[mightythor]

juhtusin mingit artiklit lugema, kus tutvustas natuke Linux'i kerneli kompileerimist ja ühe positiivse argumendina oli seal välja toodud täiendav turvalisus. Kuidas see avaldub? Või mõeldi seda, et peale installeerimist on kernelist leitud mingi turvaauk ja uuemal kerneli versioonil on see paigatud? Kui jah, siis milleks update teenus Linuxis on..

Lisaks veel seda, et kas ise kompileeritud kernel lisab masinale töökindlust?

[Andrus Luht]

Ehee.... Ilmselt vihje ikka sellele, et mida masinapärasem kernel, seda vähem kõrvalist ballasti ja seda suurema tõenäosusega pole sul muu ballastiga kaasas ka nn. kompromiteerunud koodi. Töökindlusega on nii, et kehvemaks see kindlasti ei lähe kui kõik vajaliku valmis kompileerid. Kiiremaks läheb aga kindlasti kui vajalik kama on kernelis ja mitte moodulina ning muud kama kernelisse kompileeritud pole (moodulite laadimine keelatuks!). Enivei, kerneli turvaauke keegi üle neti niisama ära kasutada ei saa. Selleks peab olema kas shell konto või siis peab see kerneli turvaauk avalduma läbi mõne avaliku teenuse, mida see server pakub.

[mightythor]

[Andrus Luht]

[kaabakas]

Myghty mõtleb ilmselt linuxit kui ipodi firmwaret? Minu teada on linuska kernel porditud enamvähem kõigele, mis liigub, ja ka muule. Jämedalt öeldes on iga arhitektuuri jaoks kernelil oma haru, mis arvestab vastava spetsiifikaga. Sealt edasi on küsimus ainult draiverites.

[no9]

[Supiplex]

No nii läbiuuritud haru puhul nagu PC pole kerneli kompileerimisel turvalisusega eriti midagi pistmist. Või noh - kui sa suudad iptables toe välja unustada, siis ehk tõesti. Värske kernel peab olema, seda küll. A viimane korralik root exploit avastati miski 3-4 aasta eest, no kamoon.

Turvaprobleemid algavad ikka teenustest, mitte kernelist.

Pakikernelite töökiiruse pärast ma eriti ei muretseks. Pigem on tõenäosus kiirust vähendada, kui sa konffides midagi valesti teed.

Aga eelnev jutt ei olnud mõeldud selleks, et peletada sind ise kompileerimise juurest eemale. Lase käia. Tavaliselt on see healoomuline kogemus. Eriti, kui su enda keeratud kernel jookseb kah

[hr.john]

[marqs]

[Andrus Luht]

[note1]

Kui oled oma kernelit masinapärasemaks teinud, siis on ta ka kasutajasõbralikum. Ehk siis töötavad need, mis vaja.
Kuid tänapäeval on võimsad arvutid ning generetic kernel ei sega masina jõudlust. Viimased kernelid on kõik turvalisemad.

[veiho]

[MaXakas]

[veiho]

[marqs]

Monoliitset tuuma peetakse ilmsel LKM vigurite pärast kindalamaks. Aga kui keegi juba nii sügavale jõudnud, et omi mooduleid laadida saab, aitab see ühes tükis olev kernel ehk vaid rünnet kiiremini tuvastada.

[veiho]

[Andrus Luht]

[kaabakas]

Ega asi polegi konkreetses exploidis, vaid ikka põhimõttes. Kuna sa ei tea ründe tüüpi ette, ei oma ka turva planeerimisel tähtsust, kuidas paha moodul kernelisse saab või milleks ta mõeludud on. Oluline on, et oled tõmmanud jälle ühe kihi ründaja ning masina vahele. Turva pole ju mingi boolean tüüpi nähtus, et on või pole, vaid sibul, mida sina ehitad ja kuripaha koorima peab.

[mightythor]

aga kas kiiruse võit ise kompileerides tuleb Fragmentation penalty arvelt? Kuigi see tundub natuke imelik, sest kui kernel niikuinii RAM'i laetakse, siis võtavad pöördumised erinevate mälupesade poole ju ühe ja sama palju aega

[Dogbert]

Niipalju kui mina kunagi ammu sellest aru sain, tuleb bootimisaja lühenemine sellelt, kui oma olemasolevate seadmete töötamiseks vajalikud kerneli moodulid kompileerid kernelisse sisse, mitte ei jäta eraldi laetavateks mooduliteks, ebavajalikud moodulid aga jätad üldse kompileerimata ning moodulid, mida võib ajuti vaja minna, jätad laetavateks mooduliteks. Kernel jääb enamasti sel juhul mahult väiksem ning näiteks masina bootimise aeg peaks moodulite laadimisele kulunud aja arvelt kiirenema.
Ja kui spetsid väidavad, et Fragmentation penalty mängib siin oma osa, siis peaks ka see vähenema ning selle arvelt jõudlus paranema.
Samuti saad universaalse, suvalisele x86 protsessoril töötava kerneli asemel kompileerida just enda masina protsessorile optimeeritud kerneli, mis maksimaalselt selle ressurssi ja võimalusi kasutada oskab - see võib süsteemi tööd kiirendada. Kui jätad kernelist välja süsteemid, mida sa ei vaja, kuid mis standardse kerneli puhul pidevalt millegagi tegelevad, siis ka selle arvelt võidad nii protsessori töötsükleid kui mälumahtu. Kõige labasem näide - jätad serveril kompileerimata kogu audiosüsteemi. Jätad lihtsal tööjaamal kerneli võrguosast välja ruutimiseks vajalikud osad jne.
Standardses kernelis on tohutu hulk mooduleid, mida tavalisel serveril või tavalisel tööjaamal mitte kunagi vaja ei lähe.

[ipp]

[mightythor]

[ipp]

[HacaX]

Ei oma *NIXist kõige elementaarsematki ettekujutust, aga huvi pärast pakuks: kas laetavatel moodulite puhul APIt vms interface´i ei ole läbi mille kogu ülejäänud kood nendega suhtleb, mis aga otse kernelisse kompileerides olemata jääb? Ehk siis progemist illustreerimiseks kasutades: kutsutavate funktsioonide/protseduuride asemel ports makrosid?

[Andrus Luht]

ilma laetavate moodulite toega ehk monoliitne tuum on raudselt kiirem kui modulaarne. Iseasi, kas tänapäevaste kiirete prosedega sa sellest vahest aru saad...