近日，知名科技資訊平臺Phoronix披露了一項來自微軟的開源新動向。據(jù)悉，微軟已正式向Linux內(nèi)核社區(qū)貢獻了一款名為Hornet的安全模塊（LSM），該模塊專為驗證eBPF（Extended Berkeley Packet Filter）程序簽名而設計。

eBPF，這一在Linux內(nèi)核中運行程序的技術，以其無需修改內(nèi)核源代碼或加載內(nèi)核模塊便能安全高效地擴展內(nèi)核功能的特點，受到了廣泛認可。微軟作為eBPF技術的長期倡導者，此次通過Hornet的推出，再次展示了其在該領域的深厚積累和積極貢獻。

Hornet的核心功能在于，它采用了一種與內(nèi)核模塊相似的簽名驗證機制，通過在可執(zhí)行文件的末尾附加pkcs#7簽名，來確保eBPF程序的完整性。當bpf_prog_load被調(diào)用時，Hornet會智能地從當前任務的可執(zhí)行文件中提取簽名，并利用該簽名對傳入內(nèi)核的bpf指令和映射進行嚴格的驗證。

值得注意的是，Hornet在設計上默認信任從內(nèi)核內(nèi)部加載的程序，而對于用戶空間的程序則持謹慎態(tài)度。這一設計不僅保證了BPF_PRELOAD程序和BPF_SYSCALL程序的順利輸出，還通過支持輕量級加載器和靜態(tài)生成程序，進一步確保了內(nèi)核中所有運行代碼的簽名驗證。

除了Hornet LSM模塊外，微軟還提議在Linux內(nèi)核源碼樹中引入一個新的工具——sign-ebpf，這一工具將專門用于eBPF程序的簽名。開發(fā)者們可以通過查閱RFC補丁系列，深入了解Hornet LSM的具體實例和用法。

微軟的這一系列舉措，無疑為Linux內(nèi)核的安全防護提供了新的思路和手段。通過Hornet和sign-ebpf的引入，Linux內(nèi)核在eBPF程序的安全性方面將得到顯著提升，為開發(fā)者們提供更加安全、高效的開發(fā)環(huán)境。