Kernel-Module (sec-kernel)
Überwacht geladene Kernel-Module und den Kernel-Taint-Status. Erkennt neu geladene Module und ungewöhnliche Kernel-Zustände.
Konfiguration
| Parameter | Typ | Default | Beschreibung |
|---|---|---|---|
enabled | bool | true | Modul aktivieren/deaktivieren |
allowed_modules | list | [] | Erwartete Module (Baseline). Leer = automatische Baseline beim ersten Lauf. |
check_taint | bool | true | Kernel-Taint-Flags prüfen |
allowed_taint_modules | list | [] | Module, die den Taint-Status verursachen dürfen |
YAML-Beispiel
sec_kernel:
enabled: true
check_taint: true
allowed_taint_modules:
- "nvidia"
- "vboxdrv"Diagnose-Codes
| Code | Severity | Bedeutung | Empfehlung |
|---|---|---|---|
| 7500 | 0 | Keine Kernel-Auffälligkeiten | — |
| 7501 | 1 | Neues Kernel-Modul geladen | Modul verifizieren oder zur Baseline hinzufügen |
| 7502 | 1 | Kernel ist tainted | Taint-Quelle prüfen (proprietäre Module?) |
| 7503 | 0 | Modul kürzlich geladen (dmesg) | Informativ — modul prüfen |
Plattform-Unterstützung
- Linux: Liest
/proc/modules,/proc/sys/kernel/taintedunddmesg. - Windows: Nicht verfügbar (nur Linux).