CentOS7 针对 Dirty Frag(CVE-2026-43284 / CVE-2026-43500)内核本地提权漏洞的主流缓解措施。
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf"
sudo rmmod esp4 esp6 rxrpc 2>/dev/null || true
执行完成后检查:
# 检查配置文件
cat /etc/modprobe.d/dirtyfrag.conf
# 检查模块是否已卸载
lsmod | grep -E '^(esp4|esp6|rxrpc)'
# 如果重启后仍想确认模块无法加载
sudo modprobe esp4 && echo "模块还能加载!" || echo "模块已被阻止加载"
注释:
esp4 / esp6 用于 IPsec(如 strongSwan、Libreswan、IPsec VPN)。
如果你的服务器在跑 IPsec VPN,不要执行此命令,否则 VPN 会断掉。
rxrpc 一般很少用到(主要用于 AFS 文件系统),禁用它通常无影响。
最后检查:
# 1. 确认所有三个模块都已被阻止
sudo modprobe esp6 2>&1 | grep -E "(ERROR|permitted)"
sudo modprobe rxrpc 2>&1 | grep -E "(ERROR|permitted)"
# 2. 设置开机自动生效(一般已经生效,但再确认一下)
sudo ls -l /etc/modprobe.d/dirtyfrag.conf
如果以后想取消防护(回滚),执行下面命令:
sudo rm -f /etc/modprobe.d/dirtyfrag.conf
sudo modprobe -r esp4 esp6 rxrpc 2>/dev/null || true
