SELinux - Heise Workshop Juni 2024

• 09:00 Begrüssung
• 09:20 SELinux und Linux Security Module
• 11:00 Linux Audit Subsystem
• 12:30 Mittagspause
• 13:30 SELinux Label und Context
• 15:00 SELinux entdecken
• 17:00 Ende Tag 1

• 09:00 SELinux Type Enforcement
• 11:30 SELinux Fehler erkennen und beheben
• 12:30 Mittagspause
• 13:30 SELinux Richtlinien entwickeln
• 16:30 SELinux - Offene Fragen / Q&A
• 17:00 Ende

• SELinux Label (Context) auf Dateien anzeigen

  ls -lZ <pfad>
  

• Welche Dateien/Verzeichnisse unter /etc sind vom SELinux Typ system_conf_t?
• Welchen SELinux Type haben neue Dateien im Heimverzeichnis des Benutzers user (ggf. eine Datei neu anlegen)?
• Erstelle eine sortierte Liste der SELinux Datei-Typen (3tes Feld im SELinux Label user:role:type) im Verzeichnis /usr/sbin.

• SELinux Label auf Prozessen anzeigen

  ps -auxZ
  

# id -Z

• Allgemeinen SELinux Status abfragen

sestatus

• Detaillierten SELinux Status abfragen

sestatus -v

• SELinux "enforcement" Status anzeigen

getenforce

• Verfügbare SELinux Module auflisten

semodule -l | less

• Die kompilierte (binäre) Richtlinien (Policy) Datei

ls -lh /etc/selinux/targeted/policy/

• Statistiken über den Access-Vector-Cache (AVC)

# avcstat
   lookups       hits        misses     allocs   reclaims      frees
   797921406     797847473   73933      73933    71040         73429

• Eine Datei index.html Datei im Heim-Verzeichnis des Benutzers root erstellen und in das Apache-WWW-Verzeichnis verschieben (nicht kopieren):

  rm /var/www/html/index.html
  $EDITOR /root/index.html
  mv /root/index.html /var/www/html/index.html
  ls -lZ /var/www/html/index.html
  

• Apache sollte nun nicht mehr in der Lage sein, die HTML-Datei auszuliefern (Default-Apache 2 Webseite erscheint)
• SELinux LSM-Meldungen im Audit-Log zum Prozess httpd anzeigen (Modul avc = Access Vector Cache)

  ausearch -m avc -ts recent -c httpd -i
  

  • SELinux Sicherheits-Kontext der Datei prüfen

  matchpathcon -V /var/www/html/index.html
  

  • Es wird angezeigt das der SELinux Sicherheits-Kontext der Datei nicht korrekt ist. SELinux blockiert daher die Zugriffe vom Apache Webserver auf diese Datei

• SELinux Security Context für Apache-Dateien anzeigen

  sesearch --allow --source httpd_t --target httpd_sys_content_t --class file
  

• SELinux Sicherheits-Kontext anpassen (manuell mit dem Befehl chcon (Change Context)

  chcon --type httpd_sys_content_t /var/www/html/index.html
  

• (Alternativ) SELinux Sicherheits-Kontext aus der SELinux Policy angleichen

  restorecon -v /var/www/html/index.html
  

• SELinux Security Context Type-Enforcement Definitionen für BIND 9-Dateien anzeigen

  sesearch --allow --source named_t --class file
  

• Aus der Liste schaut named_zone_t vielversprechend aus
• Ändern Sie die SELinux Policy für den BIND 9 Server und übernehmen Sie das neue Verzeichnis als ein Verzeichnis für BIND 9 Zonendateien

  % semanage fcontext -a -t named_zone_t --ftype f "/srv/bind/zones(/.*)?"
  % semanage fcontext -a -t named_zone_t --ftype d "/srv/bind/zones(/.*)?"
  

• Wenden Sie die neuen SELinux Datei-Label auf die existierenden Zonendateien an

  % restorecon -rv /srv/bind/zones/
  Relabeled /srv/bind/zones from unconfined_u:object_r:var_t:s0 to unconfined_u:object_r:named_zone_t:s0
  Relabeled /srv/bind/zones/primary from unconfined_u:object_r:var_t:s0 to unconfined_u:object_r:named_zone_t:s0
  Relabeled /srv/bind/zones/primary/example.net from unconfined_u:object_r:var_t:s0 to unconfined_u:object_r:named_zone_t:s0
  

• Danach den BIND 9 DNS Server neu starten (oder neu laden)

  systemctl restart named
  

• Die Zone sollte nun korrekt geladen sein

  rndc zonestatus example.net
  

• Suche mit sesearch nach Berechtigungen von Prozessen mit Label named_t:

  # sesearch --allow --source named_t --class tcp_socket
  

• Das Umschalten des SELinux-Boleans named_tcp_bind_http_port erlaubt den Zugriff auf Ports, die für den Typ http_port_t definiert sind

  # setsebool named_tcp_bind_http_port=on
  

• Aber Port 8053 ist nicht unter diesen Ports 😕

  # semanage port -l | grep http_port_t
  http_port_t tcp     80, 81, 443, 488, 8008, 8009, 8443, 9000
  

• Lösung 1: Benutze einen Port für den Statistik-Channel, welcher in der SELinux Policy für http_port_t erlaubt ist. Beispiel: In der named.conf port 8008:

  statistics-channels {
    inet * port 8008 allow { any; };
  };
  

• Lösung 2: Füge den BIND 9 Statistik-Port 8053 der Liste der Port für http_port_t hinzu:

  # semanage port -a -t http_port_t -p tcp 8053
  # semanage port -l | grep http_port_t
  http_port_t                    tcp  8053, 80, 81, 443, 488, 8008, 8009, 8443, 9000
  

