ebpf在低内核如何支持

[gpt8763]

ebpf对内核版本有过多要求，例如：bpf_strncmp函数 就要求在5.17以上版本才能使用,centos7的系统内核还是3.x的版本。如何在低内核或者不升级内核的基础上使用ebpf技术？
书中第6章，提到tracee项目是通特殊容器--pid=host --groupns=host --privileged的方式运行，在这种情况下，容器内的ebpf拦截系统调用函数，是拦截宿主操作系统内核的函数，还是拦截的容器自己的内核的函数？

[mozillazg]

@gpt8763

ebpf对内核版本有过多要求，例如：bpf_strncmp函数 就要求在5.17以上版本才能使用,centos7的系统内核还是3.x的版本。如何在低内核或者不升级内核的基础上使用ebpf技术？

官方的实现确实是有内核版本要求。在低内核或者不升级内核的基础上使用ebpf技术的方案参考：

• 某些发行版会 backport 一些 ebpf 特性到低版本内核，比如 redhat。
• 也可以参考通过内核模块将 ebpf 新特性引入到低版本内核解决兼容性问题的方案，比如 https://github.com/aliyun/coolbpf 。
• 或者其他 ebpf vm 的实现，比如 https://github.com/eunomia-bpf/bpftime 。

[mozillazg]

@gpt8763

书中第6章，提到tracee项目是通特殊容器--pid=host --groupns=host --privileged的方式运行，在这种情况下，容器内的ebpf拦截系统调用函数，是拦截宿主操作系统内核的函数，还是拦截的容器自己的内核的函数？

因为容器与主机共享的是同一个内核，所以上面的 ebpf 程序即可以拦截容器内程序发起的系统调用，也可以拦截主机程序发起的系统调用。

[SMALL-head]

@gpt8763

书中第6章，提到tracee项目是通特殊容器--pid=host --groupns=host --privileged的方式运行，在这种情况下，容器内的ebpf拦截系统调用函数，是拦截宿主操作系统内核的函数，还是拦截的容器自己的内核的函数？

因为容器与主机共享的是同一个内核，所以上面的 ebpf 程序即可以拦截容器内程序发起的系统调用，也可以拦截主机程序发起的系统调用。

有道理。大佬请教一下，那假设我希望某个在容器内部挂载的ebpf程序只审计或拦截容器内的相关kernel function，而不会对宿主机的内核函数有影响，是不是就没法做到了呢？

[mozillazg]

@SMALL-head

有道理。大佬请教一下，那假设我希望某个在容器内部挂载的ebpf程序只审计或拦截容器内的相关kernel function，而不会对宿主机的内核函数有影响，是不是就没法做到了呢？

每个/组容器一般都拥有独立的的 cgroup 和 linux namespace，你可以根据这些信息在 ebpf 程序中针对事件的上下文进行过滤，实现只处理某个/组容器的事件的需求。这也是通常情况下在 ebpf 程序中实现按容器或pod进行事件过滤的思路。

[gpt8763]

第12章为事件关联上下文信息，有关于如何取提进程id以及找对应的cgroup和linux命名空间的方法。然后，sysdig工具也可以查看容器的系统 调用，以及控制 Seccomp能控制 容器中的系统 调用行为。seccomp controller 的 syscall 学习功能是通过 ebpf 实现的，通过 ebpf 可以获取工作节点每个进程产生的系统调用，进而获取到指定 pod 对应的系统调用。通过 ebpf 的方式，将集群中每个容器产生的 syscall 调用进行收集，生成 syscall 白名单。