Falco项目中关于runc 1.1.15+ memfd执行误报问题的分析与解决方案

在容器安全监控领域，Falco作为一款开源的运行时安全工具，能够有效检测容器环境中的异常行为。近期在Bottlerocket OS 1.30.0环境中发现了一个值得关注的误报问题，涉及Falco对runc 1.1.15及以上版本使用memfd_create系统调用的错误警报。

问题背景

runc作为容器运行时的基础组件，在1.1.15版本中引入了一项重要的性能优化：使用memfd克隆机制替代传统的bind mount方式。这项变更主要是为了解决高容器周转率场景下的namespace_sem锁竞争问题。memfd_create系统调用允许进程创建匿名内存文件描述符，这种无文件系统参与的机制能够显著提升性能。

然而，这种合法的技术改进却触发了Falco的安全警报机制。Falco默认将memfd_create的执行行为标记为"无文件执行"的安全事件，这原本是为了检测恶意软件试图绕过文件系统监控的行为。在Bottlerocket 1.30.0环境中，每当runc创建新容器时，Falco就会产生"Critical Fileless execution via memfd_create"的误报警报。

技术细节分析

深入分析警报日志可以发现几个关键特征：

• 执行路径显示为"memfd:runc_cloned:/proc/self/exe"
• 父进程为runc
• 进程名可能显示为数字(如"5"或"6")
• 执行标志包含EXE_WRITABLE|EXE_FROM_MEMFD

这些特征组合起来构成了Falco判定为可疑行为的依据。但实际上，这是runc 1.1.15+版本的正常操作模式，目的是为了更高效地创建容器进程。

解决方案

针对这一误报问题，社区提供了几种解决方案：

1. 临时解决方案：通过自定义规则将runc添加到已知安全二进制列表

customRules:
  rules-allow-runc-memfd.yaml: |-
    - list: known_memfd_execution_binaries
      items: [runc]
      override:
        items: append

2. 增强型解决方案：针对进程名显示为数字的特殊情况

customRules:
  rules-allow-runc-memfd.yaml: |-
    - macro: known_memfd_execution_processes
      condition: or (proc.exepath = "memfd:runc_cloned:/proc/self/exe") or (proc.exe = "memfd:runc_cloned:/proc/self/exe")
      override:
        condition: append

3. 长期解决方案：Falco社区已将此修正纳入主分支，未来版本将默认包含对runc memfd操作的豁免规则。

最佳实践建议

对于生产环境中的Falco用户，建议采取以下措施：

1. 及时更新Falco到包含修复的版本
2. 如果暂时无法升级，应采用上述自定义规则方案
3. 定期审查安全警报，了解容器运行时组件的行为变化
4. 建立针对关键组件行为变更的监控机制

这个问题不仅影响Bottlerocket用户，所有使用runc 1.1.15+的环境都可能遇到类似情况。通过理解底层技术原理和采取适当配置，可以在保持安全监控的同时避免误报干扰。

容器安全监控工具需要不断适应底层技术演进，这次事件也体现了安全工具与容器运行时之间需要保持的协同关系。作为安全从业者，我们既要保持对异常行为的警惕，也要理解合法技术改进带来的行为变化，在安全与可用性之间找到平衡点。