Jasper Nuyens, zakladatel organizace Linux Belgie, která vytvořila doplněk pro použití Linux v informačním systému automobilů Tesla navrhl jednoduchý způsob, jak zmenšit útočnou plochu jádra Linux Aby se snížila pravděpodobnost kompromitace uprostřed nárůstu detekce nebezpečných zranitelností pomocí umělé inteligence, Jasper navrhl blokování modulů, které většina uživatelů ve výchozím nastavení nepoužívají nebo používají jen zřídka, protože mnoho zranitelností se obvykle nachází ve specifických modulech jádra, které jsou k dispozici pro automatické načítání, ale většina uživatelů je obvykle nepoužívají.
Jádro obsahuje několik tisíc modulů, ale většina systémů používá jen několik stovek, zbytek je tak k dispozici pro načítání a potenciálně zranitelný. Tato myšlenka je realizována pomocí skriptu ModuleJail, který určuje seznam modulů aktuálně používaných systémem (prostřednictvím /proc/modules) a automaticky zadává nepoužívané moduly na černou listinu. Skript je napsán v shellu, používá běžné systémové utility (stačí busybox) a je distribuován pod licencí GPLv3.
Skript podporuje spuštění v Debian, Ubuntu, RHEL, Fedora, SUSE, AlmaLinux, Rocky Linux, Alpine a Arch Linux, a v důsledku své činnosti generuje soubor /etc/modprobe.d/modulejail-blacklist.conf, který systém používá k zakázání automatického načítání modulů jádra. Tento přístup umožňuje proaktivně chránit systém bez nutnosti načítání specializovaných modulů jádra nebo spouštění dalších procesů na pozadí pro monitorování systému.
V případě potřeby může uživatel přidat na bílou listinu moduly, které aktuálně nejsou načteny, ale mohly by být potenciálně použity. K dispozici jsou také profily pro povolení, které umožňují použití nejdůležitějších modulů pro typické systémové aplikace. K dispozici jsou následující profily: „minimal“ (pouze nejdůležitější moduly a základní souborové systémy), „conservative“ (+ typické ovladače pro servery a virtuální stroje) a stolní počítače (+ ovladače pro WiFi, Bluetooth, zvuk a video).
Zdroj: opennet.ru
