基于eBPF实现监控ssh登陆功能

以下是一个基于eBPF监控SSH登录的程序的示例代码,使用Python编写:

```python

import os

import ctypes

from bcc import BPF

eBPF程序

bpf_text = """

#include <uapi/linux/ptrace.h>

#include <linux/sched.h>

struct ssh_session {

u32 pid;

u64 login_time;

int success;

char comm[TASK_COMM_LEN];

};

BPF_HASH(sess_table, u32, struct ssh_session);

int trace_auth_success(struct pt_regs *ctx) {

u32 pid = bpf_get_current_pid_tgid();

u32 tid = bpf_get_current_tid_tgid();

struct ssh_session *sess, init_sess = {};

sess = sess_table.lookup(&pid);

if (sess) {

strncpy(sess->comm, bpf_get_current_comm(), TASK_COMM_LEN);

sess->success = 1;

sess->login_time = bpf_ktime_get_ns();

} else {

init_sess.pid = pid;

init_sess.login_time = bpf_ktime_get_ns();

init_sess.success = 1;

bpf_get_current_comm(&init_sess.comm, sizeof(init_sess.comm));

sess_table.update(&pid, &init_sess);

}

return 0;

}

int trace_auth_failure(struct pt_regs *ctx) {

u32 pid = bpf_get_current_pid_tgid();

struct ssh_session *sess = sess_table.lookup(&pid);

if (sess) {

strncpy(sess->comm, bpf_get_current_comm(), TASK_COMM_LEN);

sess->success = 0;

}

return 0;

}

"""

编译并加载eBPF程序

b = BPF(text=bpf_text)

b.attach_kprobe(event="ssh:auth_success", fn_name="trace_auth_success")

b.attach_kprobe(event="ssh:auth_failure", fn_name="trace_auth_failure")

读取并打印SSH登录信息

sess_table = b.get_table("sess_table")

print(f"{'PID':<6}{'COMM':<16}{'LOGIN TIME':<20}{'STATUS':<10}")

for k, v in sess_table.items():

sess = v.sess

status = "Success" if sess.success else "Failure"

print(f"{sess.pid:<6}{sess.comm:<16}{sess.login_time:<20}{status}")

清理eBPF程序

b.cleanup()

```

该程序使用`bcc`库提供的Python接口来编写和加载eBPF程序。通过钩子函数`trace_auth_success`和`trace_auth_failure`来捕获SSH登录成功和失败的事件,并将相关信息存储在一个hash表中。最后,程序读取并打印出存储的SSH登录信息,包括进程ID、进程名称、登录时间和状态(成功或失败)。

运行此程序需要满足以下条件:

  • 系统上安装了`bcc`库和eBPF相关工具。

  • 程序需要以root权限运行,因为eBPF需要进行特权操作。

相关推荐
熊猫李5 小时前
rootfs-根文件系统详解
linux
LH_R7 小时前
OneTerm开源堡垒机实战(三):功能扩展与效率提升
运维·后端·安全
dessler7 小时前
Hadoop HDFS-高可用集群部署
linux·运维·hdfs
泽泽爱旅行7 小时前
awk 语法解析-前端学习
linux·前端
你的人类朋友20 小时前
什么是API签名?
前端·后端·安全
深盾安全1 天前
ProGuard混淆在Android程序中的应用
安全
CYRUS_STUDIO1 天前
利用 Linux 信号机制(SIGTRAP)实现 Android 下的反调试
android·安全·逆向
轻松Ai享生活1 天前
5 节课深入学习Linux Cgroups
linux
白帽黑客沐瑶1 天前
【网络安全就业】信息安全专业的就业前景(非常详细)零基础入门到精通,收藏这篇就够了
网络·安全·web安全·计算机·程序员·编程·网络安全就业
christine-rr1 天前
linux常用命令(4)——压缩命令
linux·服务器·redis