In der aktuellen c’t 01/2020 steht im Artikel „FAQ: Basics zum Linux-Kernel, Teil 5“ folgender Hinweis, wie man das Nachladen von Kernelmodulen im laufenden Betrieb verhindern kann:
Sie können die angesprochene Angriffsfläche schon ein gutes Stück reduzieren, indem Sie dem Kernel Ihrer Distribution das Nachladen von Modulen verbieten:
echo 1 > /proc/sys/kernel/modules_disabled
Diese Blockade können Sie im Betrieb nicht widerrufen, daher müssen Sie neu starten, um wieder Module laden zu können. Sie sollten den Befehl daher erst ausführen, wenn das System wirklich alle im Betrieb erforderlichen Kernel-Module geladen hat. Bei einer selbst gebauten Firewall und simplen Servern ist das oft schon am Ende des Boot-Prozesses der Fall, daher kann es dort ausreichen, den Befehl über die /etc/rc.d/rc.local auszuführen.
Möglicherweise sollte man vor dem Aktivieren der Modulladeblockade bei einigen Systemen im laufenden Betrieb, wenn alle Funktionalitäten schon mal genutzt wurden, mit einem lsmod nachsehen, ob beim Start möglicherweise noch nicht alle für den Betrieb des Systems erforderlichen Kernelmodule geladen wurden und diese dann mit einem modprobe vor dem echo Befehl laden.