ModuleJail låser in oanvända Linux-moduler – ett nytt sätt att minska angreppsytan
Linuxkärnan är full av moduler som gör systemet flexibelt, men många av dem används aldrig på en vanlig server eller dator. Det nya projektet ModuleJail vill minska risken för angrepp genom att svartlista oanvända kernelmoduler och därmed begränsa den yta som kan utnyttjas vid lokala säkerhetshål. Verktyget lagar inga sårbarheter, men fungerar som ett extra skyddslager för administratörer som vill härda sina Linuxsystem.

Linuxkärnan är hjärtat i ett Linuxsystem. Den hanterar hårdvara, minne, filer, nätverk och mycket annat. För att kunna stödja många olika datorer och användningsområden är kärnan ofta uppbyggd med moduler – små delar som kan laddas in vid behov. Men just den flexibiliteten kan också bli en säkerhetsrisk. Det nya projektet ModuleJail försöker minska risken genom att blockera kernelmoduler som systemet inte använder.

ModuleJail är ett nytt härdningsverktyg för Linux. Det är inte ett antivirusprogram, inte en brandvägg och inte en lösning som lagar sårbarheter. I stället bygger det på en enkel idé: om ett system inte behöver en viss kernelmodul, ska den inte heller kunna laddas in senare.

Bakgrunden är de senaste rapporterna om allvarliga lokala sårbarheter i Linuxkärnan, bland annat Copy Fail, Dirty Frag och Fragnesia. Den typen av sårbarheter kan i värsta fall göra det möjligt för en lokal användare eller process att höja sina rättigheter och få mer kontroll över systemet än den borde ha.

För systemadministratörer är detta ett välkänt problem. Ett modernt Linuxsystem kan innehålla tusentals kernelmoduler, men i praktiken används bara en mindre del av dem. En server behöver kanske inte stöd för Bluetooth, ovanliga filsystem, ljudkort, TV-mottagare eller specialiserad hårdvara. Ändå kan modulerna ligga kvar och i vissa fall laddas in vid behov.

Det är just detta ModuleJail försöker begränsa.

Så fungerar ModuleJail

ModuleJail är byggt som ett enda POSIX shell-skript. Det gör arbetet relativt enkelt och transparent. Verktyget tittar först på vilka kernelmoduler som redan är laddade i systemet. Därefter jämförs dessa med hela modulträdet under:

Alla moduler som inte används, och som inte finns med i en skyddslista, skrivs sedan in i en blacklist-fil för modprobe. Standardplatsen är:

I filen används rader av typen:

Det betyder i praktiken att när systemet försöker ladda modulen via modprobe, körs i stället /bin/true. Resultatet blir att modulen inte laddas.

Det här är en gammal och etablerad metod för att förhindra laddning av kernelmoduler via modprobe-konfigurationen. ModuleJail automatiserar helt enkelt processen och gör den mer systematisk.

Skyddar inte mot allt – men minskar risken

Det är viktigt att förstå vad ModuleJail inte gör. Verktyget analyserar inte moduler efter kända säkerhetshål. Det kontrollerar inte CVE-databaser, gör ingen riskpoängsättning och avgör inte om en modul är farlig.

I stället arbetar ModuleJail med principen minsta möjliga angreppsyta. Om en modul inte behövs på systemet, bör den inte vara tillgänglig.

Det kan jämföras med att låsa dörrar i ett hus som inte används. Man vet kanske inte om någon särskild dörr är svagare än en annan, men färre öppna dörrar ger färre möjligheter för en angripare.

På en server kan detta vara särskilt intressant. En webbserver, databasserver eller filserver använder ofta en ganska förutsägbar uppsättning drivrutiner och funktioner. Om systemet redan är igång och alla tjänster fungerar, kan man ta en ögonblicksbild av vilka moduler som faktiskt behövs. Resten kan blockeras.

Körs en gång – inte som bakgrundstjänst

ModuleJail är tänkt att användas som ett engångsverktyg. Det körs inte som en daemon i bakgrunden och övervakar inte systemet löpande. Det är snarare ett sätt att skapa en statisk spärrlista efter att systemet har nått ett stabilt läge.

Det innebär också att tidpunkten är viktig.

Verktyget bör köras först när systemet är fullt startat, alla tjänster är igång, filsystem är monterade och all nödvändig hårdvara är aktiverad. Om ModuleJail körs för tidigt finns risken att det svartlistar moduler som behövs senare.

Exempelvis kan det handla om moduler för:
- extra lagringsenheter
- nätverkskort
- Wi-Fi
- Bluetooth
- ljud
- grafikkort
- specialiserade filsystem
- backup- eller virtualiseringslösningar
På en skrivbordsdator eller laptop kan detta bli mer känsligt än på en server, eftersom hårdvaran ofta varierar mer. En användare kan ansluta USB-enheter, Bluetooth-tillbehör, externa skärmar eller dockningsstationer först senare.

