背景:针对最近几年频繁出现的通过eBPF进行容器逃逸、rootkit等攻击,需要考虑如何收敛服务器ebpf相关权限,防止被黑客利用。静态方案:宿主机层面:非root用户不赋予CAP_BPF及CAP_SYS_ADMIN注:3.15-5.7内核不赋予CAP_SYS_ADMIN即可5.8及以后内核需要同时不存在CAP_BPF及CAP_SYS_ADMIN权限非root用户禁止调用ebpf功能/proc/sys/kernel/unprivileged_bpf_disabled设置为1值为0表示允许非特权用户调用bpf值为1表示禁止非特权用户调用bpf且该值不可再修改,只能重启后修改值为2表示禁止非特权用