• Danach den BIND 9 DNS Server neu laden

  systemctl restart named
  

• Die BIND 9 Statistik-Webseite sollte nun unter dem Namen der virtuellen Maschine selinuxNNN.linux-sicherheit.org und der Angabe des korrekten Ports in der URL (8008 oder 8053, je nach Lösung) mit einem Web-Browser abrufbar sein (ggf. muss noch in der Firewall der Port freigeschaltet werden – siehe Beispiel oben)

• Verschiebe die Zonen-Datei in das Verzeichnis /var/named/dynamic (in diesem Verzeichnis darf der BIND 9 Nameserver Dateien schreiben) und passe den SELinux Datei-Kontext (und die Unix-Berechntigungen) an:

% mv example.org dynamic/
% chown named: dynamic/example.org
% restorecon -vr dynamic/
Relabeled /var/named/dynamic/example.org from unconfined_u:object_r:named_zone_t:s0 to unconfined_u:object_r:named_cache_t:s0

• Passe die BIND 9 Konfiguration an:

zone "example.org" {
     type master;
     file "dynamic/example.org";
     update-policy local;
     };

• Setze den SELinux Boolean Schalter named_write_master_zones auf on

% setsebool named_write_master_zones=on

• Derzeitige Zuweisungen von SELinux Benutzern anzeigen

  # semanage login -l
  

• Verfügbare SELinux Benutzer und Rollen anzeigen

  # semanage user -l
  

• Benutzer user in die Benutzerklasse user_u einfügen.

  semanage login -a -s user_u user
  

• Neu als Benutzer user anmelden (z.B. über SSH oder Cockpit) und ein Terminal öffnen
• Die Befehle su oder sudo zur Ausweitung von Rechten sollten nun für den Benutzer user nicht mehr möglich sein
• Die Benutzerzuweisungen wurden in /etc/selinux/targeted/seusers gesichert:

  # cat /etc/selinux/targeted/seusers
  

• Ein Shellscript hello.sh im Heimverzeichnis des Benutzers user erstellen und ausführbar machen

  $EDITOR /home/user/hello.sh
  chmod +x /home/user/hello.sh
  

• Inhalt des Shell-Scripts

  #!/bin/sh
  echo "Hallo!"
  

• Testen, das dieses Shell-Skript direkt durch Aufruf der Datei ausgeführt werden kann

  # /home/cas/hello.sh
  Hallo!
  

• In einer neuen Sitzung als root den Benutzer user in die SELinux-Benutzer Gruppe guest_u aufnehmen (Gäste haben im SELinux System weniger Rechte als reguläre Benutzer) und die direkte Ausführung von Skripten unterbinden (über einen SELinux Schalter (Boolean) ausschalten)

  semanage login -m -s guest_u user
  getsebool allow_guest_exec_content
  setsebool allow_guest_exec_content off
  

• Versuchen als Benutzer user das Shell-Skritp auszuführen. Shell-Skripte sind nun nicht mehr direkt ausführbar
• Die SELinux Meldungen (avc) im Audit Log anschauen

  ausearch -m avc -ts recent
  

• Welche Möglichkeit(en) gibt es für Benutzer user, trotz der SELinux Beschränkung Shell-Skripte auszuführen?

• In diesem Kapitel werden wir eine SELinux Richtlinie (Policy) für einen Dienst entwickeln, welcher bisher noch nicht durch SELinux geschützt ist
  • Dies kann in der Praxis für Software notwendig werden, welche von externen Entwicklern geliefert wurde oder im eigenen Hause entwickelt wird
  • Unsere Beispiel-Anwendung ist ein sehr einfacher Webserver
• Um die Beispiel-Anwendung aus dem Quellcode übersetzen zu können installieren wir den GCC C-Compiler

dnf install gcc

• Für die Entwicklung neuer SELinux Richtlinien benötigen wir die Pakete für die SELinux Policy-Entwicklung (diese sind im Kurs ggf. schon installiert)

dnf install policycoreutils-python3 selinux-policy-devel

• Nach der Installation dieser Pakete befinden sie die SELinux Policy Quelldateien (der von Red Hat und der Community erstellen Richtlinien) im Verzeichnis /usr/share/selinux/devel/

  ls -l /usr/share/selinux/devel/
  ls -l /usr/share/selinux/devel/include/contrib/
  

• Hier ist der Quellcode (C Programmiersprache) eines (sehr) einfachen Web-Servers. Dieser Webserver liefert nur eine statische Webseite aus (diese Webseite ist fest im Quellcode des Servers eingebaut und wird nicht aus dem Dateisystem geladen):

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <netdb.h>
#include <arpa/inet.h>
#include <err.h>

char response[] = "HTTP/1.1 200 OK\r\n"
"Content-Type: text/html; charset=UTF-8\r\n\r\n"
"<!DOCTYPE html><html><head><title>Bye-bye baby bye-bye</title>"
"<style>body { background-color: #111 }"
"h1 { font-size:4cm; text-align: center; color: black;"
" text-shadow: 0 0 2mm red}</style></head>"
  "<body><h1>Goodbye, world!</h1></body></html>\r\n";

int main()
{
  int one = 1, client_fd;
  struct sockaddr_in svr_addr, cli_addr;
  socklen_t sin_len = sizeof(cli_addr);

  int sock = socket(AF_INET, SOCK_STREAM, 0);
  if (sock < 0)
    err(1, "can't open socket");

  setsockopt(sock, SOL_SOCKET, SO_REUSEADDR, &one, sizeof(int));
  int port = 8080;
  svr_addr.sin_family = AF_INET;
  svr_addr.sin_addr.s_addr = INADDR_ANY;
  svr_addr.sin_port = htons(port);

  if (bind(sock, (struct sockaddr *) &svr_addr, sizeof(svr_addr)) == -1) {
    close(sock);
    err(1, "Can't bind");
  }

  listen(sock, 5);
  while (1) {
    client_fd = accept(sock, (struct sockaddr *) &cli_addr, &sin_len);
    printf("got connection\n");

    if (client_fd == -1) {
      perror("Can't accept");
      continue;
    }

    write(client_fd, response, sizeof(response) - 1); /*-1:'\0'*/
    close(client_fd);
  }
}

