参考地址: cve-details
2.2 修复建议
(1)升级Linux内核版本修复漏洞。
(2)若暂时无法进行更新且业务不需要,可以通过阻止加载受影响的 netfilter (nf_tables) 内核模块来缓解。
解决方式
How do I prevent a kernel module from loading automatically? - Red Hat Customer Portal
(3)如果无法禁用该模块,可在非容器化部署中,对用户命名空间进行限制。
本文主要是通过第3种方式缓解漏洞攻击
如果不能禁用该模块,且是非容器化部署,则禁用其命名空间
bash
echo "user.max_user_namespaces=0" > /etc/sysctl.d/userns.conf
sysctl -p /etc/sysctl.d/userns.conf