Linux 内核曝高危漏洞：普通用户可窃取 Root 机密，社区推出 ModuleJail 防御新策

近日，Linux 内核被曝出一处潜伏长达六年的高危安全漏洞（CVE-2026-46333）。该漏洞允许本地非特权（普通）用户绕过权限限制，读取本应仅对 Root 用户开放的敏感文件，包括 SSH 主机密钥和影子密码文件（/etc/shadow）。目前，Linux 社区已发布修复补丁，同时一款名为 ModuleJail 的新型防御工具也引发了业界的广泛关注。

潜伏六年的“挖矿”漏洞
安全咨询公司 Qualys 于上周五在 oss-security 邮件列表中披露了这一漏洞。尽管官方代号为 CVE-2026-46333，但因其常被用于滥用 OpenSSH 的 ssh-keysign 辅助二进制文件，GitHub 上的演示漏洞利用代码将其命名为“ssh-keysign-pwn”。

该漏洞影响范围极广，波及 Linux 内核 5.10、5.15、6.1、6.6、6.12、6.18 以及 7.0 等多个长期支持（LTS）分支。这意味着，任何已登录受影响机器的攻击者，都有机会窃取 SSH 密钥、密码哈希或其他核心机密凭证，进而对基础设施造成连锁破坏。

值得注意的是，该漏洞的底层问题早在 2020 年 10 月就已被内核安全研究员 Jann Horn 发现并上报，但由于种种原因，直到今年 5 月才由 Linux 之父 Linus Torvalds 亲自提交修复补丁（commit 31e62c2），将修复逻辑描述为“稍微更合理的 get_dumpable() 逻辑”。

ModuleJail：自动化收缩攻击面
在补丁全面部署的过渡期，一款名为 ModuleJail 的防御性工具为系统加固提供了新思路。该工具由 Linux Belgium 创始人 Jasper Nuyens 推出，其核心理念是通过自动化脚本，将当前未使用的内核模块全部加入黑名单（blacklist），从而大幅收缩内核模块的攻击面。

Linux 内核虽然是单体架构，但具备高度的模块化特性。发行版厂商通常会将大量非核心组件（尤其是设备驱动）编译为可动态加载的模块。ModuleJail 通过扫描系统当前正在使用的模块，自动生成 modprobe.d 黑名单文件，阻止未使用的模块被加载。该工具无需后台守护进程，也不修改 initramfs，仅需运行一次即可生效。

虽然这种“一刀切”的加固方式更适合硬件配置固定的服务器环境，对于需要频繁插拔 USB 设备等硬件的笔记本电脑可能不够灵活，但其“最小化攻击面”的安全理念为服务器运维提供了极具价值的参考。

目前，受影响的 Linux 发行版（如 Ubuntu、Debian、RHEL 等）已陆续推出修复后的内核版本。安全专家建议系统管理员尽快升级内核，并可结合 ModuleJail 等工具对服务器进行纵深防御，以防范潜在的本地提权攻击。