Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"ModuleJail для блокировки неиспользуемых модулей ядра Linux"	+/–
Сообщение от opennews (?), 17-Май-26, 23:26
Джаспер Нюйенс (Jasper Nuyens), основатель организации Linux Belgium, создавший надстройку для использования Linux в информационной системе автомобилей Tesla, предложил простой способ снизить поверхность атаки на ядро Linux для снижения вероятности компрометации на фоне всплеска выявления  опасных уязвимостей при помощи AI. Так как многие уязвимости, как правило, находят в специфичных модулях ядра, доступных для автозагрузки, но обычно не применяемых большинством пользователей, Джаспер предложил по умолчанию блокировать неиспользуемые в текущей системе или в общем виде редко используемые модули... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65466
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Tron is Whistling (?), 17-Май-26, 23:26	+1 +/–
Самый лёгкий способ всерьёз снизить "поверхность атаки" - выдернуть кабель питания.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #15

2. Сообщение от dannyD (?), 17-Май-26, 23:27	+9 +/–
что только не делают чтоб своё ядро не собирать.
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 17-Май-26, 23:50	+1 +/–
Чего стоит немного подумать и забрать именно свои 50 копеек из этих предложенных нескольких сотен рублей. Ну это же элементарно, ага
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от НектоОткудаТо (?), 17-Май-26, 23:57	+2 +/–
Разумная заплатка широкого профиля. Но как-то странно, что реализована она только сейчас. А не лет 10-15 назад.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

7. Сообщение от Аноним (7), 18-Май-26, 00:02	–3 +/–
Вам просто не хватает квалификации увидетьдейственные методы. например спекулятивное выплнение косвенно можно отключить для защиты от уязвимостей в процессорах https://stackoverflow.com/questions/48360238/how-can-the-l1-.... Так же и тут я уверен возможно исхитрится и отключить всякие Кэши, возможно прийдётся редактировать исходный код. Да будут большие потери в производительнсти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8, #9

8. Сообщение от Аноним (7), 18-Май-26, 00:04	+/–
Кэши это зло. :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от Tron is Whistling (?), 18-Май-26, 00:08	+/–
Но проще, быстрее и надёжнее всё-таки выдернуть кабель питания. И ещё SSD в микроволновку, чтобы избежать оффлайн-атак. HDD в кислоту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11

10. Сообщение от Аноним (10), 18-Май-26, 00:14	+/–
Костыли-костылики
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (7), 18-Май-26, 00:21	–1 +/–
Проще и быстрее не покупать компьютер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #12

12. Сообщение от Tron is Whistling (?), 18-Май-26, 00:24	+/–
Купил - мучайся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #13

13. Сообщение от Аноним (7), 18-Май-26, 00:29	+/–
My Tron is not whistling yet.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

14. Сообщение от Аноним (14), 18-Май-26, 00:36	+1 +/–
Если на то пошло, то нужно пересматривать политику управления модулями в системе, а не костыли городить.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #21

15. Сообщение от Frestein (ok), 18-Май-26, 00:40	+1 +/–
ZealOS в продакшен
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

16. Сообщение от 1 (??), 18-Май-26, 00:45	+1 +/–
В чем прикол писАть на sh, внутри которого писАть на python?
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Аноним (17), 18-Май-26, 01:03	+/–
Что разумного то? Итак большинство пользователей, включая некоторых админов не скажут зачем нужен тот или иной модуль, а вы хотите чтобы они еще списки составили. Будет как с apparmor.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #18, #19

18. Сообщение от Аноним (18), 18-Май-26, 01:21	+/–
что значит некоторых? типа админ должен все тысячи модулей знать? может гдето в тибете и учат гуру навистывать пинги в модем, но большая часть тех тысяч это лютая экзотика аля ipx протокол который нафиг не нужен
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

19. Сообщение от НектоОткудаТо (?), 18-Май-26, 01:26	+/–
Я опираюсь на текст новости. Из него следует, что утомлённым админам ничего говорить не надо. А надо им один раз запустить скрипт. Который - цитата - "определяет список используемых в текущей системе модулей". Это лучше чем ничего и никого к рассказам не принуждает)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

20. Сообщение от НектоОткудаТо (?), 18-Май-26, 01:28    Скрыто ботом-модератором	+/–
А какой бы Вы видели такую пересмотренную политику?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

21. Сообщение от Аноним (18), 18-Май-26, 01:30	+/–
как? ну реально, есть полка на ней какието вещи, кто захотел подошел и взял, любое усложнение это очереди, задержки и негатив, вон микрософт пилит ядро "микро" и чета не особото получается - по функционалу так и остались в 2000х, а всякие рейды и вланы, реализованы настолько отвратно, что никто и не пользуется
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #22

22. Сообщение от Аноним (14), 18-Май-26, 02:01	+/–
> любое усложнение это очереди, задержки и негатив а какой-то васянский скрипт в системе вместо нормального конфига не усложнение?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема