基于eBPF实现监控ssh登陆功能

以下是一个基于eBPF监控SSH登录的程序的示例代码,使用Python编写:

```python

import os

import ctypes

from bcc import BPF

eBPF程序

bpf_text = """

#include <uapi/linux/ptrace.h>

#include <linux/sched.h>

struct ssh_session {

u32 pid;

u64 login_time;

int success;

char commTASK_COMM_LEN;

};

BPF_HASH(sess_table, u32, struct ssh_session);

int trace_auth_success(struct pt_regs *ctx) {

u32 pid = bpf_get_current_pid_tgid();

u32 tid = bpf_get_current_tid_tgid();

struct ssh_session *sess, init_sess = {};

sess = sess_table.lookup(&pid);

if (sess) {

strncpy(sess->comm, bpf_get_current_comm(), TASK_COMM_LEN);

sess->success = 1;

sess->login_time = bpf_ktime_get_ns();

} else {

init_sess.pid = pid;

init_sess.login_time = bpf_ktime_get_ns();

init_sess.success = 1;

bpf_get_current_comm(&init_sess.comm, sizeof(init_sess.comm));

sess_table.update(&pid, &init_sess);

}

return 0;

}

int trace_auth_failure(struct pt_regs *ctx) {

u32 pid = bpf_get_current_pid_tgid();

struct ssh_session *sess = sess_table.lookup(&pid);

if (sess) {

strncpy(sess->comm, bpf_get_current_comm(), TASK_COMM_LEN);

sess->success = 0;

}

return 0;

}

"""

编译并加载eBPF程序

b = BPF(text=bpf_text)

b.attach_kprobe(event="ssh:auth_success", fn_name="trace_auth_success")

b.attach_kprobe(event="ssh:auth_failure", fn_name="trace_auth_failure")

读取并打印SSH登录信息

sess_table = b.get_table("sess_table")

print(f"{'PID':<6}{'COMM':<16}{'LOGIN TIME':<20}{'STATUS':<10}")

for k, v in sess_table.items():

sess = v.sess

status = "Success" if sess.success else "Failure"

print(f"{sess.pid:<6}{sess.comm:<16}{sess.login_time:<20}{status}")

清理eBPF程序

b.cleanup()

```

该程序使用`bcc`库提供的Python接口来编写和加载eBPF程序。通过钩子函数`trace_auth_success`和`trace_auth_failure`来捕获SSH登录成功和失败的事件,并将相关信息存储在一个hash表中。最后,程序读取并打印出存储的SSH登录信息,包括进程ID、进程名称、登录时间和状态(成功或失败)。

运行此程序需要满足以下条件:

  • 系统上安装了`bcc`库和eBPF相关工具。

  • 程序需要以root权限运行,因为eBPF需要进行特权操作。

相关推荐
tntxia1 小时前
网络安全漏洞修复(一)
安全
orion5711 小时前
Missing Semester Class1:course overview and introduction of shell
linux
用户1204872216117 小时前
Linux驱动编译与加载
linux·嵌入式
用户805533698031 天前
Input 子系统架构:Core、Handler、Driver 三层是怎么协作的
linux·嵌入式
用户805533698031 天前
RK-Forge外设系列开篇 - 把板子从「能启动」变成「能用」:Ethernet/SPI/MMC 三个纯接线外设
linux·github·嵌入式
七歌杜金房1 天前
我终于又有了自己的 Linux 电脑
linux·debian·mac
泯泷2 天前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷2 天前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
tntxia2 天前
linux curl命令详解_curl详解
linux
扛枪的书生3 天前
Linux 网络管理器用法速查
linux