• Wir erstellen ein neues Verzeichnis für unser Project und erstellen die Datei mit dem Quellcode mit Hilfe eines Text-Editors (emacs, mg, nano, vim etc)

mkdir ~/src
cd ~/src
$EDITOR simple-server1.c

• Im nächsten Schritt wird der Quellcode in eine Programm-Datei übersetzt (simple-server)

gcc -o simple-server simple-server1.c

• Die Programmdatei kopieren wir in das Verzeichnis /usr/local/bin

cp simple-server /usr/local/bin

• Wir starten den Server im Hintergrund und testen die Funktion in dem wir uns mit einem Web-Browser an Port 8080 verbinden. Wir sollten dort eine "Hello^HHHHHGoodbye World" Meldung sehen. Bei jeder Verbindung gibt der Server den Text Got connection aus.

simple-server &

• Wenn wir uns die SELinux Label des Dienstes anzeigen lassen sehen wir das dieses Dienst unconfined ist, also nicht durch SELinux abgesichert

ps -eZ | grep simple
ls -lZ /usr/local/bin/simple-server

• Wir erstellen ein neues Verzeichnis fuer das neue SELinux Policy Modul

mkdir ~/selinux-src
cd ~/selinux-src

• Der Befehl sepolicy generate erzeugt eine Vorlage für ein SELinux Policy Modul

sepolicy generate -n simple-server --init /usr/local/bin/simple-server

• Es werden drei SELinux Policy Quelldateien erstell
  • simple-server.te - Type Enforcement Quellcode - auf welche Datei-Typen darf der Prozess zugreifen
  • simple-server.fc - File Context Quellcode - welche Datei-Typen werden benutzt (und in welchen Pfaden liegen diese)
  • simple-server.if - Interface Quellcode - Definiert die Übergänge zwischen den Dateisystem und Prozess Typen, und definiert die Regeln für die Richtlinien
  • simple-server_selinux.spec - Quelldatei für ein RPM Paket
  • simple-server.sh - Shell Skript zum bauen des RPM Pakets des SELinux Policy Moduls
• Diese Dateien können wir uns anschauen
• Die Policy ist im permissive Modus!

less simple-server.te
less simple-server.fc
less simple-server.if

• Wir testen diese SELinux Policy indem wir diese übersetzen und ein RPM-Paket erstellen. Das Paket rpm-build wird benötigt um ein RPM-Paket zu bauen

dnf -y install rpm-build
sh simple-server.sh
ls -l

• Die neue SELinux Policy befindet sich in der Datei simple-server.pp. Dieses neue SELinux Policy-Modul kann nun geladen und aktiviert werden

semodule -i simple-server.pp

• Die neue Policy wirkt sich nicht auf schon gestartete Prozesse aus. Daher stoppen wir den vorher gestarteten simple-server Prozess

pkill simple-server

• Wir erstellen eine SystemD Service-Unit für den Server Dienst

$EDITOR /etc/systemd/system/simple-server.service

• Die Unit-Datei

[Unit]
Description=a simple http server
After=syslog.target network.target

[Service]
ExecStart=/usr/local/bin/simple-server

[Install]
WantedBy=multi-user.target

• Die neue Systemd-Service-Datei muss mit dem richtigen SELinux Label versehen werden

restorecon -R -v /etc/systemd/system/simple-server.service

• Systemd Service-Units neu laden und den Simple-Server starten

systemctl daemon-reload
systemctl start simple-server
systemctl enable simple-server
systemctl status simple-server

• Nun den Dienst benutzen (Mit dem Web-Browser auf Port 8080 zugreifen). Das SELinux Modul ist noch im Permissive Mode, Verstösse gegen die Policy werden im Audit-Log protokolliert

ausearch -m avc -ts recent -c simple-server

• Auch das Systemd-Journal liefert Fehlermeldungen über SELinux-Troubleshoot Modul setroubleshoot

journalctl | grep setroubleshoot

• Erklärungen zu den Policy-Fehlermeldungen ausgeben

ausearch -m avc -ts today -c simple-server | audit2why  | less

• Mittels des Programms audit2allow lassen sich Policy-Regeln aus den Audit-Meldungen erstellen. Diese Regeln sind selten 100% korrekt und müssen oft nachbearbeitet werden, helfen aber enorm bei der Erstellung eines Regelwerkes
  • Der Befehl sepolgen-ifgen erzeugt aus den SLinux Interface-Dateien des Systems Hilfdateien für die Erstellung der Policy-Dateien
  • Der Befehl audit2allow -R gibt die SELinux Policy-Regeln auf dem Terminal aus. Diese bauen wir per copy-n-paste in die Type-Enforcement-Quelldatei simple-server.te ein. Dabei muss auf die korrekte Reihenfolge der Abschnitte geachtet werden (require Block unter Deklarationen, allow Ausdrücke darunter):

sepolgen-ifgen -v
ausearch -m avc -ts today -c simple-server | audit2allow -R
require {
        type simple-server_t;
        class tcp_socket { bind create setopt accept listen };
}

