Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
Сообщение от opennews (?), 17-Май-26, 23:26
Джаспер Нюйенс (Jasper Nuyens), основатель организации Linux Belgium, создавший надстройку для использования Linux в информационной системе автомобилей Tesla, предложил простой способ снизить поверхность атаки на ядро Linux для снижения вероятности компрометации на фоне всплеска выявления  опасных уязвимостей при помощи AI. Так как многие уязвимости, как правило, находят в специфичных модулях ядра, доступных для автозагрузки, но обычно не применяемых большинством пользователей, Джаспер предложил по умолчанию блокировать неиспользуемые в текущей системе или в общем виде редко используемые модули... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65466
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	–3 +/–
Сообщение от Tron is Whistling (?), 17-Май-26, 23:26
Самый лёгкий способ всерьёз снизить "поверхность атаки" - выдернуть кабель питания.
Ответить | Правка | Наверх | Cообщить модератору

	7. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	–3 +/–
	Сообщение от Аноним (7), 18-Май-26, 00:02
	Вам просто не хватает квалификации увидетьдейственные методы. например спекулятивное выплнение косвенно можно отключить для защиты от уязвимостей в процессорах https://stackoverflow.com/questions/48360238/how-can-the-l1-.... Так же и тут я уверен возможно исхитрится и отключить всякие Кэши, возможно прийдётся редактировать исходный код. Да будут большие потери в производительнсти.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+3 +/–
	Сообщение от Аноним (7), 18-Май-26, 00:04
	Кэши это зло. :D
	Ответить | Правка | Наверх | Cообщить модератору

	36. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+2 +/–
	Сообщение от Разум (?), 18-Май-26, 07:57
	Даже у зла есть кэш и кеш, а значит оно уязвимо.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от Аноним (7), 18-Май-26, 11:59
	Даже его можно отключить если как следует стукнуть.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+1 +/–
	Сообщение от Tron is Whistling (?), 18-Май-26, 00:08
	Но проще, быстрее и надёжнее всё-таки выдернуть кабель питания. И ещё SSD в микроволновку, чтобы избежать оффлайн-атак. HDD в кислоту.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	51. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+1 +/–
	Сообщение от Аноним (51), 18-Май-26, 12:13
	Владельца в биореактор? ps а ведь если не гнаться за скоростью, то можно и не разматываться об столб но тогда +5% в год не получится
	Ответить | Правка | Наверх | Cообщить модератору

	15. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от Frestein (ok), 18-Май-26, 00:40
	ZealOS в продакшен
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+23 +/–
Сообщение от dannyD (?), 17-Май-26, 23:27
что только не делают чтоб своё ядро не собирать.
Ответить | Правка | Наверх | Cообщить модератору

	41. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+1 +/–
	Сообщение от Аноним (41), 18-Май-26, 09:42
	Собираю ядро сам. Как раз, всё по возможности модулями.
	Ответить | Правка | Наверх | Cообщить модератору

4. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+3 +/–
Сообщение от Аноним (4), 17-Май-26, 23:50
Чего стоит немного подумать и забрать именно свои 50 копеек из этих предложенных нескольких сотен рублей. Ну это же элементарно, ага
Ответить | Правка | Наверх | Cообщить модератору

5. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+8 +/–
Сообщение от НектоОткудаТо (?), 17-Май-26, 23:57
Разумная заплатка широкого профиля. Но как-то странно, что реализована она только сейчас. А не лет 10-15 назад.
Ответить | Правка | Наверх | Cообщить модератору

	17. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+2 +/–
	Сообщение от Аноним (17), 18-Май-26, 01:03
	Что разумного то? Итак большинство пользователей, включая некоторых админов не скажут зачем нужен тот или иной модуль, а вы хотите чтобы они еще списки составили. Будет как с apparmor.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+5 +/–
	Сообщение от Аноним (18), 18-Май-26, 01:21
	что значит некоторых? типа админ должен все тысячи модулей знать? может гдето в тибете и учат гуру навистывать пинги в модем, но большая часть тех тысяч это лютая экзотика аля ipx протокол который нафиг не нужен
	Ответить | Правка | Наверх | Cообщить модератору

	23. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+2 +/–
	Сообщение от anonymos (?), 18-Май-26, 02:28
	Админ должен знать каждый ядерный модуль в администрируемой системе! Если админ этого не знает, значить это не админ - это "Анукейщик" )
	Ответить | Правка | Наверх | Cообщить модератору

	39. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+2 +/–
	Сообщение от АнонимЗлой (?), 18-Май-26, 08:32
	Просьба перечислить используемые вами модули и дать их описание (и без ИИ чтобы !)
	Ответить | Правка | Наверх | Cообщить модератору

