最近两周，Linux 内核接连爆出 Copy Fail、Dirty Frag、Fragnesia 三个高危提权误差，通盘社区齐在想见解堵误差

之前有东说念主提了个 Kernel Killswitch 的决策，当今又冒出来一个念念路近似但更轻量的用具——ModuleJail。

它到底干了啥？

说白了就一句话：把你系统里用不上的内核模块沿途拉黑，不给时弊者留后门。

咱们齐知说念，一个 Linux 系统里可能塞了几千个内核模块，但平素简直用到的可能就那么几十个。那些躺在硬盘里从来没加载过的模块，万一内部藏着提权误差呢？只有能被加载，就还是个定时炸弹

ModuleJail 的作念法很毛糙狡滑：扫描面前已加载的模块，跟 /lib/modules 下的完整模块树作念比对，没用到的充足写进黑名单，以后别想自动加载

一个剧本贬责，不玩花活

通盘用具便是一个 POSIX shell 剧本，莫得后台职业，莫得 CVE 库查询，莫得 AI 分析，也不打补丁、不检测误差。

它的逻辑就一条：你当今没在用的，我就给你禁了。

已加载的模块 → 保留

内置的基础必要模块 → 保留

治理员手动加白名单的 → 保留

❌ 其他沿途拉黑，写入 /etc/modprobe.d/modulejail-blacklist.conf

三种设置，按需聘用

设置

合乎谁

Conservative（默许）

职业器、假造机，开云·体育中国官方网站够用就行

Desktop

台式机札记本，稀奇保留 Wi-Fi、蓝牙、音视频驱动

Minimal

极致精简，只留中枢文献系统和必要模块

治理员还能在剧本里凯旋裁剪白名单，把偶尔要用的模块单独保下来，天真性拉满 ✨

⚠️ 用之前一定要留神

这东西是一次性加固用具，不是后台看守进度。是以有个大前提：

必须等系统完全驱动领路明再跑！ 统共职业起来了、文献系统挂好了、该加载的驱动齐加载了，这时辰再彭胀。

跑早了，可能把背面才需要的模块给误杀了，Wi-Fi 断了、存储挂了、网卡没了……别问我若何知说念的

装起来也浅显

官方提供了 DEB 和 RPM 包，Ubuntu、Debian、RHEL、Fedora、Alma、Rocky 齐能凯旋装。实测障翳了 Ubuntu 24.04、Debian 13.4、Rocky Linux 9.7，Arch、Alpine、openSUSE Tumbleweed 也在容器里测过了

想回滚？手动来

删掉 /etc/modprobe.d/modulejail-blacklist.conf 重启就行，概况用 modprobe 单独把某个模块拉转头。不外重启后黑名单会自动奏效，除非你把文献删干净

最近内核误差一个接一个，与其天天追着打补丁开云体育，不如换个念念路——少线路少量，就少一分风险。ModuleJail 这个用具天然不完竣，但胜在毛糙凯旋，拿来给职业器收收时弊面，竟然挺香