Tre profiler för olika system

ModuleJail innehåller tre olika basprofiler.

Den konservativa standardprofilen är tänkt för servrar, både virtuella och fysiska. Den försöker bevara moduler som normalt kan behövas i en servermiljö, men blockerar sådant som bedöms vara onödigt.

Desktop-profilen är mer försiktig för vanliga arbetsstationer och bärbara datorer. Den sparar fler moduler för Wi-Fi, Bluetooth, ljud och video, eftersom sådant ofta behövs på en vanlig dator.

Minimal-profilen är den mest strikta. Den behåller i huvudsak kärnfunktioner, grundläggande filsystem och nödvändiga moduler. Den passar främst för mycket kontrollerade miljöer där man vet exakt vad systemet behöver.

Lokal vitlista för specialfall

Alla system är olika. Därför har ModuleJail stöd för en lokal vitlista i skriptet. Där kan administratören ange moduler som alltid ska bevaras, även om de inte råkar vara laddade när verktyget körs.

Det är användbart för moduler som bara behövs ibland. Det kan till exempel vara drivrutiner för backupmedia, tillfälliga nätverkslösningar, externa lagringsenheter eller särskilda filsystem.

Vitlistan är viktig eftersom ModuleJail annars utgår från en ganska enkel fråga: är modulen laddad just nu eller inte?

Det är både styrkan och svagheten i metoden. Den är enkel, begriplig och lätt att granska. Men den kräver också att administratören förstår sitt system.

Kan ge problem om det används fel

ModuleJail är inte ett verktyg man bör köra slentrianmässigt på vilken dator som helst utan eftertanke. Om fel moduler blockeras kan systemet tappa funktionalitet.

På en server kan det betyda att en viss lagringslösning, nätverksfunktion eller virtualiseringsfunktion slutar fungera efter omstart. På en laptop kan det innebära att Wi-Fi, ljud, Bluetooth eller externa enheter inte fungerar som väntat.

Återställning är också manuell. För att ta bort spärren behöver administratören radera blacklist-filen:

Därefter krävs normalt en omstart. Det går också att ladda enskilda moduler manuellt med modprobe under den aktuella sessionen, men efter omstart gäller blacklist-filen igen om den finns kvar.

Det gör att ModuleJail passar bäst för tekniskt kunniga användare och administratörer som vill härda system där funktionerna är välkända och stabila.

Testat på flera Linuxdistributioner

Enligt projektets uppgifter har ModuleJail testats på Ubuntu 24.04 LTS, Debian 13.4 och Rocky Linux 9.7 på riktiga system. Det har även testats i containerbaserade miljöer för Arch Linux, Alpine Linux och openSUSE Tumbleweed.

Det finns färdiga DEB- och RPM-paket för Debian/Ubuntu respektive RHEL/Fedora/Alma/Rocky-baserade system. Samtidigt är själva idén inte bunden till en specifik distribution, eftersom verktyget bygger på standardfunktioner i Linux och modprobe.

Ett enkelt men intressant säkerhetsgrepp

ModuleJail visar att säkerhet inte alltid handlar om avancerad AI, stora databaser eller komplicerade övervakningssystem. Ibland kan en relativt enkel metod ge praktisk nytta: ta reda på vad systemet faktiskt använder och blockera resten.

Det gör inte Linuxkärnan osårbar. Det ersätter inte säkerhetsuppdateringar. Det skyddar inte mot redan laddade sårbara moduler. Men det kan minska antalet möjliga vägar in för en angripare.

För servrar och andra kontrollerade Linuxmiljöer kan ModuleJail därför bli ett intressant komplement till traditionell säkerhetshärdning. Det är inte en universallösning, men det är ett tydligt exempel på en klassisk säkerhetsprincip: ju mindre som är exponerat, desto mindre finns det att angripa.

https://github.com/jnuyens/modulejail/

Teknisk faktaruta: ModuleJail

Vad är det?
ModuleJail är ett Linux-härdningsverktyg som svartlistar oanvända kernelmoduler för att minska systemets angreppsyta.

Teknik:
Ett POSIX-kompatibelt shellskript som analyserar laddade moduler och jämför dem med modulträdet under /lib/modules/$(uname -r).

Standardfil:
Skapar normalt blacklist-filen /etc/modprobe.d/modulejail-blacklist.conf.

Metod:
Oanvända moduler blockeras med install <modulnamn> /bin/true i en modprobe.d-kompatibel konfigurationsfil.

