微软向Linux内核提交全新eBPF安全模块Hornet

3月22日消息，一家科技媒体于昨日（3月21日）发布了一篇博文，报道了微软向Linux内核社区提交的一项新的开源贡献——Hornet。这是一项用于验证eBPF程序签名的Linux安全模块（LSM）。

eBPF，全称Extended Berkeley Packet Filter，是一种能够在Linux内核中运行程序的技术。它允许开发者在不修改内核源代码或加载内核模块的情况下，以高效且安全的方式扩展内核功能。微软长期以来一直是eBPF技术的重要推动者，而Hornet的推出标志着其在这一领域迈出了更深一步，旨在进一步提升eBPF程序的安全性。

Hornet采用了与内核模块相似的签名验证机制。具体而言，它会在可执行文件的末尾附加一个pkcs7签名。当调用bpf_prog_load时，Hornet会从当前任务的可执行文件中提取签名，并利用该签名验证传入内核的BPF指令和映射的完整性。

此外，Hornet默认信任由内核内部加载的程序，而对用户空间加载的程序则需要额外验证。这种设计确保了BPF_PRELOAD程序和BPF_SYSCALL程序能够正常运行。同时，Hornet还支持轻量级加载器和静态生成程序，从而保障所有运行在内核中的代码都经过签名验证。

除了Hornet LSM模块外，微软还提议在Linux内核源码树中引入一个新的工具——sign-ebpf，用于对eBPF程序进行签名。开发者可以通过查阅RFC补丁系列，进一步了解Hornet LSM的具体实现细节。