#============= simple-server_t ==============
allow simple-server_t self:tcp_socket { bind create setopt accept listen };
corenet_tcp_bind_generic_node(simple-server_t)
corenet_tcp_bind_http_cache_port(simple-server_t)

• Neue Policy-Regeln in die Policy einfügen, Modul entfernen, neu kompilieren und dann neu laden

semodule -r simple-server
sh ./simple-server.sh
semodule -i simple-server.pp
systemctl restart simple-server

• Die Anwendung benutzen und testen, danach wieder das Audit-Log auf SELinux Fehler des simple-server Prozesses prüfen. GGf. neue Regeln erstellen und Modul und Programm neu laden
• Diese Schritte wiederholen bis keine SELinux Meldungen mehr im Audit-Log auftauchen

  ausearch -m avc -ts recent -c httpd -i
  <no matches>
  

• Die Anwendung ggf. für eine gewisse Zeit in Produktion im permissive Modus betreiben und auf SELinux Fehler prüfen
• Treten keine Fehler mehr auf, dann die Zeile permissive simple-server_t; in der Type-Enforcement Datei auskommentieren und das Modul im enforcing Modus betreiben
• Schalten wir nun das simple-server Modul in den enforcing Modus, werden wir feststellen das das Programm doch nicht wie gewünscht funktioniert
• Ein Trace des laufenden Programms mittels strace oder eBPF oder bpftrace zeigt das die Syscalls shutdown und write fehlschlagen. Diese werden von SELinux unterbunden, aber nicht an das Audit-Subsystem gemeldet.
• Aufgabe: Trage die Syscalls shutdown und write in die Policy ein, übersetze die Policy und teste erneut

• Entwickler von SELinux-Policies können bestimmte Regeln vom Auditing ausschliessen
  • Um übermässiges Logging im Audit zu vermeiden
  • Verstösse gegen SELinux-Regeln, welche mit donotaudit markiert sind, werden nicht im Audit-Log vermerkt
  • Bei der Entwicklung von neuen SELinux Policies kann dies stören, denn hier möchte man im Audit-Log ein möglichst vollständiges Bild aller Verstösse bekommen
  • Die donotaudit Regeln in der SELinux-Richtline ausschalten

    # semodule -DB
    

  • Um die donotaudit Regel wieder zu aktivieren

    # semodule -B
    

• Als finalen Schritt den Permissive Modus aus der Policy herausnehmen, Die Versionsnummer anpassen (Version 1.1.0), übersetzen und nochmals testen

policy_module(simple-server, 1.1.0)

########################################
#
# Declarations
#

type simple-server_t;
type simple-server_exec_t;
init_daemon_domain(simple-server_t, simple-server_exec_t)

require {
        type simple-server_t;
        type var_log_t;
        class tcp_socket { accept bind create listen setopt shutdown write };
        class file { create open write };
        class dir { write add_name };
}

#permissive simple-server_t;

########################################
#
# simple-server local policy
#
allow simple-server_t self:fifo_file rw_fifo_file_perms;
allow simple-server_t self:unix_stream_socket create_stream_socket_perms;

allow simple-server_t self:tcp_socket { accept bind create listen setopt shutdown write };
allow simple-server_t var_log_t:file { create open write };
allow simple-server_t var_log_t:dir { create write add_name };

corenet_tcp_bind_generic_node(simple-server_t)
corenet_tcp_bind_http_cache_port(simple-server_t)
domain_use_interactive_fds(simple-server_t)

files_read_etc_files(simple-server_t)

miscfiles_read_localization(simple-server_t)
logging_manage_generic_logs(simple-server_t)
logging_rw_generic_log_dirs(simple-server_t)

• simple-server SELinux Modul laden, simple-server Prozess per Systemd neu starten, Programm testen

• eBPF Programme werden für eine virtuelle CPU Architektur übersetzt
• Der Programmcode wird in den Linux Kernel geladen und dort geprüft
• Auf populären CPU Architekturen (amd64, AARCH64) wird der eBPF Bytecode in nativen Maschinencode re-compiliert (Just in Time Compiler = JIT)

• Der express data path (XDP) innerhalb des Linux-Kernels ist eine Infrastruktur, um auf unterster Ebene Kontrolle über Netzwerk-Pakete auszuüben
  • Der normale Datenfluss im Linux Netzwerk-Stack kann via XDP umgangen werden
  • eBPF Programme können in den eXpress Data Path (XDP) geladen werden

• XDP eBPF Programm können auf verschiedenen Ebenen in den Linux Kernel geladen werden
  • Offload XDP: direkt in die Netzwerk-Hardware (ASIC/FPGA, benötigt Unterstützung für XDP in der Hardware, z.B. vorhanden in den Netronome Netzwerkadaptern)
  • Native XDP: In den Linux Kernel Netzwerk-Treiber der Netzwerkschnittstelle (benötigt Unterstützung durch den Treiber)
  • Generic XDP: In den Linux Kernel Netzwerk-Stack (weniger Performance, aber ohne besondere Unterstützung von Hardware oder Treibern möglich)

• XDP Programme können
  • lesen: Netzwerk-Pakete und Statistiken sammeln
  • verändern: Den Inhalt der Netzwerkpakete ändern
  • verwerfen: Ausgewählte Netzwerk-Pakete können verworfen werden (Firewall)
  • umleiten: Netzwerkpakete können auf die gleichen oder andere Netzwerkschnittstellen umgeleitet werden (Switching/Routing)
  • durchlassen: Das Netzwerkpaket wird an den Linux TCP/IP Stack zur normalen Bearbeitung übergeben

• XDP kann unerwünschten Netzwerk-Verkehr schon sehr früh im Netzwerk-Stack verwerfen (z.B. innerhalb der Netzwerk-Hardware). Dies kann zum Schutz gegen DDoS Angriffe eingesetzt werden

• Der Open-Source DNS Load-Balancer DNSdist von PowerDNS kann DNS Pakete via eBPF und XDP filtern oder per Rate-Limiting beschränken
• Der Knot Resolver (seit Version 5.2.0) kann mittels ePBF und XDP den Linux TCP/IP Stack für DNS Pakete umgehen und die DNS-Pakete direkt an den Knot DNS Resolver Prozess im Userspace weiterleiten (https://knot-resolver.readthedocs.io/en/stable/daemon-bindings-net_xdpsrv.html). Hierdurch wird eine enorme Geschwindigkeitssteigerung der DNS Antwortrate erziehlt.