Profiler:
Conservative, desktop och minimal – beroende på om systemet är server, arbetsstation eller strikt avgränsad miljö.

Begränsning:
ModuleJail patchar inte sårbarheter och kontrollerar inte CVE-databaser. Det minskar endast möjligheten att ladda moduler som inte behövs.

Återställning:
Ta bort /etc/modprobe.d/modulejail-blacklist.conf och starta om systemet.

annons

Trasig dator?

Vi fixar trötta speldatorer
Byter skärm på laptops
Hjälper dig att byta dator
Tömmer gamla datorer och gör dem redo för återvinning eller kör in linux på dem och skänker bort dem.

Tel 08 37 21 00

Datorreparation Stockholm
Orrspelsvägen 13, Bromma

Ericsson Hotline 900 Pocket – när mobiltelefonen blev möjlig att stoppa i fickan
Ericsson Hotline 900 Pocket var en av de tidiga mobiltelefonerna som markerade övergången från biltelefoner och tunga transportabla enheter till verkligt handhållna mobiler. Med dagens mått var den stor, […]
BUTOBA MT 7 F – när bandspelaren blev bärbar på riktigt
Butoba MT 7 F var en liten men avancerad rullbandspelare från början av 1960-talet, byggd i en tid då ljudinspelning höll på att bli verkligt portabel. Med batteridrift, två […]
Acer Aspire one – en symbol för sin tid.
Acer Aspire One blev en av de tydligaste symbolerna för netbook-eran – den korta men intensiva period då datorbranschen trodde att framtidens vardagsdator skulle vara liten, billig och ständigt […]
DECstation – när DEC försökte ta klivet in i RISC-eran
DECstation var Digital Equipment Corporations försök att möta den nya RISC-eran. Med snabba MIPS-processorer, Unix-systemet ULTRIX och avancerad grafik blev maskinerna viktiga arbetsstationer för forskare, ingenjörer och utvecklare. Samtidigt […]
Yamaha DX7 – synten som förändrade popmusiken
Yamaha DX7 såg kanske inte märkvärdig ut när den lanserades 1983, men den förändrade ljudet av en hel musikgeneration. Med digital FM-syntes, klara elpianon, metalliska klockljud och ett pris […]
VAX-11 – datorn som gjorde minidatorn till ett kraftpaket
VAX-11 var datorfamiljen som visade att en minidator kunde mäta sig med betydligt dyrare stordatorer. När DEC lanserade VAX-11/780 1977 fick universitet, företag och forskningsmiljöer tillgång till en kraftfull […]
Commodore CBM-II: datorn som skulle ersätta PET – men hamnade i skuggan av C64
Commodore CBM-II var tänkt att bli den moderna efterföljaren till PET-serien och ta Commodore vidare in på både hemma- och kontorsmarknaden. Med mer minne, avancerad bankväxling, SID-ljud och professionella […]
Commodore PET och CBM: när framtiden kom i plåtchassi
När Commodore PET lanserades 1977 var persondatorn fortfarande ett djärvt löfte om framtiden. Med robust plåtchassi, inbyggd skärm, BASIC i ROM och en blinkande markör blev PET och de […]
Amiga 500 – hemdatorn som gav framtiden ett ansikte
Amiga 500 blev för många mer än en hemdator – den blev en första glimt av framtiden. Med färgstark grafik, stereoljud och spelupplevelser som stack ut från mängden tog […]
Akai GX-635D – när rullbandspelaren blev högteknologi
Akai GX-635D var mer än en exklusiv rullbandspelare – den var ett exempel på hur långt den analoga ljudtekniken kunde utvecklas innan den digitala eran tog över. Med avancerade […]

wiki.linux.se

Datorhjälp hemma – 399 kr/tim efter RUT-avdrag

Vi kommer hem till dig i Stockholm området och hjälper dig med dator, skrivare, kablar, TV, nätverk och annat tekniskt.
Vi arbetar med Linux, Windows och Mac.

