首页
/ Tetragon项目中security_inode_create加载失败问题分析

Tetragon项目中security_inode_create加载失败问题分析

2025-06-17 20:15:58作者:舒璇辛Bertina

问题背景

在Tetragon项目中,用户尝试通过添加dentry结构体类型支持来增强文件系统监控能力时,遇到了一个关于security_inode_create函数加载失败的问题。该问题表现为当使用dentry类型参数时,Tetragon无法正确加载相关策略,并返回"operation not permitted"错误。

问题现象

用户在Linux 5.15.0-113-generic内核环境下,基于Tetragon最新主分支构建并安装后,尝试应用一个针对security_inode_create函数的TracingPolicy时遇到加载失败。具体表现为:

  1. 当使用dentry类型作为第二个参数(index:1)时,策略加载失败
  2. 错误信息显示无法创建BPF链接pin
  3. 有趣的是,类似的security_inode_mkdir函数却能正常工作

技术分析

根本原因

经过深入分析,发现问题源于以下几个方面:

  1. 参数过滤机制问题:当使用dentry类型参数时,过滤机制可能未能正确工作,导致security_inode_create被Tetragon自身进程触发,而这时Tetragon正在尝试pin链接。

  2. 函数调用时机差异:security_inode_mkdir之所以能正常工作,是因为目录结构在程序加载时已经建立完成,不会引起冲突。

  3. 内核版本兼容性:该问题在Linux 5.15内核上出现,而在更新的6.12内核上测试正常,表明可能存在内核版本相关的兼容性问题。

参数过滤机制详解

Tetragon的过滤机制在处理dentry类型参数时存在以下特点:

  1. 当匹配参数设置为index:0时,策略可以正常加载
  2. 当设置为index:1并使用dentry类型时,过滤可能被绕过
  3. 这种不一致行为表明dentry类型的参数处理逻辑可能存在缺陷

相关函数行为差异

进一步测试发现,不同文件系统相关函数表现出不同行为:

  1. security_path_mknod函数同样出现加载失败问题
  2. 该函数返回的路径信息中会包含"(deleted)"标记
  3. 使用path类型参数替代dentry时,过滤功能完全正常

解决方案与优化

针对这一问题,开发团队已经提出了修复方案:

  1. 修正了过滤机制中的若干bug
  2. 改进了dentry类型参数的处理逻辑
  3. 增强了函数调用时机的判断

用户可以通过测试相关补丁来验证问题是否已解决。

技术建议

对于需要在生产环境使用类似监控功能的用户,建议:

  1. 考虑升级到较新的内核版本(如6.12+)
  2. 暂时使用path类型作为替代方案
  3. 密切关注相关修复补丁的合并进度
  4. 在测试环境中充分验证策略效果

总结

Tetragon作为新兴的eBPF安全监控工具,在文件系统监控方面提供了强大的能力。本次分析的security_inode_create加载问题揭示了在复杂内核环境下参数处理和过滤机制的挑战。随着项目的持续发展,这类问题将逐步得到完善,为用户提供更稳定可靠的安全监控能力。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
143
1.91 K
kernelkernel
deepin linux kernel
C
22
6
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
273
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
927
551
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
421
392
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
75
64
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
344
1.3 K
easy-eseasy-es
Elasticsearch 国内Top1 elasticsearch搜索引擎框架es ORM框架,索引全自动智能托管,如丝般顺滑,与Mybatis-plus一致的API,屏蔽语言差异,开发者只需要会MySQL语法即可完成对Es的相关操作,零额外学习成本.底层采用RestHighLevelClient,兼具低码,易用,易拓展等特性,支持es独有的高亮,权重,分词,Geo,嵌套,父子类型等功能...
Java
36
8