• Die Syscalls eines BIND 9 Prozesses auswerten mit dem Programm syscount

# syscount-bpfcc -p `pgrep named` -i 10
Tracing syscalls, printing top 10... Ctrl+C to quit.
[07:34:19]
SYSCALL                   COUNT
futex                       547
getpid                      121
sendto                      113
read                         56
write                        31
epoll_wait                   31
openat                       23
close                        20
epoll_ctl                    20
recvmsg                      20

• Die Linux Capabilities von laufenden Prozessen anzeigen

# capable-bpfcc | grep named
07:36:17  0      29378  (named)          24   CAP_SYS_RESOURCE     1
07:36:17  0      29378  (named)          24   CAP_SYS_RESOURCE     1
07:36:17  0      29378  (named)          12   CAP_NET_ADMIN        1
07:36:17  0      29378  (named)          21   CAP_SYS_ADMIN        1
07:36:17  0      29378  named            6    CAP_SETGID           1
07:36:17  0      29378  named            6    CAP_SETGID           1
07:36:17  0      29378  named            7    CAP_SETUID           1
07:36:17  109    29378  named            24   CAP_SYS_RESOURCE     1

• Das BCC Programm gethostlatency misst die Latenz der client-seitigen DNS Namensauflösung durch Systemaufrufe wie getaddrinfo oder gethostbyname

# gethostlatency-bpfcc
TIME      PID    COMM                  LATms HOST
10:21:58  19183  ping                 143.22 example.org
10:22:18  19184  ssh                    0.03 host.example.de
10:22:18  19184  ssh                   60.59 host.example.de
10:22:35  19185  ping                  23.44 isc.org
10:22:49  19186  ping                4459.72 yahoo.co.kr

• Audit-Frameworks für Linux benutzen eBPF um Prozesse auf einem Host oder im Container ganzheitlich zu überwachen:
  • Dateisystemzugriffe
  • Netzwerkverkehr
  • Prozess-Execution
  • Systemcalls

• Dabei wird jedem Prozess eine execution-id zugewiesen und alle Log-Einträge können mittels der ID einem Prozess zugeordnet werden
• eBPF kann direkt Policy-Entscheidungen von Linux-Security-Modulen (LSMs wie SELinux, AppArmor, Tomoya) anpassen
  • eBPF kann direkt Dateizugriffe, Netzwerk-Kommunikation oder Syscalls unterbinden

• Mittels eBPF lassen sich potente Backdoors im Betriebssystem-Kernel verstecken
  • Persistent?
  • In der Netzwerk-Karte?
  • Um eBPF Programme in den Kernel zu laden werden priviligierte Rechte (CAP_SYSADMIN) benötigt (in neueren Linux Distributions-Versionen)
    • /proc/sys/kernel/unprivileged_bpf_disabled

• Bis 2022 hatten einige (populäre) Linux Distributionen unpriviligiertes eBPF aktiviert
  • Jeder Benutzer konnte eBPF Code in den Kernel laden!
  • Ubuntu (und andere Linux-Distributionen) haben diese Lücke in Frühjahr 2022 geschlossen
  • Prüfen, daß die Linux Kernel-Variable (sysctl) kernel.unprivileged_bpf_disabled > 0 ist

• Ist in der Kernel Konfiguration der Schalter CONFIG_BPF_KPROBE_OVERRIDE aktiv (zur Übersetzungszeit des Kernels), so können eBPF Programme die Rückgabewerte von (Kernel-)Funktionen überschreiben
• Diese Konfiguration sollte in Kernel in Produktions-Umgebungen nicht gesetzt sein (Kernel "config" prüfen)

• Durch schreiben des Wertes 0 in die Pseudo-Datei /sys/kernel/debug/kprobes/enabled werden die Kernel-Probes (KPROBES) ausgeschaltet
• Achtung: ein Benutzer mit Schreibrechten auf diese Datei (z.B. root) kann die KPROBES wieder anschalten

• In sicherheitskritischen Bereichen sollten ggf. Kernel ohne eBPF Funktion (kprobes, XDP, eBPF TC Filter) eingesetzt werden
  • Hierzu muss der Kernel neu übersetzt werden (dies ist oft nicht praktikabel)
  • Es gibt (derzeit, 2023) keinen Kernel Commandline Schalter um eBPF auszuschalten

Von David Calavera, Lorenzo Fontana (November 2019)

Von Brendan Gregg (Dezember 2020)

Von Brendan Gregg (Dezember 2019)

• eBPF support and Linux kernel versions https://github.com/iovisor/bcc/blob/master/docs/kernel-versions.md
• Awesome BPF https://github.com/zoidbergwill/awesome-ebpf
• Using user-space tracepoints with BPF https://lwn.net/Articles/753601/
• Extending systemd Security Features with eBPF https://kinvolk.io/blog/2021/04/extending-systemd-security-features-with-ebpf/
• Absolute Beginner's Guide to BCC, XDP, and eBPF https://dev.to/satrobit/absolute-beginner-s-guide-to-bcc-xdp-and-ebpf-47oi

