基于eBPF实现监控ssh登陆功能

最新推荐文章于 2025-05-24 10:30:40 发布
原创 最新推荐文章于 2025-05-24 10:30:40 发布 · 792 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#系统安全 #linux #安全 #网络安全

本文介绍了一个使用Python和BCC库编写的eBPF程序,它通过kprobe机制监控SSH登录事件,记录成功和失败情况,实时展示登录信息包括PID、进程名、时间及状态。

以下是一个基于eBPF监控SSH登录的程序的示例代码,使用Python编写:

```python
import os
import ctypes
from bcc import BPF

# eBPF程序
bpf_text = """
#include <uapi/linux/ptrace.h>
#include <linux/sched.h>

struct ssh_session {
    u32 pid;
    u64 login_time;
    int success;
    char comm[TASK_COMM_LEN];
};

BPF_HASH(sess_table, u32, struct ssh_session);

int trace_auth_success(struct pt_regs *ctx) {
    u32 pid = bpf_get_current_pid_tgid();
    u32 tid = bpf_get_current_tid_tgid();
    struct ssh_session *sess, init_sess = {};

    sess = sess_table.lookup(&pid);
    if (sess) {
        strncpy(sess->comm, bpf_get_current_comm(), TASK_COMM_LEN);
        sess->success = 1;
        sess->login_time

最低0.47元/天 解锁文章
使用 ebpf 监控 Node.js 事件循环的耗时
标子 的专栏
12-18 1234
前言:强大的 ebpf 使用越来越广,能做的事情也越来越多,尤其是无侵入的优雅方式更加是技术选型的好选择。本文介绍如何使用 ebpf监控 Node.js 的耗时,从而了解 Node.js 事件循环的执行情况。不过这只是粗粒度的监控,想要精细地了解 Node.js 的运行情况,需要做的事情还很多。 在 Node.js 里,我们可以通过 V8 Inspector 的 cpuprofile 来了解 JS 的执行耗时,但是 cpuprofile 无法看到 C、C++ 代码的执行耗时,通常我们可以使用 perf
Linux eBPF:网络、系统监控安全领域的创新
望获实时Linux系统
05-29 1950
eBPF利用其在网络监控和拦截方面的优势,可实现动态可定义的内核态网络安全eBPF可以在内核态实时监控网络流量和数据包,并且根据事先定义的规则进行拦截和处理。随着时间的推移,eBPF功能和应用场景不断扩展,如今已成为网络、系统监控安全等领域的重要工具。通过在目标内核函数的入口或出口处插入探针,eBPF 程序可以捕获函数调用和返回的参数、返回值等信息,从而实现对内核行为的监控和分析。通过在代码中插入特定的标记,eBPF 程序可以挂接到这些跟踪点,并捕获与应用程序相关的数据,以实现更细粒度的观测和分析。
eBPF实战教程七 | 性能监控工具—bpftop
DBdoctor_off的博客
10-09 1253
bpftop是一个强大的工具,使用bpftop工具可以直观地监控系统中正在运行的eBPF程序,极大提升了开发eBPF程序时对其自身性能优化的效率。
如何监控EBPF
运维老生常谈
05-24 1019
eBPF(Extended Berkeley Packet Filter)是一种强大的内核技术,允许在不修改内核源代码的情况下,运行安全、可验证的代码来监控和操作内核的各个方面。eBPF能够用于网络流量过滤、性能分析、系统安全、跟踪和调试等多个领域。要监控和使用eBPF,有几个常用的工具和方法,可以帮助你跟踪eBPF程序的运行、性能以及调试。1.使用bpftool监控 eBPFbpftool是一个原生的工具,用于与 eBPF 程序和对象交互。
使用ebpf 监控mysqld 内核
qq_32783703的博客
01-24 2270
我们使用ebpf 监控mysql的话有两个思路去做这件事情1、kprobe -> hook 掉tcp_sendmsg 和 tcp_recvmsg 一类的内核函数去分析网络协议2、uprobe -> hook 掉 mysqld 的api函数,然后在此基础上进行统计。
【DevOps安全】基于GitHub Actions与Ansible的SSH密钥轮换方案:多云CI/CD流水线中实现自动化密钥管理与安全连接
10-27
内容概要:本文围绕多云环境下CI/CD流水线中的SSH安全连接问题,提出了一套基于GitHub Actions与Ansible的密钥轮换实战方案。通过一次性密钥生成、动态授权管理、双向证书签名、日志可观测性增强及自动化回滚机制,...
【云原生安全】基于IAM与Teleport的SSH自动化配置:零信任架构下动态访问控制与攻防实战
最新发布
10-27
同时提出了结合Teleport、OIDC、动态证书、会话审计等构建统一访问控制与零信任架构的实践路径,并展望了SSH over QUIC、eBPF监控、FIDO2硬件密钥等未来方向。; 适合人群:具备一定云计算与DevOps基础,从事云安全...
利用eBPF监控BMC内核行为:性能分析新思路的6个实施步骤
[利用eBPF监控BMC内核行为:性能分析新思路的6个实施步骤](https://img-blog.csdnimg.cn/b530ab9a7e204a74947b0dc902ec2018.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1...
【CPU性能优化的10大核心秘籍】:从Load Average到eBPF监控全解析
