Inspektor Gadget中脚本执行追踪的upper_layer改进方案

背景介绍

在容器安全监控领域，Inspektor Gadget是一个强大的工具集，其中的trace exec功能可以追踪进程执行事件。然而当前版本在处理脚本执行时存在一个显著限制：当追踪shell脚本执行时，upper_layer字段指向的是shell解释器程序（如/bin/sh）而非脚本文件本身。

技术现状分析

目前Inspektor Gadget通过两种方式实现exec追踪：

1. 内置gadget实现
2. 基于镜像的gadget实现

这两种实现都存在相同的限制，即在脚本执行场景下无法准确反映脚本文件的overlayfs层级信息。这是由于内核在执行脚本时，会先启动解释器程序，而传统追踪方式捕获的是解释器进程的信息。

技术挑战

要实现准确的脚本文件层级追踪，面临以下技术难点：

1. 需要区分直接执行解释器和通过脚本执行的场景
2. 需要在内核早期执行阶段获取脚本文件信息
3. 需要处理执行失败情况下的信息记录

改进方案设计

基于对内核机制的分析，我们提出以下改进方案：

1. 利用security_bprm_check钩子： 通过hook security_bprm_check内核函数，可以在早期执行阶段获取bprm结构体中的文件信息。从bprm->file可以获取到f_inode，进而确定脚本文件的实际位置。

2. 双层级记录机制： 建议引入两个独立字段：

   • fupper_layer：记录文件路径的overlayfs上层信息
   • eupper_layer：记录执行路径的overlayfs上层信息

3. 智能判断逻辑： 在has_upper_layer函数中增加判断逻辑，防止sched_process_exec覆盖已设置的层级信息。

实现细节

具体实现需要考虑以下关键点：

1. 通过BPF_CORE_READ读取bprm->file->f_inode

2. 修改has_upper_layer函数逻辑，使其能够：

   • 接收f_inode参数
   • 正确处理已设置upper_layer的情况
   • 返回适当的标志位

3. 处理不同执行方式：

   • 直接执行脚本(./script.sh)
   • 通过解释器执行(/bin/bash script.sh)

预期效果

改进后的实现将能够：

1. 在大多数情况下准确识别脚本文件的overlayfs层级
2. 保留原有解释器进程的层级信息
3. 覆盖执行失败等边缘情况

总结

通过对Inspektor Gadget的trace exec功能进行改进，可以显著提升其在脚本执行场景下的监控准确性。这一改进不仅增强了工具的功能完整性，也为容器安全监控提供了更精确的数据支持。后续还可以考虑进一步优化，实现100%准确的脚本文件识别。