Vlákno názorů k článku
ModuleJail zakáže nepoužívané moduly kvůli bezpečnosti od Michal Šmucr - No vida, zrovna minulý týden jsem o něčem...

No vida, zrovna minulý týden jsem o něčem podobném přemýšlel.

Ano jde k tomu přistoupit tak, jak tu myslím nedávno zmiňoval Wasper, který si pořád sestavuje vlastní jádra. Což určitě zmenšuje attack surface, ale je to v mnoha situacích obtížně realizovatelné. Resp. za mě se to vyplatí jen pro specifická použití (firewally, embedded), pár osobních strojů nebo naopak zas situace třeba s velkou flotilou identických serverů, co mají jasný účel a stejné použití. Takže se dá odůvodnit ta časová investice, kdy se tomu bude někdo trvale věnovat, automatizovat sestavování, balíčkování, podepisování... testovat to atd.

Blokování modulů a používání distribučních jader mi přijde mnohem schůdnější cesta pro většinu uživatelů, co to chtějí případně proaktivně řešit nad rámec normálních aktualizací.
A sice ano, už dlouho existují hardening nástroje, co s blokovaním částečně pomáhají.. (např. parsovat výstupy s Lynisu apod., vytvořit stuby pro vkládání do sysctl.conf a modprobe.conf), nebo jsou veřejně spravované a dostupné nějaké hardening role do Ansible.. ale to všechno to funguje spíš obráceně. Blokuje a vypíná to známe problematické věci a fíčury.
Naopak tohle by dynamicky udělalo blokování všeho, co není na whitelistu nebo aktivně používané.
Ale samozřejmě i v tomhle případě to nemusí být vždy úplně přímočaré a také s tím může být poměrně dost práce (byť pořád řádově míň v porovnání s těmi vlastními jádry).

Pokud vite presne jaky hw mate v pocitaci.
Ja to snad nekdy uz od amd k6-3 ci dejme tomu sempron fakt uplne nevim.
Jaky mate I2C/SPI cip pro data ze senzoru? Ktery radic disku vc varianty? Ktery quirk patch je treba aby vam spravne fungoval power management?

19. 5. 2026, 12:37 editováno autorem komentáře