• Linux Extended BPF (eBPF) Tracing Tools https://www.brendangregg.com/ebpf.html
• Performance Implications of Packet Filtering with Linux eBPF https://www.net.in.tum.de/fileadmin/bibtex/publications/papers/ITC30-Packet-Filtering-eBPF-XDP.pdf
• eBPF for perfomance analysis and networking https://marioskogias.github.io/students/debeule.pdf
  • BPF and XDP Reference Guide https://docs.cilium.io/en/v1.10/bpf/

• Intro to Kernel and Userspace Tracing Using BCC, Part 1 of 3 https://blogs.oracle.com/linux/post/intro-to-bcc-1

• bpftrace Reference Guide https://github.com/iovisor/bpftrace/blob/master/docs/reference_guide.md
• Kernel analysis with bpftrace https://lwn.net/Articles/793749/
• The bpftrace One-Liner Tutorial https://github.com/iovisor/bpftrace/blob/master/docs/tutorial_one_liners.md
• Full-system dynamic tracing on Linux using eBPF and bpftrace https://www.joyfulbikeshedding.com/blog/2019-01-31-full-system-dynamic-tracing-on-linux-using-ebpf-and-bpftrace.html
• bpftrace Cheat Sheet https://www.brendangregg.com/BPF/bpftrace-cheat-sheet.html

• udplife https://github.com/brendangregg/bpf-perf-tools-book/blob/master/exercinses/Ch10_Networking/udplife.bt
• How SKBs work http://vger.kernel.org/~davem/skb_data.html

• eBPF exporter https://blog.cloudflare.com/introducing-ebpf_exporter/

• Introduction to: XDP and BPF building blocks https://people.netfilter.org/hawk/presentations/ebplane2019/xdp-bpf-building-blocks.pdf
• A practical introduction to XDP https://www.linuxplumbersconf.org/event/2/contributions/71/attachments/17/9/presentation-lpc2018-xdp-tutorial.pdf
• eBPF/XDP https://www.slideshare.net/Netronome/ebpfxdp-sigcomm-2018
• XDP Packet filter and UDP https://fly.io/blog/bpf-xdp-packet-filters-and-udp/
• XDP Firewall https://github.com/gamemann/XDP-Firewall

• How to filter packets super fast: XDP & eBPF! https://jvns.ca/blog/2017/04/07/xdp-bpf-tutorial/
• Load XDP programs using the ip (iproute2) command https://medium.com/@fntlnz/load-xdp-programs-using-the-ip-iproute2-command-502043898263
• L4Drop: XDP DDoS Mitigations https://blog.cloudflare.com/l4drop-xdp-ebpf-based-ddos-mitigations/
• How to drop a packet in Linux in more ways than one https://codilime.com/blog/how-to-drop-a-packet-in-linux-in-more-ways-than-one/
• eBPFsnitch https://github.com/harporoeder/ebpfsnitch
• XDP minimal example https://ruderich.org/simon/notes/xdp-minimal-example
• Why is the kernel community replacing iptables with BPF? https://cilium.io/blog/2018/04/17/why-is-the-kernel-community-replacing-iptables

• Linux eBPF backdoor over TCP https://github.com/kris-nova/boopkit
• A Linux eBPF rootkit with a backdoor, C2, library injection, execution hijacking, persistence and stealth capabilities https://github.com/h3xduck/TripleCross
• Offensive BPF: Using bpftrace to host backdoors https://embracethered.com/blog/posts/2021/offensive-bpf-bpftrace-message-based/
• Offensive BPF: Malicious bpftrace https://embracethered.com/blog/posts/2021/offensive-bpf-bpftrace/

• BPFDoor: Chinese tool almost undetected for FIVE years is second BPF-based attack uncovered this year https://linuxsecurity.com/news/hackscracks/bpfdoor-chinese-tool-almost-undetected-for-five-years-is-second-bpf-based-attack-uncovered-this-year
• Anatomy of suspected top-tier decade-hidden NSA backdoor https://www.theregister.com/2022/02/23/chinese_nsa_linux/

• Hackers using stealthy Linux backdoor Symbiote to steal credentials https://www.csoonline.com/article/3663510/hackers-using-stealthy-linux-backdoor-symbiote-to-steal-credentials.html
• Bvp47 - Top-tier Backdoor of US NSA Equation Group https://www.pangulab.cn/files/The_Bvp47_a_top-tier_backdoor_of_us_nsa_equation_group.en.pdf

• Mapping It Out: Analyzing the Security of eBPF Maps https://www.crowdstrike.com/blog/analyzing-the-security-of-ebpf-maps/
• With Friends like eBPF, who needs enemies ? https://i.blackhat.com/USA21/Wednesday-Handouts/us-21-With-Friends-Like-EBPF-Who-Needs-Enemies.pdf
• Kernel Pwning with eBPF: a Love Story https://www.graplsecurity.com/post/kernel-pwning-with-ebpf-a-love-story

• Ubuntu is releasing updated kernels that disable unprivileged eBPF by default https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/BHI
• Toward signed BPF programs https://lwn.net/Articles/853489/
• CONFIG_{BPFKPROBEOVERRIDE}: Enable BPF programs to override a kprobed function https://cateee.net/lkddb/web-lkddb/BPF_KPROBE_OVERRIDE.html
• The kprobes debugfs interface https://www.kernel.org/doc/Documentation/kprobes.txt

• CVE-2021-33624 kernel: Linux kernel BPF protection against speculative execution attacks can be bypassed to read arbitrary kernel memory

• A flow-based IDS using Machine Learning in eBPF https://arxiv.org/abs/2102.09980
• ebpfkit-monitor is a tool that detects and protects against eBPF powered rootkits https://github.com/Gui774ume/ebpfkit-monitor
• MAC and Audit policy using eBPF (KRSI) https://lwn.net/Articles/813057/
• KRSI — the other BPF security module https://lwn.net/Articles/808048/

• bpfcontain-rs - https://github.com/willfindlay/bpfcontain-rs/
• Tracee - Linux Runtime Security and Forensics using eBPF https://github.com/aquasecurity/tracee
• falco - Cloud Native Runtime Security https://github.com/falcosecurity/falco
• Cilium Tetragon - eBPF-based Security Observability and Runtime Enforcement https://github.com/cilium/tetragon

• Installing bpftool:

% dnf install bpftool

• Which eBPF programms are loaded into the Linux Kernel?

% bpftool prog list
306: cgroup_device  tag ca8e50a3c7fb034b  gpl
        loaded_at 2023-02-09T21:16:16+0000  uid 0
        xlated 496B  jited 307B  memlock 4096B
        pids systemd(1)
307: cgroup_skb  tag 6deef7357e7b4530  gpl
        loaded_at 2023-02-09T21:16:16+0000  uid 0
        xlated 64B  jited 54B  memlock 4096B
        pids systemd(1)
308: cgroup_skb  tag 6deef7357e7b4530  gpl
        loaded_at 2023-02-09T21:16:16+0000  uid 0
[...]

• What are these? See cgroup_skb
  • https://github.com/systemd/systemd/blob/main/src/core/cgroup.c
  • https://aya-rs.dev/book/programs/cgroup-skb/
• Are eBPF programm statistics enabled?

% sysctl kernel.bpf_stats_enabled
kernel.bpf_stats_enabled = 0

• Let's enable eBPF statistics

% sysctl -w kernel.bpf_stats_enabled=1

• Dump disassembled eBPF source code

% # bpftool prog dump xlated id 317
   0: (bf) r6 = r1
   1: (69) r7 = *(u16 *)(r6 +176)
   2: (b4) w8 = 0
   3: (44) w8 |= 2
   4: (b7) r0 = 1
   5: (55) if r8 != 0x2 goto pc+1
   6: (b7) r0 = 0
   7: (95) exit

• See the eBPF JIT compiler generated machine code disassembly

% bpftool prog dump jited tag tag 6deef7357e7b4530
317: cgroup_skb  tag 6deef7357e7b4530  gpl                                                                                                      [6/723]
0xffffffffc0af90d0:
   0:   nopl   0x0(%rax,%rax,1)
   5:   xchg   %ax,%ax
   7:   push   %rbp
   8:   mov    %rsp,%rbp
   b:   push   %rbx
   c:   push   %r13
   e:   push   %r14
  10:   mov    %rdi,%rbx
  13:   movzwq 0xb0(%rbx),%r13
[...]

• Install the BIND 9 DNS Server

% dnf install bind
% systemctl enable --now named

• Install the bpftrace tools

% dnf install bpftrace

• Switch the operating system to use the BIND 9 DNS resolver

% echo "nameserver 127.0.0.1" > /etc/resolv.conf

• Example 1: Start gethostlatency.bt (found in /usr/share/bpftrace/tools) in one terminal, execute some other network tools that require DNS name resolution (ping, dnf, traceroute etc) to see the DNS name resolution latency
• Example 2: Count UDP send/receives by on-CPU PID and process name (Script is an excerpt From "BPF Performance Tools" by Brendan Gregg)
  • Execute some DNS queries against the BIND 9 resolver
  • Exec the bpftrace script with CTRL+C to see the report

% bpftrace -e "k:udp*_sendmsg,k:udp*_recvmsg { @[func, pid, comm] = count(); }"

• Example 3: Show packets received over UDP by the named process as a histogram (execute some queries, then terminate the script with CTRL+C)

% bpftrace -e "kr:udp_recvmsg /pid == $(pgrep named)/ { @recv_bytes = hist(retval); }"

• Example 4: Histogram of UDP packets send by the BIND 9 process (execute some queries, then terminate the script with CTRL+C)

% bpftrace -e "kprobe:udp_sendmsg /pid == $(pgrep named)/ { @size = hist(arg2); }"

• Example 5: BIND 9 tracing - print whenever rndc status is executed

% bpftrace -e 'uprobe:named:named_server_status { print("rndc status executed") }'

• Example 6: How long does it take (in nanoseconds) to flush the cache with rndc flush? Do some queries against the BIND 9 DNS resolver to fill the cache. Then call rndc flush to flush the cache. The printed value should get higher the more cache entries need to be cleaned.

% bpftrace -e "uprobe:/usr/sbin/named:named_server_flushcache / pid == $(pgrep named) /{ @start[tid] = nsecs; }
    uretprobe:/usr/sbin/named:named_server_flushcache /@start[tid]/ { print(nsecs - @start[tid]); delete(@start[tid]); }"

• Trace the cache related functions BIND 9 executes. Send some queries to the BIND 9 DNS resolver, then use rndc flush, rndc flushname <domain-name> and rndc flushtree <name> and see which functions are executed inside BIND 9

% bpftrace -e 'uprobe:/usr/lib64/libdns-9.16.23-RH.so:dns_cache* { print(func) }'

• Configure BIND 9 to forward all request for the domain isc.org to Quad9 (9.9.9.9). In the file /etc/named.conf add

zone "isc.org" {
  type forward;
  forwarders { 9.9.9.9; };
};

