#kernel security
在 LSFMM+BPF 大会上展示基于 BPF 的内核漏洞屏蔽技术
8/10lwn.net · ⭐️ 8/10 · 2026-07-13
思科的约翰·法斯塔本德在 2026 年 LSFMM+BPF 峰会上展示了一种技术,利用 BPF 快速保护运行中的 Linux 内核免受漏洞利用,有望将响应时间从数月缩短至数分钟。 这种方法可以显著改善自定义内核设备(如思科交换机)的安全性,这些设备的补丁部署缓慢且具有破坏性。同时,它也凸显了添加更多内核钩子以使基于 BPF 的防护完全有效的必要性。 Tetragon 是一款基于 BPF 的开源监控工具,它将事件数据收集到时序数据库中,用于事后漏洞利用分析。BPF 可以覆盖系统调用返回值,并利用 Linux 安全模块(LSM)钩子在不重启的情况下阻止漏洞利用。