Klicka här för att läsa mer

Linuxtoday

How to Upgrade from Ubuntu 24.04 LTS to 26.04 LTS
Learn how to upgrade from Ubuntu 24.04 LTS to 26.04 LTS effortlessly. Follow our comprehensive guide for a smooth transition to the latest version. The post How to Upgrade from Ubuntu 24.04 LTS to 26.04 LTS appeared first on Linux Today.
CachyOS April Release Brings Shelly Package Manager
Unveil the new CachyOS April release with the Shelly Package Manager. Simplify your software management and boost your productivity effortlessly! The post CachyOS April Release Brings Shelly Package Manager appeared first on Linux Today.
Asahi Linux Improves Apple Silicon Support as Fedora Asahi Remix 44 Nears
Discover how Asahi Linux enhances Apple Silicon support as Fedora Asahi Remix 44 approaches. Explore the latest advancements and features today. The post Asahi Linux Improves Apple Silicon Support as Fedora Asahi Remix 44 Nears appeared first on Linux Today.
Ubuntu 26.04 LTS: Best New Features
Discover the best new features of Ubuntu 26.04 LTS. Explore enhancements in performance, security, and user experience that elevate your computing experience. The post Ubuntu 26.04 LTS: Best New Features appeared first on Linux Today.
BleachBit 6.0 Introduces New Cookie Manager, Improves Browser Cleaning
Upgrade to BleachBit 6.0 for a new Cookie Manager and better browser cleaning. Safeguard your data and boost your system's efficiency effortlessly. The post BleachBit 6.0 Introduces New Cookie Manager, Improves Browser Cleaning appeared first on Linux Today.
Void Linux Switches Main NVIDIA Package to Open Kernel Modules
Learn about Void Linux's shift to open kernel modules for NVIDIA, providing users with enhanced flexibility and optimized graphics performance. The post Void Linux Switches Main NVIDIA Package to Open Kernel Modules appeared first on Linux Today.
Colorado Adds Open-Source Exemption to Age-Attestation Bill
Learn about Colorado's open-source exemption in the age-attestation bill, aimed at improving compliance and fostering a more inclusive digital environment. The post Colorado Adds Open-Source Exemption to Age-Attestation Bill appeared first on Linux Today.
What Is a Repository? A Simple Guide for Beginners
Discover the essentials of a repository in our simple guide for beginners. Learn how to store, manage, and share your digital assets effectively. The post What Is a Repository? A Simple Guide for Beginners appeared first on Linux Today.
Niri 26.04 Brings Long-Awaited Blur Support to the Wayland Compositor
Discover how Niri 26.04 introduces long-awaited blur support to the Wayland compositor, enhancing visual aesthetics and user experience. The post Niri 26.04 Brings Long-Awaited Blur Support to the Wayland Compositor appeared first on Linux Today.
12 Useful Free and Open Source Binary Analysis Tools
Unlock the power of binary analysis with our list of 12 free and open source tools. Perfect for developers and security experts looking to improve their workflow. The post 12 Useful Free and Open Source Binary Analysis Tools appeared first on Linux Today.

ANNONS

Starta inte datorn?
Hjälp att byta datorn?
Trasig laptop
Laggar speldatorn?

Telefon 08 37 21 00
E-post kontakt@datorhjalp.se
Hemsida : PC-Service.se

9to5linux.com

Firefox 151 Is Now Available for Download, This Is What’s New
Firefox 151 open-source web browser is now available for download with support for local profile backups on Linux, the general availability of local network access restrictions, and many other changes. The post Firefox 151 Is Now Available for Download, This Is What’s New appeared first on 9to5Linux – do not reproduce this article without permission. […]
9to5Linux Weekly Roundup: May 17th, 2026
9to5Linux Weekly Roundup for May 17th, 2026, brings news about Debian 13.5, KDE Plasma 6.6.5, Fragnesia and ssh-keysign-pwn flaws, GStreamer 1.28.3, KDE Plasma 6.7 beta, fwupd 2.1.3, SparkyLinux 8.3, LibreOffice 25.8.7, Sovereign Tech Fund's €1M donation to KDE, PipeWire 1.6.5, Shelly 2.3, Rescuezilla 2.6.2, MX Linux 25.2 beta, and more. The post 9to5Linux Weekly Roundup: […]
Rescuezilla 2.6.2 System Recovery Live ISO Adds Ubuntu 26.04 LTS Support
Rescuezilla 2.6.2 distribution is now available for download with a new build based on Ubuntu 26.04 LTS “Resolute Racoon” and other changes. Here’s what’s new! The post Rescuezilla 2.6.2 System Recovery Live ISO Adds Ubuntu 26.04 LTS Support appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended […]
Debian 13.5 “Trixie” Released with 144 Bug Fixes and 103 Security Updates
Debian 13.5 is now available for download as a new point release to Debian 13 “Trixie” with 144 bug fixes and 103 security updates. The post Debian 13.5 “Trixie” Released with 144 Bug Fixes and 103 Security Updates appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended […]
Shelly 2.3 GUI Package Manager for Arch Linux Brings Performance Improvements
Shelly 2.3 open-source graphical package manager for Arch Linux distributions is now available for download with performance improvements, translations support, code clean ups, and bug fixes. The post Shelly 2.3 GUI Package Manager for Arch Linux Brings Performance Improvements appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is […]
Six-Year-Old Linux Kernel Flaw Lets Unprivileged Users Read Root-Owned Files
A six-year-old security flaw in the Linux kernel can let an unprivileged user read root-owned files. The flaw was reported by Qualys and patched on May 14th, 2026. The post Six-Year-Old Linux Kernel Flaw Lets Unprivileged Users Read Root-Owned Files appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed […]
Ubuntu 25.10 Users Can Now Upgrade to Ubuntu 26.04 LTS, Here’s How
A step-by-step and easy-to-follow tutorial (with screenshots) on how to upgrade your Ubuntu 25.10 (Questing Quokka) installations to Ubuntu 26.04 LTS (Resolute Raccoon). The post Ubuntu 25.10 Users Can Now Upgrade to Ubuntu 26.04 LTS, Here’s How appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for […]
KDE Plasma 6.7 Desktop Environment Is Now Available for Public Beta Testing
KDE Plasma 6.7 desktop environment is now available for public beta testing with various new features, improvements, and bug fixes. Here’s what’s new! The post KDE Plasma 6.7 Desktop Environment Is Now Available for Public Beta Testing appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for […]
Fragnesia Is Yet Another Local Privilege Escalation Flaw in Linux Kernel
Fragnesia is a new local privilege escalation flaw in the Linux kernel that may lead to local privilege escalation. Patch now! The post Fragnesia Is Yet Another Local Privilege Escalation Flaw in Linux Kernel appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, not scrapers.
PipeWire 1.6.5 Brings Extra Security Checks and Hardening Fixes to Pulse Server
PipeWire 1.6.5 audio/video server for Linux is now available for download with extra security checks and hardening fixes, removal of the pipe filter in filter-graph, and various bug fixes. The post PipeWire 1.6.5 Brings Extra Security Checks and Hardening Fixes to Pulse Server appeared first on 9to5Linux – do not reproduce this article without permission. […]

