基于eBPF实现监控ssh登陆功能

以下是一个基于eBPF监控SSH登录的程序的示例代码,使用Python编写:

```python

import os

import ctypes

from bcc import BPF

eBPF程序

bpf_text = """

#include <uapi/linux/ptrace.h>

#include <linux/sched.h>

struct ssh_session {

u32 pid;

u64 login_time;

int success;

char commTASK_COMM_LEN;

};

BPF_HASH(sess_table, u32, struct ssh_session);

int trace_auth_success(struct pt_regs *ctx) {

u32 pid = bpf_get_current_pid_tgid();

u32 tid = bpf_get_current_tid_tgid();

struct ssh_session *sess, init_sess = {};

sess = sess_table.lookup(&pid);

if (sess) {

strncpy(sess->comm, bpf_get_current_comm(), TASK_COMM_LEN);

sess->success = 1;

sess->login_time = bpf_ktime_get_ns();

} else {

init_sess.pid = pid;

init_sess.login_time = bpf_ktime_get_ns();

init_sess.success = 1;

bpf_get_current_comm(&init_sess.comm, sizeof(init_sess.comm));

sess_table.update(&pid, &init_sess);

}

return 0;

}

int trace_auth_failure(struct pt_regs *ctx) {

u32 pid = bpf_get_current_pid_tgid();

struct ssh_session *sess = sess_table.lookup(&pid);

if (sess) {

strncpy(sess->comm, bpf_get_current_comm(), TASK_COMM_LEN);

sess->success = 0;

}

return 0;

}

"""

编译并加载eBPF程序

b = BPF(text=bpf_text)

b.attach_kprobe(event="ssh:auth_success", fn_name="trace_auth_success")

b.attach_kprobe(event="ssh:auth_failure", fn_name="trace_auth_failure")

读取并打印SSH登录信息

sess_table = b.get_table("sess_table")

print(f"{'PID':<6}{'COMM':<16}{'LOGIN TIME':<20}{'STATUS':<10}")

for k, v in sess_table.items():

sess = v.sess

status = "Success" if sess.success else "Failure"

print(f"{sess.pid:<6}{sess.comm:<16}{sess.login_time:<20}{status}")

清理eBPF程序

b.cleanup()

```

该程序使用`bcc`库提供的Python接口来编写和加载eBPF程序。通过钩子函数`trace_auth_success`和`trace_auth_failure`来捕获SSH登录成功和失败的事件,并将相关信息存储在一个hash表中。最后,程序读取并打印出存储的SSH登录信息,包括进程ID、进程名称、登录时间和状态(成功或失败)。

运行此程序需要满足以下条件:

  • 系统上安装了`bcc`库和eBPF相关工具。

  • 程序需要以root权限运行,因为eBPF需要进行特权操作。

相关推荐
run21professional13 分钟前
系统包管理器和语言级包管理器的区别,及其源配置
linux
阿成学长_Cain15 分钟前
Linux grpck命令超全详解|校验组文件完整性、修复/etc/group错误实战
linux·运维·服务器·网络
量子罐头18 分钟前
光润通发布LYSH-LAN-V1.0家庭版智能安全路由器 主打国密级硬件加密
网络·安全·智能路由器
Yofune安全研究19 分钟前
《邮件钓鱼攻防工程》Part 1:从 GoPhish 的天花板谈起
安全
你觉得脆皮鸡好吃吗1 小时前
OAuth学习 下
网络·安全·web安全·网络安全学习
NOVAnet20231 小时前
SaaS 化 MDR 安全运营平台技术架构解析:态势感知、关联研判与自动化响应实践
安全·架构·自动化
飞斯柯罗1 小时前
[飞斯柯罗] 想了解什么是网络安全资产和 KMS?
网络·安全·web安全
Yana.nice1 小时前
Weblogic日志体系
linux
数据知道1 小时前
安全实验室搭建指南:一台电脑搭出完整靶场环境
安全·网络安全·电脑
阿拉斯攀登1 小时前
内核模块开发:module_init 与模块机制详解
linux·网络·嵌入式硬件·linux驱动