opensnoop: del neerlandés “espionaje abierto”, nuestro primer eBPF.

Imagina un duende que vive en la máquina, este supervisa cuándo los programas intentan abrir archivos y registra qué programa abre cada archivo. Esto te ayuda a ver que hace cualquier persona en la máquina, como si vieras quién abre qué puerta en una casa.

opensnopp according to Dalle-2

En un artículo previo, hicimos una introducción a eBPF. Brevemente, BPF es una tecnología con un enfoque diferente y con orígenes en el kernel de Linux que permite la ejecución de programas en un entorno aislado dentro del kernel.

Se utiliza para ampliar de forma segura y eficiente las capacidades del kernel sin requerir cambios en el código fuente del kernel ni cargar módulos del kernel.

Los programas eBPF están escritos en un subconjunto restringido del lenguaje de programación C.

Esta restricción garantiza que los programas eBPF se puedan ejecutar de forma segura en el kernel y no provoquen problemas como bucles infinitos o accesos ilegales a la memoria.

*The English version of this article is still under construction.