基于eBPF实现监控ssh登陆功能

以下是一个基于eBPF监控SSH登录的程序的示例代码,使用Python编写:

```python

import os

import ctypes

from bcc import BPF

eBPF程序

bpf_text = """

#include <uapi/linux/ptrace.h>

#include <linux/sched.h>

struct ssh_session {

u32 pid;

u64 login_time;

int success;

char comm[TASK_COMM_LEN];

};

BPF_HASH(sess_table, u32, struct ssh_session);

int trace_auth_success(struct pt_regs *ctx) {

u32 pid = bpf_get_current_pid_tgid();

u32 tid = bpf_get_current_tid_tgid();

struct ssh_session *sess, init_sess = {};

sess = sess_table.lookup(&pid);

if (sess) {

strncpy(sess->comm, bpf_get_current_comm(), TASK_COMM_LEN);

sess->success = 1;

sess->login_time = bpf_ktime_get_ns();

} else {

init_sess.pid = pid;

init_sess.login_time = bpf_ktime_get_ns();

init_sess.success = 1;

bpf_get_current_comm(&init_sess.comm, sizeof(init_sess.comm));

sess_table.update(&pid, &init_sess);

}

return 0;

}

int trace_auth_failure(struct pt_regs *ctx) {

u32 pid = bpf_get_current_pid_tgid();

struct ssh_session *sess = sess_table.lookup(&pid);

if (sess) {

strncpy(sess->comm, bpf_get_current_comm(), TASK_COMM_LEN);

sess->success = 0;

}

return 0;

}

"""

编译并加载eBPF程序

b = BPF(text=bpf_text)

b.attach_kprobe(event="ssh:auth_success", fn_name="trace_auth_success")

b.attach_kprobe(event="ssh:auth_failure", fn_name="trace_auth_failure")

读取并打印SSH登录信息

sess_table = b.get_table("sess_table")

print(f"{'PID':<6}{'COMM':<16}{'LOGIN TIME':<20}{'STATUS':<10}")

for k, v in sess_table.items():

sess = v.sess

status = "Success" if sess.success else "Failure"

print(f"{sess.pid:<6}{sess.comm:<16}{sess.login_time:<20}{status}")

清理eBPF程序

b.cleanup()

```

该程序使用`bcc`库提供的Python接口来编写和加载eBPF程序。通过钩子函数`trace_auth_success`和`trace_auth_failure`来捕获SSH登录成功和失败的事件,并将相关信息存储在一个hash表中。最后,程序读取并打印出存储的SSH登录信息,包括进程ID、进程名称、登录时间和状态(成功或失败)。

运行此程序需要满足以下条件:

  • 系统上安装了`bcc`库和eBPF相关工具。

  • 程序需要以root权限运行,因为eBPF需要进行特权操作。

相关推荐
逆小舟39 分钟前
【Linux】人事档案——用户及组管理
linux·c++
青草地溪水旁40 分钟前
pthread_mutex_lock函数深度解析
linux·多线程·pthread
太空的旅行者2 小时前
告别双系统——WSL2+UBUNTU在WIN上畅游LINUX
linux·运维·ubuntu
人工智能训练师4 小时前
Ubuntu22.04如何安装新版本的Node.js和npm
linux·运维·前端·人工智能·ubuntu·npm·node.js
灿烂阳光g4 小时前
domain_auto_trans,source_domain,untrusted_app
android·linux
Ronin3055 小时前
【Linux系统】日志与策略模式
linux·策略模式·日志
lubiii_6 小时前
网络安全渗透测试第一步信息收集
安全·web安全·网络安全
ZzzK,6 小时前
JAVA虚拟机(JVM)
java·linux·jvm
Aspiresky7 小时前
浅析Linux进程信号处理机制:基本原理及应用
linux·运维·信号处理
ajassi20008 小时前
linux C 语言开发 (八) 进程基础
linux·运维·服务器