RSS-fel: Retrieved unsupported status code "403"

Annons

Digital Fixare

Strul med e-posten? Hjälp med TV? Problem med wifi?
Digital Fixare

Linuxiac.com

DietPi 10.4 Adds Copy Fail and Dirty Frag Fixes for SBC Users
DietPi 10.4 adds kernel security fixes for Copy Fail and Dirty Frag, plus a new Orange Pi 5B image and SBC package updates.
ModuleJail Blocks Unused Linux Kernel Modules to Limit Attack Surface
ModuleJail is a new project that blacklists unused Linux kernel modules, helping reduce the attack surface exposed by recent local privilege escalation flaws.
Firefox 151 Adds Local Profile Backups on Linux and macOS
Mozilla Firefox 151 adds PDF merging, local profile backups on Linux and macOS, stronger privacy protections, and Web Serial API support.
WireGuard Easy 15.3 Adds Server-Side Allowed IP Enforcement
WireGuard Easy 15.3 adds server-side Allowed IP enforcement, improving client access control for self-hosted WireGuard VPN setups.
Linuxiac Weekly Wrap-Up: Week 20, 2026 (May 11 – 17)
Catch up on the latest Linux news: Debian 13.5, COSMIC Desktop 1.0.13, Plasma 6.7 Beta, Wine 11.9, Fragnesia vulnerability, new Linux kernel security bug guidelines, and more.
APT 3.3.1 Released to Debian Unstable with Solver Improvements
APT 3.3.1 package manager is now in Debian unstable, bringing small maintenance fixes for solver3, dirstream handling, and authentication config warnings.
KDE Plasma 6.7 Beta Is Out, Here’s What to Expect in the Final Release
KDE Plasma 6.7 Beta is now available for testing, with the final Plasma 6.7 release scheduled for June 16. Here’s what to expect.
Rescuezilla 2.6.2 Adds Ubuntu 26.04 LTS-Based Build
Rescuezilla 2.6.2 is out with new Ubuntu-based images, Partclone 0.3.47, and fixes cloning and shutdown menu issues.
Linus Torvalds Merges New Linux Kernel Security Bug Guidelines
Linus Torvalds has merged new Linux kernel docs clarifying what counts as a security bug and how reports should be triaged.
Debian 13.5 Released with 103 Security Fixes and 144 Stability Updates
Debian 13 "Trixie" receives its fifth refresh (13.5), featuring 144 bug fixes and 103 security updates. Here's more on that.

