Tránh sự cố Copy Fail trên Kubernetes bằng eBPF

Trong lúc vận hành K8s, có một yêu cầu ứng phó khẩn cấp liên quan đến vấn đề này nên tôi đã nhanh chóng làm một thứ phù hợp.

Một lỗ hổng có tên Copy Fail đã được công bố, trong đó chỉ cần mở socket sử dụng AF_ALG là có thể chiếm quyền root của host từ bên trong Pod K8s.

https://vi.news.hada.io/topic?id=29031

Dù đã có bản vá kernel, nhưng trong đa số môi trường vận hành thì rất khó áp dụng nhanh. Ngoài ra, với các kernel gần đây, tính năng liên quan thường được bật dưới dạng kernel built-in nên cũng không thể vô hiệu hóa bằng cách tắt kernel module.

Để xử lý vấn đề này dễ hơn, đây là một chương trình đơn giản dùng eBPF, khi phát hiện function call liên quan thì sẽ

1. (nếu kernel hỗ trợ) khiến function call đó thất bại
2. (nếu không hỗ trợ) kill luôn tiến trình đó

Đây là chương trình như vậy.

Tôi đã chuẩn bị để có thể dùng chỉ với một lần triển khai K8s DaemonSet, nên ai cần thì cứ lấy về dùng nhé~