LSM从Linux 2.6开始成为官方内核的一个安全框架,基于此的安全实现包括SELinux和AppArmor等。在Linux 5.7引入BPF LSM后,系统开发人员已经能够自由地实现函数粒度的安全检查能力。LSM(Linux Security Modules)是Linux内核中用于支持各种计算机安全模型的框架。LSM在Linux内核安全相关的关键路径上预置了一批hook点,从而实现了内核和安全模块的解耦,使不同的安全模块可以自由地在内核中加载/卸载,无需修改原有的内核代码就可以加入安全检查功能。
现在LSM支持的hook点包括但不限于:
XDP(eXpress Data Path)可以在网络接口卡(NIC)上处理数据包,使得XDP可以进行超低延迟和高吞吐量的数据包处理,非常适合用于负载均衡、DDoS保护和流量过滤等任务。
Cilium 是一个为云原生环境(如Kubernetes)设计的开源网络工具。它使用XDP高效处理数据包过滤和负载均衡,提升了高流量网络中的性能。Katran 由Facebook开发,是一个负载均衡器,它使用XDP处理数百万的连接,且CPU使用率低。它高效地将流量分发到服务器,在Facebook内部被用于大规模的网络环境。Cloudflare 使用XDP来防御DDoS攻击。通过在NIC级别过滤恶意流量,Cloudflare可以在攻击数据包进入内核之前将其丢弃,最大限度地减少对网络的影响。捕获网络数据包对于监控、调试和保护网络通信至关重要。传统工具如tcpdump在用户空间运行,可能会带来显著的开销。通过利用eBPF和XDP,我们可以在内核中直接捕获TCP头信息,最小化开销并提高性能。
Linux官方文档Linux Tracing Technologies
Ftrace可以理解为Linux上的Hook机制,基于这个机制可以实现几乎任何一个Linux内核的Hook。
debugfs用于用户态和内核态大量数据交换的情景,小量数据用procfs
在Rust中如果刚开始学习语法,写一些简单的单一文件,那么可以使用rustc来进行编译
1 | $ rustc main.rs |
rustc与gcc和clang类似,编译成功后,rustc会输出一个二进制的可执行文件。不过随着项目的增长,我们就需要功能更强大的编译工具。
Cargo是Rust的构建系统和包管理器,大多数Rustacean们使用Cargo来管理Rust项目,它可以处理很多任务,如构建代码、下载依赖库并编译这些库。cargo的基本用法非常简单:
1 | $ cargo new hello_world // 新建名为hello_world的项目 |