	35. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от SV88 (ok), 18-Май-26, 07:41
	Для рядового пользователя может и 10-15 максимум
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	49. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от Аноним (7), 18-Май-26, 11:58
	Для Админа это был бы очень полезно, но в реальности практически малореализуемо.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	19. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+3 +/–
	Сообщение от НектоОткудаТо (?), 18-Май-26, 01:26
	Я опираюсь на текст новости. Из него следует, что утомлённым админам ничего говорить не надо. А надо им один раз запустить скрипт. Который - цитата - "определяет список используемых в текущей системе модулей". Это лучше чем ничего и никого к рассказам не принуждает)
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	25. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+1 +/–
	Сообщение от anonymos (?), 18-Май-26, 02:46
	А что, команду lsmod у вас не завезли?
	Ответить | Правка | Наверх | Cообщить модератору

	26. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+2 +/–
	Сообщение от НектоОткудаТо (?), 18-Май-26, 02:55
	Не. Мы под санкциями - нам lsmod не возят. А вот бельгийцу завезли, и он как раз его в ModuleJail и употребил.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+1 +/–
	Сообщение от нах. (?), 18-Май-26, 11:44
	команда lsmod не поможет тебе выполнить основную часть - занести ВСЕ остальные модули (тебе совершенно неведомые) в черный список. Представляется целесообразным привлечь к этому делу негров. Ну или хотя бы вот - скриптик. Сам ты такой вряд ли напишешь, поскольку даже понять новость ниасилил, куда таким еще и скрипты писать.
	Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

	52. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от НектоОткудаТо (?), 18-Май-26, 12:25
	Все могут что-то упустить. И, что характерно - все и упускают. Объяснять полезней, чем упрекать.
	Ответить | Правка | Наверх | Cообщить модератору

10. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+4 +/–
Сообщение от Аноним (10), 18-Май-26, 00:14
Костыли-костылики
Ответить | Правка | Наверх | Cообщить модератору

	45. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+1 +/–
	Сообщение от Соль земли2 (?), 18-Май-26, 11:23
	Это по-хакерски! Уязвимости и баги - это фича!
	Ответить | Правка | Наверх | Cообщить модератору

14. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+2 +/–
Сообщение от Аноним (14), 18-Май-26, 00:36
Если на то пошло, то нужно пересматривать политику управления модулями в системе, а не костыли городить.
Ответить | Правка | Наверх | Cообщить модератору

	20. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от НектоОткудаТо (?), 18-Май-26, 01:28
	А какой бы Вы видели такую пересмотренную политику?
	Ответить | Правка | Наверх | Cообщить модератору

	46. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+1 +/–
	Сообщение от нах. (?), 18-Май-26, 11:40
	Лично вот я бы хотел видеть полное отсутствие автозагружаемых модулей. На _моих_ системах эта фича не нужна просто ни нахрен. И да, я не расстроюсь загрузить срочно понадобившийся - вручную. А на страдания любителей какввенде мне глубоко это самое вот.
	Ответить | Правка | Наверх | Cообщить модератору

	54. Скрыто модератором	+/–
	Сообщение от НектоОткудаТо (?), 18-Май-26, 13:37
	Логично. Предполагаю, что через шаг после этого ModulesJail как раз такую опцию и создадут. Но я предполагал, что автор исходной реплики желал чего-то более изощренного.
	Ответить | Правка | Наверх | Cообщить модератору

	58. Скрыто модератором	+/–
	Сообщение от нах. (?), 18-Май-26, 18:39
	> Логично. Предполагаю, что через шаг после этого ModulesJail как раз такую опцию > и создадут. вряд ли. это некакввендово и вообще rhbm неодобрит.
	Ответить | Правка | Наверх | Cообщить модератору

	60. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от Аноним (60), 18-Май-26, 18:46
	А что вам мешает прямо сейчас собрать ядро без поддержки загружаемых модулей?
	Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

	62. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от нах. (?), 18-Май-26, 19:02
	что тебе мешает научиться читать? Мне нужны и меня вполне устраивают загружаемые модули. Мне не нужны и меня категорически не устраивают загружаемые ведром с помощью какой-то ведерной магии, которую я предпочел бы выпилить к чертям. (есть еще магия в юзерспейсе, которую можно было бы сделать хотя бы настраиваемой нормально, а не через заклинания, но это уж совсем сложно) Ну и из возраста когда без конца пересобирают ведра я уже тоже как-то давно вырос.
	Ответить | Правка | Наверх | Cообщить модератору

