0

0

Python Falco 的运行时安全规则

冷炫風刃

冷炫風刃

发布时间:2026-02-20 17:09:36

|

293人浏览过

|

来源于php中文网

原创

falco 通过监控 python 进程的系统调用(如 execve、openat、connect)捕获其行为,而非解析字节码或挂钩解释器;需正确配置事件源、合理使用 proc.aname[2] 等字段编写规则,并验证 yaml 语法。

python falco 的运行时安全规则

Python 进程怎么被 Falco 捕获到

Falco 本身不解析 Python 字节码,也不挂钩 importexec,它靠的是内核事件——只要 Python 进程调用系统调用(比如 openatconnectexecve),Falco 就能看见。所以不是“监控 Python”,而是监控“跑 Python 的那个进程”干了什么。

常见错误是以为要装 Python agent 或 patch 解释器——完全不需要。只要 python3 /tmp/malware.py 启动了,Falco 就能基于它的 PID、命令行参数、文件访问路径做规则匹配。

  • 确保 Falco 启用了 syscall_event_sources(默认开启)
  • Python 脚本启动方式影响 proc.cmdline 字段:用 python3 -c "import os; os.system(...)" 会把整条命令塞进字段,而用 python3 script.py 则只记录脚本路径
  • 容器里跑的 Python?得确认 Falco 是以 hostPID: true 或 eBPF 驱动模式运行,否则看不到容器内进程的系统调用

写规则时怎么识别恶意 Python 行为

别写“检测 Python”,要写“检测异常行为+关联 Python 上下文”。Falco 规则本质是条件组合:事件类型 + 进程名 + 命令行特征 + 文件路径 + 父进程链。

比如想拦反连 shell:connect 事件 + proc.name = python3 + fd.ip != "127.0.0.1" + proc.cmdline contains "socket" or "requests.post" ——但注意,proc.cmdline 可能被截断或为空,不能单独依赖。

立即学习Python免费学习笔记(深入)”;

冰舟分类信息系统
冰舟分类信息系统

冰舟分类信息系统说明:本次更新修改了部分错误,增加了自定义标签管理,这个版本后所有页面均可调用一个标签,大大的提升了效率使用前请先 运行 install.asp 文件进行安装程序!!安装时请填写好 ACCESS文件目录以及ACCESS文件名,请确保填写的信息与FTP上的完全吻合,否则会出错!!安装玩后请,务必删除 install.asp 文件! 本2.1版本含有强大的模板编辑功能,且初始模板均为D

下载
  • 优先用 proc.pname(父进程名)判断是否由 bashsh 启动,避免误杀 gunicorn 这类生产服务
  • proc.aname[2] 可取到实际执行的 Python 脚本路径,比 proc.cmdline 更可靠(需 Falco ≥ 0.35)
  • 避免用正则匹配整个 proc.cmdline,容易因空格、引号、编码崩掉;改用 containsstartswith 做前缀判断

Falco 报告的 Python 进程 PID 总是变,怎么关联上下文

PID 变是正常的——Python 脚本退出、新进程启动,PID 自然重用。Falco 不维护进程生命周期,它只记录离散事件。想串起来,得靠其他字段拼接上下文。

比如一个下载并执行的 payload:curl | python3 -c,你会看到两个事件:一个是 execve 启动 python3,一个是它后续的 openat 读临时文件。它们共享 proc.pidproc.ptid(父线程 ID),但更稳的是 proc.sid(会话 ID)或 user.loginuid(如果启用了 auditd)。

  • 在容器环境,k8s.pod.namek8s.ns.name 比 PID 更稳定,优先加进规则条件
  • 如果用 eBPF 模式,可启用 track_process_events: true,让 Falco 主动跟踪进程创建/退出,补全 proc.exeproc.args
  • 不要指望单条规则覆盖完整攻击链;用多个规则 + 外部 SIEM 做时间窗口关联(Falco 本身不支持多事件状态机)