[【CPU性能优化的10大核心秘籍】:从Load Average到eBPF监控全解析](https://img-blog.csdnimg.cn/c6ab7a7425d147d0aa048e16edde8c49.png) # 1. CPU性能监控的核心指标解析 ## CPU使用率的多维解读 CPU使用率是...
使用 eBPF 增强监控和可观测性
观测云的博客
06-16 1380
将代码注入 Linux 内核的能力开辟了一个全新的可能性世界。您可以轻松改进很多东西——安全性、网络、可观测性等等。BPF(伯克利包过滤器)使您能够编写可以从内部利用 Linux 内核功能的程序。BPF 传统上用于在将原始网络数据包发送到用户空间之前对其进行过滤,以提高系统的整体安全性。eBPF是 BPF 的扩展版本,具有一系列安全实现,以防止 BPF 程序破坏内核。在本指南中,您将了解如何使用 eBPF 在基于 Kubernetes 的基础架构中实现增强的可观测性。eBPF 代表扩展 BPF。顾名思义,它
[大厂实践] DoorDash基于eBPF监控实践
残星说梦话
12-26 809
你好,我是俞凡,在Motorola做过研发,现在在Mavenir做技术工作,对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI等技术始终保持着浓厚的兴趣,平时喜欢阅读、思考,相信持续学习、终身成长,欢迎一起交流学习。在此之前,我们使用的是fentry版本的探针,但由于我们用的是基于ARM的Kubernetes节点,而当前的Linux内核版本不支持基于ARM架构优化的入口探测,所以改用kprobe。我们对新的见解感到兴奋,这促使我们扩展BPFAgent,以支持网络流量监视之外的其他用例。
应用监控eBPF 版调研
qq_33043025的博客
06-24 1444
具体来说,当一个请求进入系统时,会创建一个根Span,然后在处理过程中,每个服务或组件都会创建自己的Span,并在Span中记录相关信息,如开始时间、结束时间、耗时、标签、日志等。当前持续剖析的能力是基于eBPF实现的,因为无侵入的特点,针对Go等有Debug符号信息的语言,Profiling的数据能够显示具体的函数调用,如果遇到unknown的函数,表示当前函数无法在内核中找到对应的符号表信息。可以根据选择的应用、接口和告警指标,通过智能算法对该指标的历史数据进行分析,推荐较为合理的静态阈值。
基于 eBPF 的 Serverless 多语言应用监控能力建设
阿里巴巴云原生的博客
03-02 340
面向未来,云计算将会全面 Serverless 化,多语言,全生态的支持将会是 Serverless 产品发力的重点,SAE 应用监控能力同样会持续不断的演进和增强,目前已经全面上线了无入侵,多维度,高性能的应用核心指标监控和告警能力,欢迎大家使用。
Linux未来监控tracing框架——eBPF
badman250的专栏
05-07 2649
eBPF源于早年间的成型于 BSD 之上的传统技术 BPF(Berkeley Packet Filter)。BPF 的全称是 Berkeley Packet Filter,顾名思义,这是一个用于过滤(filter)网络报文(packet)的架构。BPF 是在 1997 年首次被引入 Linux 的,Linux 内核中的报文过滤机制其实是有自己的名字的:Linux Socket Filter,简称 ...
【亲测免费】 tcptracer-bpf:高效追踪TCP事件的eBPF工具
gitblog_01018的博客
09-10 505
tcptracer-bpf:高效追踪TCP事件的eBPF工具 项目介绍 tcptracer-bpf 是一个基于eBPF(Extended Berkeley Packet Filter)技术的开源项目,专注于追踪TCP事件,如连接(connect)、接受(accept)和关闭(close)。该项目通过使用kprobes技术,能够在不依赖特定内核版本或配置的情况下,动态适应正在运行的内核。tcptra...
ebpf入门---监听所有新进程
azraelxuemo的博客
03-08 1163
eBPF 全称 extended Berkeley Packet Filter,中文意思是 扩展的伯克利包过滤器。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 内核模块 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。
三分钟学会编写 eBPF 程序:使用 eBPF 程序监控打开文件路径并使用 Prometheus 可视化
云微的blog
09-30 1240
opensnoop通过对 open 系统调用的追踪,使得用户可以较为方便地掌握目前系统中调用了 open 系统调用的进程信息。源代码:https://github.com/eunomia-bpf/eunomia-bpf/tree/master/bpftools/examples/opensnooplibbpf 参考代码:https://github.com/iovisor/bcc/blob/master/libbpf-tools/opensnoop.bpf.c。
探索网络世界的全新视角:ptcpdump——基于eBPF的高效TCP数据包捕获工具
gitblog_00039的博客
06-14 676
探索网络世界的全新视角:ptcpdump——基于eBPF的高效TCP数据包捕获工具 ptcpdump Process-aware, eBPF-based tcpdump 项目地址: https://gitcode.com/gh_mirrors/pt/ptcpdum...
擎创技术流 | 深入浅出运维可观测工具(二):eBPF应用中常见问题
智能运维及数据中台探索
07-29 929
上期跟大家聊了下eBPF的发展历史还有特性,这期主要跟大家分享下eBPF在应用过程中可能出现的问题,希望能帮到遇到类似问题的朋友,话不多说,我们进入正题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

车联网安全杂货铺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值