Falco事件源驱动

Falco通过事件源驱动(event sources drivers)来了解(taps into)主机系统调用流,并将系统调用传递给用户空间内。

默认驱动是一个称为 falco 的内核模块,不过,可替代使用 eBPF probe方式

Falco支持3种不同的驱动:

内核模块

在安装Falco软件包时候,默认是安装 falco 内核模块,也就是通过二进制包提供的 falco-driver-loader 脚本调用运行,或者运行 falcosecurity/falco-driver-loader docker镜像

Falco默认尝试使用内核模块驱动

eBPF probe

eBPF侦测是最新内核支持的功能,可以替代默认的内核模块驱动

用户空间测量

和上述内核模块和ebpf侦测不同,用户空间内测量是完全在用户空间进行。虽然从Falco 0.24.0 开始就支持用户空间侦测,但是Falco项目没有任何官方支持的用户空间侦测实现。这个用户空间侦测功能基于 PTRACE ,从文档来看似乎比较复杂,需要小心使用

参考