Python 日志里出现 Failed to load rules: error parsing rule

这通常不是 Python 相关,而是 YAML 格式或字段名写错了。Falco 规则文件是 YAML,但对缩进、冒号后空格、引号非常敏感;而且 Python 相关字段(如 proc.name)必须拼写准确,大小写都不能错。

最常踩的坑:把 proc.name 写成 process.name,或把 contains 当函数用写成 contains("python")(正确写法是 proc.name contains "python")。

  • sudo falco -r /etc/falco/falco_rules.yaml -V 验证规则语法,-V 会输出详细解析错误位置
  • 所有字符串值必须加引号,尤其是含 -. 的字段名(如 "k8s.ns.name"
  • 规则中用到的宏(如 known_python_interpreters)必须已定义,否则报 unknown macro ——查 /etc/falco/falco_rules.yaml 或官方仓库里的 rules/falco_rules.yaml
Falco 对 Python 的检测能力边界很清晰:它不管代码逻辑,只管系统调用暴露的动作。写规则时盯着 proc.nameproc.anameproc.cmdline 这几个字段反复调,比研究 Python AST 实用得多。真正难的不是写规则,是区分哪些是 CI/CD 流水线里的合法 Python 调用,哪些是攻击者扔进来的临时脚本——这个得靠你自己的环境知识,Falco 不会替你判断。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
curl_exec
curl_exec

curl_exec函数是PHP cURL函数列表中的一种,它的功能是执行一个cURL会话。给大家总结了一下php curl_exec函数的一些用法实例,这个函数应该在初始化一个cURL会话并且全部的选项都被设置后被调用。他的返回值成功时返回TRUE, 或者在失败时返回FALSE。

452

2023.06.14

linux常见下载安装工具
linux常见下载安装工具

linux常见下载安装工具有APT、YUM、DNF、Snapcraft、Flatpak、AppImage、Wget、Curl等。想了解更多linux常见下载安装工具相关内容,可以阅读本专题下面的文章。

181

2023.10.30

scripterror怎么解决
scripterror怎么解决

scripterror的解决办法有检查语法、文件路径、检查网络连接、浏览器兼容性、使用try-catch语句、使用开发者工具进行调试、更新浏览器和JavaScript库或寻求专业帮助等。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

371

2023.10.18

500error怎么解决
500error怎么解决

500error的解决办法有检查服务器日志、检查代码、检查服务器配置、更新软件版本、重新启动服务、调试代码和寻求帮助等。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

340

2023.10.25

js 字符串转数组
js 字符串转数组

js字符串转数组的方法:1、使用“split()”方法;2、使用“Array.from()”方法;3、使用for循环遍历;4、使用“Array.split()”方法。本专题为大家提供js字符串转数组的相关的文章、下载、课程内容,供大家免费下载体验。

594

2023.08.03

js截取字符串的方法
js截取字符串的方法

js截取字符串的方法有substring()方法、substr()方法、slice()方法、split()方法和slice()方法。本专题为大家提供字符串相关的文章、下载、课程内容,供大家免费下载体验。

217

2023.09.04

java基础知识汇总
java基础知识汇总

java基础知识有Java的历史和特点、Java的开发环境、Java的基本数据类型、变量和常量、运算符和表达式、控制语句、数组和字符串等等知识点。想要知道更多关于java基础知识的朋友,请阅读本专题下面的的有关文章,欢迎大家来php中文网学习。

1555

2023.10.24

字符串介绍
字符串介绍

字符串是一种数据类型,它可以是任何文本,包括字母、数字、符号等。字符串可以由不同的字符组成,例如空格、标点符号、数字等。在编程中,字符串通常用引号括起来,如单引号、双引号或反引号。想了解更多字符串的相关内容,可以阅读本专题下面的文章。

640

2023.11.24

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

776

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
最新Python教程 从入门到精通
最新Python教程 从入门到精通

共4课时 | 22.4万人学习

Django 教程
Django 教程

共28课时 | 4.4万人学习

SciPy 教程
SciPy 教程

共10课时 | 1.6万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号