The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

ModuleJail для блокировки неиспользуемых модулей ядра Linux

17.05.2026 22:46 (MSK)

Джаспер Нюйенс (Jasper Nuyens), основатель организации Linux Belgium, создавший надстройку для использования Linux в информационной системе автомобилей Tesla, предложил простой способ снизить поверхность атаки на ядро Linux для снижения вероятности компрометации на фоне всплеска выявления опасных уязвимостей при помощи AI. Так как многие уязвимости, как правило, находят в специфичных модулях ядра, доступных для автозагрузки, но обычно не применяемых большинством пользователей, Джаспер предложил по умолчанию блокировать неиспользуемые в текущей системе или в общем виде редко используемые модули.

В ядре доступно несколько тысяч модулей, но в большинстве систем используется только несколько сотен, а остальные остаются доступны для загрузки и потенциально могут содержать уязвимости. Идея реализована через скрипт ModuleJail, который определяет список используемых в текущей системе модулей (через /proc/modules) и автоматически помещает неиспользуемые модули в чёрный список. Скрипт написан на shell, использует распространённые системные утилиты (достаточно busybox) и распространяется под лицензией GPLv3.

Скрипт поддерживает выполнение в Debian, Ubuntu, RHEL, Fedora, SUSE, AlmaLinux, Rocky Linux, Alpine и Arch Linux, и в результате своей работы генерирует файл /etc/modprobe.d/modulejail-blacklist.conf, который штатно используется в системе для отключения автозагрузки модулей ядра. Подобны подход позволяет превентивно защитить свою систему, не прибегая к загрузке специализированных модулей ядра или выполнения дополнительных фоновых процессов для мониторинга за системой.

При необходимости пользователю предоставлена возможность добавления в белый список модулей, которые в данным момент не загружены, но потенциально могут использоваться в работе. Также доступны для включения профили, допускающих использование наиболее необходимых модулей для типовых применений системы. Предложены профили "minimal" (только самые важные модули и основные ФС), "conservative" (+ типовые драйверы для серверов и виртуальных машин) и desktop (+ драйверы для WiFi, Bluetooth, звука и видео).

  1. Главная ссылка к новости (https://github.com/jnuyens/mod...)
  2. OpenNews: FreedomEV - открытая надстройка для информационной системы автомобилей Tesla
  3. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша
  4. OpenNews: Модель угроз и особенности оценки уязвимостей в ядре Linux
  5. OpenNews: Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65466-modulejail
Ключевые слова: modulejail, kernel, linux
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Tron is Whistling (?), 23:26, 17/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Самый лёгкий способ всерьёз снизить "поверхность атаки" - выдернуть кабель питания.
     
     
  • 2.7, Аноним (7), 00:02, 18/05/2026 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Вам просто не хватает квалификации увидетьдейственные методы. например спекулятивное выплнение косвенно можно отключить для защиты от уязвимостей в процессорах https://stackoverflow.com/questions/48360238/how-can-the-l1-l2-l3-cpu-caches-b Так же и тут я уверен возможно исхитрится и отключить всякие Кэши, возможно прийдётся редактировать исходный код. Да будут большие потери в производительнсти.
     
     
  • 3.8, Аноним (7), 00:04, 18/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Кэши это зло. :D
     
  • 3.9, Tron is Whistling (?), 00:08, 18/05/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Но проще, быстрее и надёжнее всё-таки выдернуть кабель питания.
    И ещё SSD в микроволновку, чтобы избежать оффлайн-атак. HDD в кислоту.
     
     
  • 4.11, Аноним (7), 00:21, 18/05/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Проще и быстрее не покупать компьютер.
     
     
  • 5.12, Tron is Whistling (?), 00:24, 18/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Купил - мучайся.
     
     
  • 6.13, Аноним (7), 00:29, 18/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    My Tron is not whistling yet.
     
  • 2.15, Frestein (ok), 00:40, 18/05/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    ZealOS в продакшен
     

  • 1.2, dannyD (?), 23:27, 17/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +8 +/
    что только не делают чтоб своё ядро не собирать.
     
  • 1.4, Аноним (4), 23:50, 17/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Чего стоит немного подумать и забрать именно свои 50 копеек из этих предложенных нескольких сотен рублей. Ну это же элементарно, ага
     
  • 1.5, НектоОткудаТо (?), 23:57, 17/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Разумная заплатка широкого профиля.
    Но как-то странно, что реализована она только сейчас.
    А не лет 10-15 назад.
     
     
  • 2.17, Аноним (17), 01:03, 18/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Что разумного то? Итак большинство пользователей, включая некоторых админов не скажут зачем нужен тот или иной модуль, а вы хотите чтобы они еще списки составили. Будет как с apparmor.
     

  • 1.10, Аноним (10), 00:14, 18/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Костыли-костылики
     
  • 1.14, Аноним (14), 00:36, 18/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Если на то пошло, то нужно пересматривать политику управления модулями в системе, а не костыли городить.
     
  • 1.16, 1 (??), 00:45, 18/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    В чем прикол писАть на sh, внутри которого писАть на python?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру