ModuleJail - Bloquer les modules kernel Linux inutilisés

Le Saviez-Vous

Introduction : ModuleJail est un script qui désactive les modules kernel Linux inutilisés en les remplaçant par /bin/true dans modprobe, réduisant la surface d’attaque sans toucher aux modules actifs. L’outil propose 3 profils (minimal, conservative par défaut, desktop) et doit être lancé quand la machine est stable avec tous les services démarrés, car il photographie l’état du système à l’instant T. ModuleJail ne protège que contre les modules chargés dynamiquement, pas contre les failles du noyau compilées en dur (=y), et nécessite une maintenance manuelle si du matériel neuf est ajouté après son exécution.

https://korben.info/modulejail-blacklist-modules-kernel-linux-inutilises.html