Réduire sa surface d'attaque en 3 lignes

Si vous suivez moindrement les nouvelles côté cybersécurité, vous savez que le kernel Linux a un mois de mai difficile cette année. Plusieurs vulnérabilités permettant l'élévation de privilèges ont été trouvées et communiquées, obligeant les administrateurs systèmes à mettre à jour et redémarrer leurs serveurs rapidement.

Heureusement, quelqu'un a développé un script permettant de réduire, en quelques lignes, sa surface d'attaque au niveau du kernel. C'est un script Shell qui lit les modules de kernel actifs, compare avec ce qu'il y a d'installer et ajoute les modules non chargés dans une liste noire. Il est possible d'ajouter des modules à une liste blanche au cas où nous en aurions de besoin.

ModuleJail est donc un outil simple afin de diminuer votre surface d'attaque.

Voici comment l'exécuter automatiquement sur une distribution Linux basée RPM :

rpm -ivh https://github.com/jnuyens/modulejail/releases/download/v1.2.2/modulejail-1.2.2-1.noarch.rpm

rehash

modulejail -p minimal

Il y a 3 modes possibles pour le profile (-p), soit minimal, conservative (par défaut) et desktop.

Dans mon cas, la mise en place n'a pas eu d'effet négatifs. À valider sur le moyen terme!