Um das Laden bösartiger oder unerwünschter Module zu verhindern, können wir sie auf die schwarze Liste setzen. Um zu verhindern, dass Kernel-Module während des Bootens geladen werden, muss der Modulname zur Blacklist-Datei hinzugefügt werden. Stellen Sie sicher, dass das Modul in /etc/modprobe.conf nicht zum Laden konfiguriert ist , /etc/modprobe.d/* , /etc/rc.modules , oder /etc/sysconfig/modules/* . Führen Sie dann die folgenden Befehle aus:
1. Erstellen Sie eine Datei in /etc/modprobe.d Verzeichnis und geben Sie ihm einen verwandten Namen (z. B. local-blacklist.conf). Um zu verhindern, dass ein Modul direkt geladen wird, können Sie die folgende Zeile zu einer für die Systemkonfiguration spezifischen Konfigurationsdatei hinzufügen, zum Beispiel /etc/modprobe.d/local-blacklist.conf:
# vi /etc/modprobe.d/local-blacklist.conf blacklist [module name]
Zum Beispiel, um das Kernel-Modul be2iscsi auf die schwarze Liste zu setzen , fügen Sie den folgenden Eintrag in der Datei /etc/modprobe.d/local-blacklist.conf.
hinzu
# vi /etc/modprobe.d/local-blacklist.conf blacklist be2iscsi
2. Dies verhindert nicht, dass ein Modul geladen wird, wenn es eine erforderliche oder optionale Abhängigkeit von einem anderen Modul ist. Einige Kernel-Module werden versuchen, optionale Module bei Bedarf zu laden.
Dies kann erreicht werden, indem die folgende Einstellung in /etc/modprobe.d/local-blacklist.conf konfiguriert wird:
# vi /etc/modprobe.d/local-blacklist.conf install [module name] /bin/false
Die obige Installationszeile bewirkt einfach, dass /bin/false ausgeführt wird, anstatt ein Modul zu installieren. Dasselbe kann durch die Verwendung von /bin/true.
erreicht werden3. Starten Sie den Server neu, damit die Änderungen wirksam werden.
# shutdown -r now
4. Wenn das Kernel-Modul Teil des initramfs (Boot-Konfiguration) ist, sollte das initramfs neu generiert werden. Booten Sie den betroffenen Kernel und führen Sie den folgenden Befehl aus, um das initramfs des betroffenen Kernels neu zu generieren.
# dracut -fHinweis :Es kann zu unerwarteten Nebeneffekten kommen, wenn ein Modul auf der schwarzen Liste steht, das für andere spezifische Hardware erforderlich ist. Stellen Sie also sicher, welches Modul Sie deaktivieren
Modul vorübergehend entfernen
Es ist möglich, jedes aktuell geladene Modul zu entfernen, indem Sie Folgendes ausführen:
# modprobe -r [module name]
Wenn das Modul nicht entladen werden kann. Ein Prozess oder ein anderes Modul verwendet das Modul möglicherweise noch, beenden Sie den Prozess und entladen Sie das Modul mit dem Modul, das entfernt wird.
Verifizieren Sie das Modul auf der schwarzen Liste
Um zu überprüfen, ob das Modul auf der schwarzen Liste steht, führen Sie den unten gezeigten Befehl aus.
# modprobe --showconfig | grep blacklist blacklist [module]Anfängerleitfaden zur Kernel-Modulkonfiguration in Linux