eBPF的CO-RE对内核要求高
hz-kelpie opened this issue · 8 comments
hz-kelpie commented
需要内核支持BTF,感觉在真正使用上不如elf,是准备在低版本内核机器上使用netlink吗?
chriskaliX commented
这样嘛,我计划的是:普通机器用netlink,高版本的,例如k8s宿主机上用eBPF
chriskaliX commented
eBPF刚刚看了一点...我再学一学
hz-kelpie commented
hz-kelpie commented
关于eBPF三种部署方式可以参考 后续一起探索吧
chriskaliX commented
感谢大哥,我立马开始学习
hz-kelpie commented
关注你了 一起学习 我也在找HIDS好的HOOK方式,eBPF你到时候会觉得限制太多,Elkid的 ismod方式风险又太大了
chriskaliX commented
感谢~我也是这么觉得,Elkeid 的模式,以及我对他驱动模块不是很熟悉(万一报错不会debug就麻烦了)
chriskaliX commented
后续 todo:
- 继续强化 eBPF 学习和实践(包括 osquery 4.6.0 之后的bpf代码, eBPF summit 中 google 的视频等...)
- 后续采集模块检测内核版本,优先eBPF,失败回滚到 cn_proc
- 内核态 Hook 的继续学习,LSM、kprobe、tracepoint 等多种方案利弊
- 跟进 fb 的 eBPF CO-RE,继续学习