Bonjour De notre coté, nous bloquons le chargement des modules x minutes après le démarrage de nos serveurs.
Cela fait parti des recommandations de lynis, outil qui a déjà été évoqué. $ cat /etc/systemd/system/set-sysctl.service [Unit] Description=Set sysctl [Service] Type=oneshot ExecStart=/sbin/sysctl -w kernel.modules_disabled=1 $ cat /etc/systemd/system/set-sysctl.timer [Unit] Description=Run sysctl 10min after boot [Timer] OnBootSec=10min Unit=set-sysctl.service [Install] WantedBy=timers.target -- Christophe GRENIER ________________________________ De : Jonathan Leroy par FRsAG <[email protected]> Envoyé : mardi 19 mai 2026 19:10:42 À : [email protected] Cc : FRsAG Objet : [FRsAG] Re: [FRnOG] [ALERT] Patchez vos machines Linux Mar 19 mai 2026, à 17:57, Vincent Tondellier via frnog a écrit : > La faille zerocopy de cette semaine s'appelle PinTheft et le > protocole/module rds. > > https://github.com/v12-security/pocs/tree/09e835b587bf71249775654061ae4c79e92cf430/pintheft > > La liste des distributions qui compilent ce module par défaut semble plus > restreinte, mais il y a au moins Debian et Arch. L’occasion de présenter ModuleJail, un petit script shell qui blackliste automatiquement tous les modules noyau inutilisés à un instant T : https://github.com/jnuyens/modulejail -- Jonathan Leroy _______________________________________________ Liste de diffusion du French Sysadmin Group https://www.frsag.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
