Bonjour

De notre coté, nous bloquons le chargement des modules x minutes après le 
démarrage de nos serveurs.

Cela fait parti des recommandations de lynis, outil qui a déjà été évoqué.


$ cat /etc/systemd/system/set-sysctl.service
[Unit]
Description=Set sysctl

[Service]
Type=oneshot
ExecStart=/sbin/sysctl -w kernel.modules_disabled=1
$ cat /etc/systemd/system/set-sysctl.timer
[Unit]
Description=Run sysctl 10min after boot

[Timer]
OnBootSec=10min
Unit=set-sysctl.service

[Install]
WantedBy=timers.target



--
Christophe GRENIER

________________________________
De : Jonathan Leroy par FRsAG <[email protected]>
Envoyé : mardi 19 mai 2026 19:10:42
À : [email protected]
Cc : FRsAG
Objet : [FRsAG] Re: [FRnOG] [ALERT] Patchez vos machines Linux

Mar 19 mai 2026, à 17:57, Vincent Tondellier via frnog a écrit :
> La faille zerocopy de cette semaine s'appelle PinTheft et le
> protocole/module rds.
>
> https://github.com/v12-security/pocs/tree/09e835b587bf71249775654061ae4c79e92cf430/pintheft
>
> La liste des distributions qui compilent ce module par défaut semble plus
> restreinte, mais il y a au moins Debian et Arch.

L’occasion de présenter ModuleJail, un petit script shell qui blackliste 
automatiquement tous les modules noyau inutilisés à un instant T : 
https://github.com/jnuyens/modulejail

--
Jonathan Leroy
_______________________________________________
Liste de diffusion du French Sysadmin Group
https://www.frsag.org/

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à