Falco项目中modern-bpf驱动下user.loginname字段缺失问题分析

问题背景

Falco作为一款云原生运行时安全工具，能够实时监控系统调用和内核事件。在最新版本中，用户报告了一个关于modern-bpf驱动下审计用户名(user.loginname)字段显示异常的问题。

问题现象

当使用modern-bpf驱动时，审计日志中的user.loginname字段显示为<NA>，而传统的eBPF驱动则能正常显示用户名。具体表现为：

2024-01-02T22:14:53: Alert Interactive root user activity detected (user.loginuid=1002 user.loginname=<NA>...)

技术分析

用户信息获取机制

Falco通过以下方式获取用户信息：

1. 从内核获取loginuid（审计用户ID）
2. 在用户空间解析/etc/passwd文件，将UID映射为用户名

问题根源

经过深入分析，发现问题出在容器挂载配置上。modern-bpf驱动需要访问宿主机的/etc/passwd文件来解析用户名，但默认的容器运行命令中缺少了必要的挂载参数。

解决方案

需要在运行Falco容器时添加以下挂载参数：

-v /etc:/host/etc:ro

这个挂载使得Falco能够访问宿主机的用户信息文件，从而正确解析loginuid到用户名的映射。

深入探讨

为什么传统eBPF驱动不受影响

传统eBPF驱动的默认容器配置已经包含了/etc挂载，因此能正常工作。这解释了为什么只有modern-bpf驱动出现此问题。

不完整解析问题

即使在添加/etc挂载后，部分事件仍可能出现用户名解析失败的情况。这可能是由于：

1. 某些系统调用事件不携带完整的用户上下文信息
2. 用户信息缓存更新延迟
3. 容器环境下用户命名空间隔离带来的复杂性

最佳实践建议

1. 对于modern-bpf驱动，始终包含/etc挂载参数
2. 在生产环境中，考虑实现外部的UID-用户名解析机制
3. 监控日志中<NA>出现的频率，评估是否需要调整配置

总结

Falco的modern-bpf驱动在用户名解析方面需要特别注意文件系统挂载配置。通过正确挂载宿主机的/etc目录，可以解决大部分用户名显示问题。这个问题也提醒我们，在容器化部署安全工具时，需要充分理解工具对宿主机资源的访问需求。

对于更复杂的审计需求，建议结合外部用户管理系统来实现更可靠的用户身份追踪，特别是在容器化环境中。