最近两周，Linux 内核接连爆出 Copy Fail、Dirty Frag、Fragnesia 三个高危提权错误，通盘这个词社区王人在想看法堵错误

之前有东说念主提了个 Kernel Killswitch 的决策，当今又冒出来一个念念路近似但更轻量的用具——ModuleJail。

它到底干了啥？

说白了就一句话：把你系统里用不上的内核模块沿途拉黑，不给辗转者留后门。

咱们王人知说念，一个 Linux 系统里可能塞了几千个内核模块，但平常的确用到的可能就那么几十个。那些躺在硬盘里从来没加载过的模块，万一内部藏着提权错误呢？惟有能被加载，就也曾个定时炸弹

ModuleJail 的作念法很浮浅狡猾：扫描刻下已加载的模块，跟 /lib/modules 下的完整模块树作念比对，没用到的完全写进黑名单，以后别想自动加载

一个剧本惩处，不玩花活

通盘这个词用具等于一个 POSIX shell 剧本，莫得后台办事，莫得 CVE 库查询，莫得 AI 分析，也不打补丁、不检测错误。

它的逻辑就一条：你当今没在用的，我就给你禁了。

已加载的模块 → 保留

内置的基础必要模块 → 保留

管制员手动加白名单的 → 保留

❌ 其他沿途拉黑，写入 /etc/modprobe.d/modulejail-blacklist.conf

三种设置，按需采取

设置

符合谁

Conservative（默许）

办事器、杜撰机，HJC黄金城官方首页入口够用就行

Desktop

台式机札记本，非凡保留 Wi-Fi、蓝牙、音视频驱动

Minimal

极致精简，只留中枢文献系统和必要模块

管制员还能在剧本里成功裁剪白名单，把偶尔要用的模块单独保下来，生动性拉满 ✨

⚠️ 用之前一定要防御

这东西是一次性加固用具，不是后台看管进度。是以有个大前提：

必须等系统完全初始透露后再跑！ 通盘办事起来了、文献系统挂好了、该加载的驱动王人加载了，这时期再延长。

跑早了，可能把后头才需要的模块给误杀了，Wi-Fi 断了、存储挂了、网卡没了……别问我奈何知说念的

装起来也便捷

官方提供了 DEB 和 RPM 包，Ubuntu、Debian、RHEL、Fedora、Alma、Rocky 王人能成功装。实测肃清了 Ubuntu 24.04、Debian 13.4、Rocky Linux 9.7，Arch、Alpine、openSUSE Tumbleweed 也在容器里测过了

想回滚？手动来

删掉 /etc/modprobe.d/modulejail-blacklist.conf 重启就行，大概用 modprobe 单独把某个模块拉转头。不外重启后黑名单会自动奏效，除非你把文献删干净

最近内核错误一个接一个HJC黄金城官方首页入口，与其天天追着打补丁，不如换个念念路——少披露少许，就少一分风险。ModuleJail 这个用具天然不完好，但胜在浮浅成功，拿来给办事器收收辗转面，真实挺香