ModuleJail blockiert ungenutzte Linux-Kernel-Module, um die Angriffsfläche zu verringern

ModuleJail ist ein neues Projekt, das ungenutzte Linux-Kernel-Module auf eine Sperrliste setzt und so dazu beiträgt, die Angriffsfläche zu verringern, die durch aktuelle Sicherheitslücken zur lokalen Rechteausweitung entsteht.
Eine Übersetzung von 🇬🇧 Linuxiac.com

Nachdem innerhalb von nur zwei Wochen drei kritische Sicherheitslücken im Linux-Kernel – „Copy Fail“, „Dirty Frag“ und „Fragnesia“ – gemeldet worden waren, suchte die Linux-Community nach Möglichkeiten, das Problem anzugehen.

Eine vorgeschlagene Lösung war „Kernel Killswitch“, und nun ist eine ähnliche Idee aufgetaucht: „ModuleJail“ – ein Projekt zur Absicherung von Linux, das ungenutzte Kernel-Module auf eine Blacklist setzt, um die Angriffsfläche durch die jüngsten Schwachstellen zur lokalen Rechteausweitung zu verringern.

ModuleJail ist als einzelnes POSIX-Shell-Skript implementiert. Es scannt aktuell geladene Module, vergleicht sie mit dem vollständigen Modulbaum unter /lib/modules/$(uname -r) und erstellt eine modprobe.d Blacklist für ungenutzte Module. Standardmäßig wird die Blacklist unter /etc/modprobe.d/modulejail-blacklist.conf gespeichert.

Tatsächlich enthalten die meisten Linux-Systeme Tausende von Kernel-Modulen, nutzen jedoch nur einen kleinen Teil davon. Wenn ein ungenutztes Modul eine Schwachstelle zur Rechteausweitung enthält, bleibt das System gefährdet, falls das Modul später geladen werden kann. ModuleJail behebt dieses Problem, indem es verhindert, dass ungenutzte Module automatisch geladen werden.

🎓 Es ist wichtig zu verstehen, dass ModuleJail diese Schwachstellen weder behebt noch anfällige Module erkennt. Stattdessen verfolgt es einen umfassenderen Verteidigungsansatz, indem es den Zugriff auf nicht benötigte Kernel-Funktionen einschränkt.

Laut Dokumentation behält ModuleJail Module bei, die bereits auf dem Host geladen sind, eine integrierte Basisauswahl an unverzichtbaren Modulen sowie alle Module, die in einer optionalen Whitelist des Systemadministrators aufgeführt sind. Alle anderen Module werden mithilfe der Anweisungen install <module> /bin/true in einer modprobe.d kompatiblen Datei auf die Blacklist gesetzt.

ModuleJail ist als einmaliges Hardening-Tool gedacht, nicht als Hintergrunddienst. Es enthält keinen Daemon, keine kontinuierliche Überwachung, keine Abfrage der CVE-Datenbank, keine Risikobewertung für Module und keine KI-Funktionen. Sein Ansatz stützt sich ausschließlich darauf, ob ein Modul derzeit auf einem als sicher bekannten System geladen ist.

🎓 Dieses Sicherheitsmodell definiert auch seine Hauptbeschränkung. ModuleJail sollte erst ausgeführt werden, nachdem das System einen stabilen Zustand erreicht hat, d. h. alle Dienste gestartet, Dateisysteme gemountet und erforderliche Treiber geladen sind. Eine zu frühe Ausführung kann dazu führen, dass später benötigte Module auf die Blacklist gesetzt werden, was möglicherweise die Funktionalität von Hardware, Speicher, Netzwerk oder Anwendungen beeinträchtigt.

ModuleJail bietet drei Basisprofile an. Das standardmäßige konservative Profil ist für virtualisierte Server oder Bare-Metal-Server vorgesehen. Das Desktop-Profil behält zusätzliche WLAN-, Bluetooth-, Audio- und Videotreiber für Laptops und Workstations bei. Das Minimal-Profil behält nur zentrale Dateisysteme und wesentliche Kernel-Module bei.

Administratoren können innerhalb des Skripts eine standortbezogene Whitelist bearbeiten, um bestimmte Module beizubehalten, unabhängig davon, ob diese beim Ausführen von ModuleJail geladen werden. Dies ist nützlich für Module, die gelegentlich oder unter bestimmten Betriebsbedingungen benötigt werden.

Laut den Entwicklern wurde das Tool auf Ubuntu 24.04 LTS, Debian 13.4 und Rocky Linux 9.7 unter Verwendung von Live-Hosts getestet, mit zusätzlichen containerbasierten Tests für Arch Linux, Alpine Linux und openSUSE Tumbleweed. Vorgefertigte DEB- und RPM-Pakete sind für Debian/Ubuntu- und RHEL/Fedora/Alma/Rocky-Systeme verfügbar.

Das Rückgängigmachen von Änderungen ist jedoch ein vollständig manueller Vorgang. Administratoren können die Datei /etc/modprobe.d/modulejail-blacklist.conf entfernen und einen Neustart durchführen oder einzelne Module mit modprobe für die aktuelle Sitzung neu laden. Die Blacklist wird nach dem Neustart wieder angewendet, sofern die Datei nicht gelöscht wird.

Weitere Details finden Sie auf der GitHub-Seite des Projekts.

Spendieren Sie Bobby einen ☕ Ko-fi

s3n🧩net wünscht viel Vergnügen