Datorhjälp

Digital fixare Stockholm
Datorproblem kan vara både frustrerande och tidskrävande – men hjälp finns nära till hands. Hos Datorhjälp i Bromma får du personlig och kunnig support, oavsett om det gäller en trasig laptop, krånglande e-post eller installation av ny teknik i hemmet. Med butik på Orrspelsvägen 13 och möjlighet till hembesök över hela Stockholm hjälper våra erfarna […]
Datorhjälp nära till hands för boende vid Karlaplan
När datorn krånglar, Wi-Fi-uppkopplingen sviktar eller skrivaren vägrar fungera kan vardagen snabbt bli frustrerande. För boende kring Karlaplan finns nu möjlighet att få snabb och personlig datorhjälp direkt i hemmet – till ett förmånligt pris med RUT-avdrag. Allt fler hushåll runt Karlaplan väljer att få teknisk hjälp på plats i stället för att ta sig […]
Datorhjälp hemma i Bergshamra – personligt stöd när tekniken krånglar
När datorn krånglar, wifi slutar fungera eller den nya mobilen känns svår att förstå finns personlig hjälp att få i Bergshamra. Genom hembesök i lugn miljö och pedagogiskt stöd på plats blir tekniken enklare att hantera – dessutom till halva kostnaden tack vare RUT-avdraget. Bergshamra. När datorn låser sig, e-posten slutar fungera eller den nya […]
Datorhjälp hemma i Hässelby Strand – personligt stöd när tekniken krånglar
När datorn krånglar, wifi strular eller den nya mobilen känns svår att förstå finns personlig hjälp att få i Hässelby Strand. Genom hembesök i lugn miljö och pedagogiskt stöd på plats blir tekniken enklare att hantera – dessutom till halva kostnaden tack vare RUT-avdraget. Hässelby Strand. När datorn låser sig, e-posten slutar fungera eller den […]
Datorhjälp hemma i Högdalen – personligt stöd när tekniken krånglar
När tekniken krånglar i vardagen – från datorer som låser sig till wifi som inte fungerar – finns personlig hjälp att få i Högdalen. Med hembesök i lugn och trygg miljö, pedagogiska förklaringar och möjlighet till halva kostnaden genom RUT-avdraget blir det enklare att få digitala problem lösta. Högdalen. När datorn fryser, e-posten slutar fungera […]
Datorhjälp på plats för boende i Rågsved
När datorn krånglar, Wi-Fi-uppkopplingen svajar eller skrivaren vägrar fungera kan vardagen snabbt bli både stressig och tidskrävande. För boende i Rågsved finns nu möjlighet att få snabb och personlig datorhjälp direkt i hemmet – till ett förmånligt pris med RUT-avdrag. När datorn krånglar, Wi-Fi-uppkopplingen svajar eller skrivaren vägrar fungera kan vardagen snabbt bli både stressig […]
Datorhjälp hemma i Vårberg – personligt stöd när tekniken krånglar
När tekniken krånglar i vardagen – från strulande datorer och e-post till wifi som inte vill fungera – finns personlig hjälp att få i Vårberg. Med hembesök i lugn och ro och möjlighet till halva kostnaden via RUT-avdraget erbjuds ett tryggt och pedagogiskt stöd för den som vill få tekniken att fungera igen. Vårberg. När […]
Datorhjälp nära till hands för boende i Norsborg för halva priset efter RUT avdraget
När datorn krånglar, internetuppkopplingen svajar eller skrivaren vägrar fungera kan vardagen snabbt bli både stressig och tidskrävande. För boende i Norsborg finns nu möjlighet att få snabb och personlig datorhjälp direkt i hemmet – till ett förmånligt pris med RUT-avdrag. Allt fler hushåll i Norsborg väljer att få teknisk hjälp på plats i stället för […]
Datorhjälp nära till hands för boende kring Huddinge Centrum
När datorn krånglar, internetuppkopplingen svajar eller skrivaren vägrar fungera kan vardagen snabbt bli frustrerande. För boende runt Huddinge Centrum finns nu möjlighet att få snabb och personlig datorhjälp direkt i hemmet – till ett förmånligt pris tack vare RUT-avdraget. Allt fler hushåll i området kring Huddinge Centrum väljer att få teknisk hjälp på plats i […]
Datorhjälp nära till hands för boende vid S:t Eriksplan för halva med priset med RUT avdraget
När datorn krånglar, Wi-Fi-uppkopplingen sviktar eller skrivaren inte vill fungera kan vardagen snabbt bli frustrerande. För boende kring S:t Eriksplan finns nu möjlighet att få snabb och personlig datorhjälp direkt i hemmet – till ett förmånligt pris med RUT-avdrag. Allt fler hushåll i området runt S:t Eriksplan väljer att få teknisk hjälp på plats i […]

ModuleJail låser in oanvända Linux-moduler – ett nytt sätt att minska angreppsytan

Linuxkärnan är full av moduler som gör systemet flexibelt, men många av dem används aldrig på en vanlig server eller dator. Det nya projektet ModuleJail vill minska risken för angrepp genom att svartlista oanvända kernelmoduler och därmed begränsa den yta som kan utnyttjas vid lokala säkerhetshål. Verktyget lagar inga sårbarheter, men fungerar som ett extra skyddslager för administratörer som vill härda sina Linuxsystem.

Linuxkärnan är hjärtat i ett Linuxsystem. Den hanterar hårdvara, minne, filer, nätverk och mycket annat. För att kunna stödja många olika datorer och användningsområden är kärnan ofta uppbyggd med moduler – små delar som kan laddas in vid behov. Men just den flexibiliteten kan också bli en säkerhetsrisk. Det nya projektet ModuleJail försöker minska risken genom att blockera kernelmoduler som systemet inte använder.

ModuleJail är ett nytt härdningsverktyg för Linux. Det är inte ett antivirusprogram, inte en brandvägg och inte en lösning som lagar sårbarheter. I stället bygger det på en enkel idé: om ett system inte behöver en viss kernelmodul, ska den inte heller kunna laddas in senare.

Bakgrunden är de senaste rapporterna om allvarliga lokala sårbarheter i Linuxkärnan, bland annat Copy Fail, Dirty Frag och Fragnesia. Den typen av sårbarheter kan i värsta fall göra det möjligt för en lokal användare eller process att höja sina rättigheter och få mer kontroll över systemet än den borde ha.

För systemadministratörer är detta ett välkänt problem. Ett modernt Linuxsystem kan innehålla tusentals kernelmoduler, men i praktiken används bara en mindre del av dem. En server behöver kanske inte stöd för Bluetooth, ovanliga filsystem, ljudkort, TV-mottagare eller specialiserad hårdvara. Ändå kan modulerna ligga kvar och i vissa fall laddas in vid behov.

Det är just detta ModuleJail försöker begränsa.

Så fungerar ModuleJail

ModuleJail är byggt som ett enda POSIX shell-skript. Det gör arbetet relativt enkelt och transparent. Verktyget tittar först på vilka kernelmoduler som redan är laddade i systemet. Därefter jämförs dessa med hela modulträdet under:

Alla moduler som inte används, och som inte finns med i en skyddslista, skrivs sedan in i en blacklist-fil för modprobe. Standardplatsen är:

I filen används rader av typen:

Det betyder i praktiken att när systemet försöker ladda modulen via modprobe, körs i stället /bin/true. Resultatet blir att modulen inte laddas.

Det här är en gammal och etablerad metod för att förhindra laddning av kernelmoduler via modprobe-konfigurationen. ModuleJail automatiserar helt enkelt processen och gör den mer systematisk.

Skyddar inte mot allt – men minskar risken

Det är viktigt att förstå vad ModuleJail inte gör. Verktyget analyserar inte moduler efter kända säkerhetshål. Det kontrollerar inte CVE-databaser, gör ingen riskpoängsättning och avgör inte om en modul är farlig.

I stället arbetar ModuleJail med principen minsta möjliga angreppsyta. Om en modul inte behövs på systemet, bör den inte vara tillgänglig.

Det kan jämföras med att låsa dörrar i ett hus som inte används. Man vet kanske inte om någon särskild dörr är svagare än en annan, men färre öppna dörrar ger färre möjligheter för en angripare.

På en server kan detta vara särskilt intressant. En webbserver, databasserver eller filserver använder ofta en ganska förutsägbar uppsättning drivrutiner och funktioner. Om systemet redan är igång och alla tjänster fungerar, kan man ta en ögonblicksbild av vilka moduler som faktiskt behövs. Resten kan blockeras.

Körs en gång – inte som bakgrundstjänst

ModuleJail är tänkt att användas som ett engångsverktyg. Det körs inte som en daemon i bakgrunden och övervakar inte systemet löpande. Det är snarare ett sätt att skapa en statisk spärrlista efter att systemet har nått ett stabilt läge.

Det innebär också att tidpunkten är viktig.

Verktyget bör köras först när systemet är fullt startat, alla tjänster är igång, filsystem är monterade och all nödvändig hårdvara är aktiverad. Om ModuleJail körs för tidigt finns risken att det svartlistar moduler som behövs senare.

Exempelvis kan det handla om moduler för:

extra lagringsenheter
nätverkskort
Wi-Fi
Bluetooth
ljud
grafikkort
specialiserade filsystem
backup- eller virtualiseringslösningar

På en skrivbordsdator eller laptop kan detta bli mer känsligt än på en server, eftersom hårdvaran ofta varierar mer. En användare kan ansluta USB-enheter, Bluetooth-tillbehör, externa skärmar eller dockningsstationer först senare.

Tre profiler för olika system

ModuleJail innehåller tre olika basprofiler.

