基于PKS硬件特性的eBPF內(nèi)存隔離機(jī)制
軟件學(xué)報(bào)
頁(yè)數(shù): 19 2023-02-16
摘要: Linux內(nèi)核中的eBPF (extended Berkeley packet filter)機(jī)制可以將用戶(hù)提供的不受信任的程序安全地加載到內(nèi)核中.在eBPF機(jī)制中,檢查器負(fù)責(zé)檢查并保證用戶(hù)提供的程序不會(huì)導(dǎo)致內(nèi)核崩潰或者惡意地訪(fǎng)問(wèn)內(nèi)核地址空間.近年來(lái), eBPF機(jī)制得到了快速發(fā)展,隨著加入越來(lái)越多的新功能,其檢查器也變得愈發(fā)復(fù)雜.觀察到復(fù)雜的eBPF安全檢查器存在的兩個(gè)問(wèn)題:一...