bindzwirn: Linux Port-Berechtigungen per eBPF (clt26)

Bei Self-Hosting zuhause, im Hackerspace oder auf dem VPS bietet es sich an, Services in separaten Unix-Accounts zu betreiben; zum Beispiel als rootless podman Container. Das verbessert die Isolation der Services und erlaubt eine administrative Trennung. Meist werden jedoch lokale IP-Ports genutzt, um die einzelnen Dienste mit einem zentralen Reverse-Proxy zu verbinden. Da Linux von Haus aus keine Berechtigungen für IP-Ports unterstützt, habe ich mich auf die Suche nach einer geeigneten Lösung begeben, den Zugriff auf bestimmte Ports auf bestimmte Accounts zu begrenzen. Meine Lösung war die Entwicklung von bindzwirn, einem drop-in replacement für authbind, das dank eBPF auch mit moderner Software und Containern gut funktioniert. Im Vortrag erkläre ich: - ein einfaches beispielhaftes Hosting-Setup - ein Angriffsszenario, in dem von einem gekaperten Account aus ein Service eines anderen Accounts kompromittiert wird - warum bestehende Lösungen wie authbind ungeeignet waren - wie eBPF es erlaubt, Linux um die fehlende Funktionalität zu ergänzen - mein Projekt bindzwirn Ich freue mich über Feedback zu meinem Projekt und die Diskussion von Themen wie Self-Hosting, eBPF und mehr. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://chemnitzer.linux-tage.de/2026/de/programm/beitrag/353