Den konservativa standardprofilen är tänkt för servrar, både virtuella och fysiska. Den försöker bevara moduler som normalt kan behövas i en servermiljö, men blockerar sådant som bedöms vara onödigt.

Desktop-profilen är mer försiktig för vanliga arbetsstationer och bärbara datorer. Den sparar fler moduler för Wi-Fi, Bluetooth, ljud och video, eftersom sådant ofta behövs på en vanlig dator.

Minimal-profilen är den mest strikta. Den behåller i huvudsak kärnfunktioner, grundläggande filsystem och nödvändiga moduler. Den passar främst för mycket kontrollerade miljöer där man vet exakt vad systemet behöver.

Lokal vitlista för specialfall

Alla system är olika. Därför har ModuleJail stöd för en lokal vitlista i skriptet. Där kan administratören ange moduler som alltid ska bevaras, även om de inte råkar vara laddade när verktyget körs.

Det är användbart för moduler som bara behövs ibland. Det kan till exempel vara drivrutiner för backupmedia, tillfälliga nätverkslösningar, externa lagringsenheter eller särskilda filsystem.

Vitlistan är viktig eftersom ModuleJail annars utgår från en ganska enkel fråga: är modulen laddad just nu eller inte?

Det är både styrkan och svagheten i metoden. Den är enkel, begriplig och lätt att granska. Men den kräver också att administratören förstår sitt system.

Kan ge problem om det används fel

ModuleJail är inte ett verktyg man bör köra slentrianmässigt på vilken dator som helst utan eftertanke. Om fel moduler blockeras kan systemet tappa funktionalitet.

På en server kan det betyda att en viss lagringslösning, nätverksfunktion eller virtualiseringsfunktion slutar fungera efter omstart. På en laptop kan det innebära att Wi-Fi, ljud, Bluetooth eller externa enheter inte fungerar som väntat.

Återställning är också manuell. För att ta bort spärren behöver administratören radera blacklist-filen:

Därefter krävs normalt en omstart. Det går också att ladda enskilda moduler manuellt med modprobe under den aktuella sessionen, men efter omstart gäller blacklist-filen igen om den finns kvar.

Det gör att ModuleJail passar bäst för tekniskt kunniga användare och administratörer som vill härda system där funktionerna är välkända och stabila.

Testat på flera Linuxdistributioner

Enligt projektets uppgifter har ModuleJail testats på Ubuntu 24.04 LTS, Debian 13.4 och Rocky Linux 9.7 på riktiga system. Det har även testats i containerbaserade miljöer för Arch Linux, Alpine Linux och openSUSE Tumbleweed.

Det finns färdiga DEB- och RPM-paket för Debian/Ubuntu respektive RHEL/Fedora/Alma/Rocky-baserade system. Samtidigt är själva idén inte bunden till en specifik distribution, eftersom verktyget bygger på standardfunktioner i Linux och modprobe.

Ett enkelt men intressant säkerhetsgrepp

ModuleJail visar att säkerhet inte alltid handlar om avancerad AI, stora databaser eller komplicerade övervakningssystem. Ibland kan en relativt enkel metod ge praktisk nytta: ta reda på vad systemet faktiskt använder och blockera resten.

Det gör inte Linuxkärnan osårbar. Det ersätter inte säkerhetsuppdateringar. Det skyddar inte mot redan laddade sårbara moduler. Men det kan minska antalet möjliga vägar in för en angripare.

För servrar och andra kontrollerade Linuxmiljöer kan ModuleJail därför bli ett intressant komplement till traditionell säkerhetshärdning. Det är inte en universallösning, men det är ett tydligt exempel på en klassisk säkerhetsprincip: ju mindre som är exponerat, desto mindre finns det att angripa.

https://github.com/jnuyens/modulejail/

Teknisk faktaruta: ModuleJailVad är det?

  ModuleJail är ett Linux-härdningsverktyg som svartlistar oanvända kernelmoduler för att minska systemets angreppsyta.
Teknik:

  Ett POSIX-kompatibelt shellskript som analyserar laddade moduler och jämför dem med modulträdet under /lib/modules/$(uname -r).
Standardfil:

  Skapar normalt blacklist-filen /etc/modprobe.d/modulejail-blacklist.conf.
Metod:

  Oanvända moduler blockeras med install <modulnamn> /bin/true i en modprobe.d-kompatibel konfigurationsfil.
Profiler:

  Conservative, desktop och minimal – beroende på om systemet är server, arbetsstation eller strikt avgränsad miljö.
Begränsning:

  ModuleJail patchar inte sårbarheter och kontrollerar inte CVE-databaser. Det minskar endast möjligheten att ladda moduler som inte behövs.
Återställning:

  Ta bort /etc/modprobe.d/modulejail-blacklist.conf och starta om systemet.