2026-05-20 世界杯赛程 90
最近两周,Linux 内核接连爆出 Copy Fail、Dirty Frag、Fragnesia 三个高危提权波折,通盘社区齐在想主义堵波折
之前有东谈主提了个 Kernel Killswitch 的决议,目下又冒出来一个想路访佛但更轻量的用具——ModuleJail。
它到底干了啥?
说白了就一句话:把你系统里用不上的内核模块一谈拉黑,不给挫折者留后门。
咱们齐知谈,一个 Linux 系统里可能塞了几千个内核模块,但普遍实在用到的可能就那么几十个。那些躺在硬盘里从来没加载过的模块,万一内部藏着提权波折呢?唯有能被加载,就仍是个定时炸弹
ModuleJail 的作念法很未必狠恶:扫描现时已加载的模块,跟 /lib/modules 下的完整模块树作念比对,没用到的填塞写进黑名单,以后别想自动加载
一个剧本治理,不玩花活
通盘用具即是一个 POSIX shell 剧本,莫得后台就业,莫得 CVE 库查询,莫得 AI 分析,也不打补丁、不检测波折。
它的逻辑就一条:你目下没在用的,我就给你禁了。
已加载的模块 → 保留
内置的基础必要模块 → 保留
治理员手动加白名单的 → 保留
❌ 其他一谈拉黑,写入 /etc/modprobe.d/modulejail-blacklist.conf
三种竖立,按需接收
竖立
开云官方app下载稳妥谁
Conservative(默许)
就业器、虚构机,2026世界杯押注app官方版够用就行
Desktop
台式机条记本,迥殊保留 Wi-Fi、蓝牙、音视频驱动
Minimal
极致精简,只留中枢文献系统和必要模块
治理员还能在剧本里顺利裁剪白名单,把偶尔要用的模块单独保下来,纯真性拉满 ✨
⚠️ 用之前一定要能干
这东西是一次性加固用具,不是后台看守程度。是以有个大前提:
必须等系统完全运行认知后再跑! 通盘就业起来了、文献系统挂好了、该加载的驱动齐加载了,这时期再实际。
跑早了,可能把背面才需要的模块给误杀了,Wi-Fi 断了、存储挂了、网卡没了……别问我若何知谈的
装起来也肤浅
官方提供了 DEB 和 RPM 包,Ubuntu、Debian、RHEL、Fedora、Alma、Rocky 齐能顺利装。实测隐匿了 Ubuntu 24.04、Debian 13.4、Rocky Linux 9.7,Arch、Alpine、openSUSE Tumbleweed 也在容器里测过了
想回滚?手动来
删掉 /etc/modprobe.d/modulejail-blacklist.conf 重启就行,或者用 modprobe 单独把某个模块拉追思。不外重启后黑名单会自动班师,除非你把文献删干净
最近内核波折一个接一个,与其天天追着打补丁,不如换个想路——少表示小数,就少一分风险。ModuleJail 这个用具天然不完整2026世界杯最新押注登录平台,但胜在未必顺利,拿来给就业器收收挫折面,确实挺香