• Check the configuration with named-checkconf and restart the BIND 9 DNS server with systemctl restart named
• Install bpftrace

dnf install bpftrace

• Save the following source into the file forward-trace.bt

#!/usr/bin/bpftrace

struct dns_name {
        unsigned int   magic;
        unsigned char *ndata;
        unsigned int   length;
        unsigned int   labels;
        unsigned int   attributes;
        unsigned char *offsets;
//      isc_buffer_t  *buffer;
//      ISC_LINK(dns_name_t) link;
//      ISC_LIST(dns_rdataset_t) list;
};

BEGIN
{
  print("Waiting for forward decision...\n");
}
uprobe:/usr/lib64/libdns-9.16.23-RH.so:dns_fwdtable_find
{
  @dns_name[tid] = ((struct dns_name *)arg1)->ndata
}

uretprobe:/usr/lib64/libdns-9.16.23-RH.so:dns_fwdtable_find
{
 if (retval == 0) {
    printf("Forwarded domain name: %s\n", str(@dns_name[tid]));
 }
 delete(@dns_name[tid]);
}

• Make the file executeable

% chmod +x forward-trace.bt

• Execute the bpftrace script

% ./forward-trace.bt

• Login to the lab machine from a different terminal (or use tmux). Flush the cache of the BIND 9 resolver with rndc flush, then execute a DNS name resolution for isc.org and for other domains. See that the bpftrace script reports the forward decisions in BIND 9

% dig @localhost isc.org

• Our eBPF program in the bpftool listing

bpftool prog list | tail
        xlated 64B  jited 54B  memlock 4096B
        pids systemd(1)
383: kprobe  name uretprobe__dns_  tag 30ca488d1d146cd7  gpl run_time_ns 297757 run_cnt 115
        loaded_at 2023-02-09T21:46:24+0000  uid 0
        xlated 536B  jited 314B  memlock 4096B  map_ids 25,26
        pids forward-trace.b(34273)
384: kprobe  name uprobe__dns_fwd  tag c30da15c9fd45317  gpl run_time_ns 116583 run_cnt 115
        loaded_at 2023-02-09T21:46:24+0000  uid 0
        xlated 176B  jited 105B  memlock 4096B  map_ids 25
        pids forward-trace.b(34273)

• Try to disassemble the eBPF programm (eBPF code and JIT)

• Install the Kernel headers for the running Linux Kernel. These headers are needed to get the function names and entry points into the Linux Kernel for the eBPF probes

  % dnf install kernel-headers-$(uname -r)
  

• Create a text file with the name drop-non-dns-udp.c and enter the following C-Code. This eBPF program will …
  • … be executed for every incoming network packet
  • … prints the text got a packet whenever an IP packet is received
  • … extracts the IP- and UDP-header from the packet
  • … if the packet neither has the UDP source port of 53 (DNS) nor a destination port of 53 the return code of XDP_DROP will be returned, which will discard the packet. A message is printed to inform about the dropped packet
  • … all other network packets will be given with the return value of XDP_PASS into the Linux TCP/IP stack for further processing
  • This is an example XDP program. Production quality eBPF/XDP programms should use the eBPF map structures to exchange information with the User-Space program instead of using the bpf_trace_printk function.

#define KBUILD_MODNAME "filter"
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/ip.h>
#include <linux/in.h>
#include <linux/udp.h>

int udpfilter(struct xdp_md *ctx) {
  bpf_trace_printk("got a packet\n");
  void *data = (void *)(long)ctx->data;
  void *data_end = (void *)(long)ctx->data_end;
  struct ethhdr *eth = data;
  if ((void*)eth + sizeof(*eth) <= data_end) {
    struct iphdr *ip = data + sizeof(*eth);
    if ((void*)ip + sizeof(*ip) <= data_end) {
      if (ip->protocol == IPPROTO_UDP) {
        struct udphdr *udp = (void*)ip + sizeof(*ip);
        if ((void*)udp + sizeof(*udp) <= data_end) {
          if ((udp->dest != ntohs(53)) && (udp->source != ntohs(53))) {
            if (udp->dest != udp->source) {
              bpf_trace_printk("drop udp src/dest port %d/%d\n", ntohs(udp->source), ntohs(udp->dest));
              return XDP_DROP;
            }
          }
        }
      }
    }
  }
  return XDP_PASS;
}

• Also create a eBPF loader program (written in Python) in the file drop-non-dns-udp.py.
  • This loader will compile the C-Program above into eBPF byte code, load the program into the Linux Kernel and will detach the eBPF program with the loopback network interface (lo)
  • There will be a few warnings issued during compilation. This is not a problem for this exercise and we can ignore these for this lab session
  • The virtio network driver of the virtual machine environment doas not allow eBPF programs on the regular network interfaces (eth0 and eth1), therefore we test this function with the lookback interface.

#!/usr/bin/env python3

from bcc import BPF
import time

device = "lo"
b = BPF(src_file="drop-non-dns-udp.c")
fn = b.load_func("udpfilter", BPF.XDP)
b.attach_xdp(device, fn, 0)

try:
  b.trace_print()
except KeyboardInterrupt:
  pass

b.remove_xdp(device, 0)

• Make the loader executable

% chmod +x drop-non-dns-udp.py

• Execute the loader program (the warnings can be ingnored)

% ./drop-non-dns-udp.py

• Create a new connection to the lab machines (new browser tab, another SSH connection or use tmux)
• Create DNS queries towards the running BIND 9 DNS resolver over the loopback interface. These queries shoul not be blocked:

% dig @localhost isc.org

• Send UDP packets (DNS or other protocol) towards a port other than 53, the packets will be discarded before entering the regular Linux Kernel TCP/IP stack:

% dig -p 5353 @localhost isc.org