	59. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от Аноним (59), 18-Май-26, 18:44
	> Но я предполагал, что автор исходной реплики желал чего-то более изощренного. Автор исходной реплики не мог ответить из-за идиотского бота-модератора. А желал от как раз менее изощренного - например гибкое управление модулями через обыкновенный конфиг файл.
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	64. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от нах. (?), 18-Май-26, 19:05
	> А желал от как раз менее изощренного - например гибкое управление модулями > через обыкновенный конфиг файл. но что ему мешало прочитать man modprobe? Да, внезапно у него есть конфиг-файл и им можно управлять. То что дистрибутивостроители-ниасиляторы-sed вместо человекочитаемого конфига создали очередную невероятную требуху из миллиона файликов с невнятным содержимым - в общем-то не должно сильно уж помешать тебе снести весь этот мусор и сделать себе обыкновенный конфиг-файл. Другое дело что не очень понятно какие именно проблемы ты надеешься таким образом решить.
	Ответить | Правка | Наверх | Cообщить модератору

	66. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от НектоОткудаТо (?), 18-Май-26, 20:45
	Тут дело в том, что у части модулей есть неочевидные перекрёстные зависимости. И обычный чёрно-белый лист не всегда будет хорошим инструментом. Именно поэтому я и поинтересовался, как, на Ваш взгляд, должны выглядеть политики загрузки модулей.
	Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

	21. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+1 +/–
	Сообщение от Аноним (18), 18-Май-26, 01:30
	как? ну реально, есть полка на ней какието вещи, кто захотел подошел и взял, любое усложнение это очереди, задержки и негатив, вон микрософт пилит ядро "микро" и чета не особото получается - по функционалу так и остались в 2000х, а всякие рейды и вланы, реализованы настолько отвратно, что никто и не пользуется
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	22. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от Аноним (14), 18-Май-26, 02:01
	> любое усложнение это очереди, задержки и негатив а какой-то васянский скрипт в системе вместо нормального конфига не усложнение?
	Ответить | Правка | Наверх | Cообщить модератору

	57. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от Аноним (18), 18-Май-26, 15:10
	а кто его ставит? кто хотел тот ядро пересобрал и все лишнее выкинул, ну если комуто скучно то вот можно и скрипт, а потом этот ктото увидит что ему надо всегото ххх модулей, и может и пересобирет ядро
	Ответить | Правка | Наверх | Cообщить модератору

	61. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от Аноним (59), 18-Май-26, 18:51
	> кто хотел тот ядро пересобрал между теми кто может просто настроить и теми кто может пересобрать есть немалый такой разрыв.
	Ответить | Правка | Наверх | Cообщить модератору

	67. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от Аноним (18), 18-Май-26, 21:53
	есть, но это не закрытый клуб, часть тех кто не может, перейдет в тех кто может, честно говоря не понимаю что там сложного, тыкай себе галочки и смотри что получилось, с развитой виртуализацией сегодня это просто рядовой процесс в контейнере или виртуалке
	Ответить | Правка | Наверх | Cообщить модератору

16. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+5 +/–
Сообщение от 1 (??), 18-Май-26, 00:45
В чем прикол писАть на sh, внутри которого писАть на python?
Ответить | Правка | Наверх | Cообщить модератору

	48. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от Аноним (7), 18-Май-26, 11:55
	Чтобы заставить вас тащить ещё и питон :(
	Ответить | Правка | Наверх | Cообщить модератору

24. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+2 +/–
Сообщение от мяв (?), 18-Май-26, 02:30
куда логичнее просто запретить загрузку новых модулей, как этотделает лкрг. а не блеклистить все. это как минимум менее костыльно, кажется. как бы. свой модуль не-рут не притащит, конешно. но сам факт как бы, что загрузка модулей таки разрешена. и ! я уж молчу. что это ломает частенько функионал. именно в том виде, каком оно тут. надо сначала систему превести в состояние, когда используется все необходимое (т.е. все модули подгрузились), потом загрузку этих модулей сделать обязательной в етс. и только потом уже форсировать запрет. опыт лкрг прекрасно уже все это показал и показал, как надо, хз, зачем велик
Ответить | Правка | Наверх | Cообщить модератору

27. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+1 +/–
Сообщение от Аноним (27), 18-Май-26, 03:15
Охх я чувствую что пройдёт время и они узнают что можно собрать ядро вообще без поддержки модулей(или уже нельзя?) И оставить в нем только то что реально нужно целевой системе. Вот ещё года 3-4 и они узнают эту фичу, точней нет они переизобретут её.
Ответить | Правка | Наверх | Cообщить модератору

	28. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	–1 +/–
	Сообщение от anonymos (?), 18-Май-26, 04:17
	Сейчас переизобрести пока не могут, нет достаточно продвинутого ИИ Но уже скоро все должно изменится )))
	Ответить | Правка | Наверх | Cообщить модератору

