数据并解析，将相关数据赋值给PAM模块的变量，最后将PAM模块变量数据写入PAM安全事件信息，实现对Linux系统PAM安全的监控。本发明提出一种基于PAM模块的pam_get_authtok接口功能和eBPF的基于系统或程序事件高效安全执行特定代码的通用能力实现的对PAM认证模块监控的方法，以获得更高的速度和性能、低侵入性等效果。

技术领域

本发明属于网络安全认证技术领域，具体涉及一种基于eBPF对PAM认证模块监控的方法。

背景技术

服务器的系统安全至关重要，确认系统中使用应用程序或服务的用户确是用户本人、限制指定用户的访问服务的时间段、限制各种应用程序或服务对系统资源的使用率等都是系统安全的重要内容。Linux系统在设计时采取将不同的底层认证机制集中到一个高层次的API中的策略，从而省去开发人员自己去设计和实现各种繁杂的认证机制的麻烦。具体而言，其使用了一种安全验证方式是基于模块化设计、具有可插入功能的一种独立于应用程序之外的验证方式，因此大部分的Linux发行版在实现过程中集成了PAM (PluggableAuthentication Modules，可插拔认证模块）技术，所有应用程序统一由PAM管理执行认证工作给，使得程序主体无需再关注认证问题。PAM提供了对所有服务进行认证的中央机制，可适用于login，远程登录（telnet, rlogin, fsh, ftp, PPP），su等应用程序中。系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略，应用程序开发者通过在服务程序中使用PAM API来实现对认证方法的调用，而PAM服务模块的开发者则利用PAM SPI来编写模块（主要是引出一些函数pam_sm_xxxx( )供PAM接口库调用），将不同的认证机制加入到系统中。PAM接口库（libpam）则读取配置文件，将应用程序和相应的PAM服务模块联系起来。

eBPF（extended Berkeley Packet Filter，扩展的伯克利包过滤器）是一套通用执行引擎，提供了可基于系统或程序事件高效安全执行特定代码的通用能力，通用能力的使用者不再局限于内核开发者。eBPF 可由执行字节码指令、存储对象和 Helper 帮助函数组成，字节码指令在内核执行前必须通过 BPF 验证器 Verifier 的验证，同时在启用 BPFJIT 模式的内核中，会直接将字节码指令转成内核可执行的本地指令运行。eBPF 也逐渐在观测（跟踪、性能调优等）、安全和网络等领域发挥重要的角色。Facebook、NetFlix 、CloudFlare 等知名互联网公司的内部都广泛采用基于 eBPF 技术的各种程序用于性能分析、排查问题、负载均衡、防范 DDoS 攻击，据相关信息显示在 Facebook 的机器上内置一系列 eBPF 的相关工具。eBPF 的观测类型有多种，其中uprobe类型主要用来对用户空间进行调试追踪, 属于比较轻量级的机制, 本质上是在指定的探测点(比如函数的某行, 函数的入口地址和出口地址, 或者内核的指定地址处)插入一组处理程序。内核执行到这组处理程序的时候就可以获取到当前正在执行的上下文信息, 比如当前的函数名, 函数处理的参数以及函数的返回值, 也可以获取到寄存器甚至全局数据结构的信息。