eBPF를 위해 필요한 SELinux 보안 정책
SELinux가 활성화된 경우, bpf를 사용하는 프로그램은 기본적으로 map_create 보안에 위배됩니다. 하지만 그것은 시작일 뿐 이후 로드하는 단계까지 진입하면 계속해서 필요한 권한이 발생합니다.
err = spec.LoadAndAssign(&_bpfObj, &opts)
// field InetSockSetState: program inet_sock_set_state: load program: permission denied
이때의 SELinux audit 로그를 확인하면 "map_read map_write prog_load" 권한이 없다고 나오는데요,
$ sudo ausearch --start 01/14/2025 00:00:00 -m avc --raw | audit2allow -R
require {
type unconfined_service_t;
class bpf { map_read map_write prog_load };
}
#============= unconfined_service_t ==============
allow unconfined_service_t self:bpf { map_read map_write prog_load };
위의 보안 정책을 동일한 policy package로 등록할 때는 기존 보안 정책 내용을 병합해야 합니다. 그리고 그렇게 해서 반영해도 결국엔 다시 prog_run 권한 오류 하나가 더 나올 것입니다. ^^ 따라서 최종적으로는 아래와 같은 권한으로 정리가 됩니다.
$ cat my-se-policy.te
module my-se-policy 1.0;
require {
type unconfined_service_t;
class bpf { map_create map_read map_write prog_load prog_run };
}
#============= unconfined_service_t ==============
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
$ make -f /usr/share/selinux/devel/Makefile my-se-policy.pp
$ sudo semodule -i my-se-policy.pp
결국, 아래의 글에서 봤던 te 파일을 그대로 따랐어야 했습니다. ^^;
Carbon Black Cloud: How to allow BPF event collection on SELinux
; https://knowledge.broadcom.com/external/article/292463/carbon-black-cloud-how-to-allow-bpf-even.html
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]