	30. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	–1 +/–
	Сообщение от dannyD (?), 18-Май-26, 06:44
	>>...они узнают что можно собрать ядро вообще... поправил, не благодари. не знаю как в любимой всеми бубунточке, но в дедушке в компилятор искаропки не входит. считайте, что это вброс.
	Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

	32. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	–1 +/–
	Сообщение от Michael (??), 18-Май-26, 07:08
	Всё ещё можно. И всё необходимое вкомпилить, и вообще поддержку модулей отключить. Но второе не очень удобно.
	Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

	43. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	–1 +/–
	Сообщение от Аноним (43), 18-Май-26, 11:00
	> Но второе не очень удобно. Назови случай когда неудобно? У меня был только один: 1. В одном серваке в ДЦ сгорела сетевуха на мамке. Поставили другую мамку, драйвера другие, а ядро монолит с необходимым и достаточным минимумом и без поддержки модулей. Админ, что после меня работал, не смог добавить нужный модуль в конфиге ядра и его пересобрать. Уболтал ДЦ найти точно такую же матплату.
	Ответить | Правка | Наверх | Cообщить модератору

31. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+2 +/–
Сообщение от Ilya Indigo (ok), 18-Май-26, 07:02
Вместо устранения причины - борьба со следствием. Если админ точно знает что ему нужно а что нет он просто соберёт статическое ядро без модулей! Пользователь же никогда не знает какую именно железку ему придётся подключить и для них и предназначены модули, но составить списки нужных он не сможет. А использовать тот же AI для поиска уязвимостей во всех модулях и устранить их не вариант?
Ответить | Правка | Наверх | Cообщить модератору

	34. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от Аноним (34), 18-Май-26, 07:23
	> Если админ точно знает что ему нужно Сюрреализм
	Ответить | Правка | Наверх | Cообщить модератору

	42. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от Аноним (42), 18-Май-26, 10:24
	Можно хоть один несферическийввакууме пример такого знающего что он делает админа?)
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

	44. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	–1 +/–
	Сообщение от Аноним (43), 18-Май-26, 11:05
	Всегда собираю монолитное ядро с необходимым и достаточным минимумом на серверах и дисктопе. Да после покупки новой веб камеры персобираю ядро, чтобы добавить ее поддержку.
	Ответить | Правка | Наверх | Cообщить модератору

	65. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от нах. (?), 18-Май-26, 19:06
	> Можно хоть один несферическийввакууме пример такого знающего что он делает админа?) знающие что они делают - подобной фигней не занимаются. Полирователи глюкала из подвала - эти могут. А потом ой сетевуха сгорела (и доступ только по ключу ssh)
	Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

37. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
Сообщение от Diozan (ok), 18-Май-26, 08:11
Ему надо просто познакомится с Gentoo. Да, собственно, и в любом дистрибутиве имеется возможность подсунуть ядро только с теми модулями, которые нужны только этой системе. Просто в Gentoo и иже с ним это штатная возможность...
Ответить | Правка | Наверх | Cообщить модератору

	53. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от dannyD (?), 18-Май-26, 12:26
	localmodconfig - это фича не дистрибутива а ядра. Но взлетает только на серваках где оборудование не меняется от слова совсем. На десктопе такое невозможно, ибо то свисток, то джойстик, то винт/карман со странной фс. На той наделе пришлось пересобирать ядро т.к. не поверите - прожигал болвана.
	Ответить | Правка | Наверх | Cообщить модератору

38. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+1 +/–
Сообщение от Аноним (38), 18-Май-26, 08:21
> ...реализована через скрипт ModuleJail, который определяет список используемых в текущей системе модулей (через /proc/modules) и автоматически помещает неиспользуемые модули в чёрный список... эт тоже я так могу, а чё не через систему Дэ отдельным юнитом?
Ответить | Правка | Наверх | Cообщить модератору

55. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
Сообщение от Аноним (55), 18-Май-26, 14:31
> Дополнение 1: Опубликован скрипт похожего назначения, блокирующий автозагрузку модулей ядра спустя 3 минуты после загрузки системы <...> То-есть малвари нужно будет добавить себя в ~/.config/autostart, а затем прибить процессы пользователя чтобы заставить его перезагрузить компьютер? Ыксперты, подскажите что ещё может пойти не так с этими скриптами?
Ответить | Правка | Наверх | Cообщить модератору

56. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
Сообщение от freehck (ok), 18-Май-26, 14:51
Ну приехали. 300 строчек на shell — это теперь новость.
Ответить | Правка | Наверх | Cообщить модератору

	63. "ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
	Сообщение от нах. (?), 18-Май-26, 19:02
	> Ну приехали. 300 строчек на shell — это теперь новость. "ну он хотя бы попытался"...
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема