Updaten des Linux Kernels auf 2.4.20 mit IPv6 und grsecurity

[sascha]

Dieses Howto ist mittlerweile veraltet! Für Debian Systeme gibts hier Ersatz.

-----------------------------------------------------------------------------
Updaten des Linux Kernels auf Version 2.4.20 mit IPv6 und grsecurity

Dieser Kernel kann zur Zeit ausschlie�?lich auf den "alten" 1&1 Root-Servern (Celeron bzw. P3 und SD-Ram) eingesetzt werden. Bei den neueren (P4 und DDR-Ram) wird eine onboard Netzwerkkarte von Via verwendet für die keine Unterstützung im Kernel eingebaut ist! Prüft im Zweifelsfall mit lspci -v nach!

Vorbereitungen:

Beim Entpacken werden folgende Dateien bzw. Verzeichnise erstellt und sollten daher vorher umbenannt werden falls sie schon vorhanden sind:

/boot/vmlinuz-2.4.20-grsec
/boot/System.map-2.4.20-grsec
/boot/config-2.4.20-grsec
/lib/modules/2.4.20-grsec

Downloaden und entpacken des Pakets

Code: Select all

# wget http://217.160.92.19/~rootforum/kernel/2.4.20/kernel-2.4.20-ipv6-grsec1.1.tar.gz
# tar xzvf kernel-2.4.20-ipv6-grsec1.1.tar.gz -C /

Hier könnten Fehlermeldungen (No such file or directory) kommen:

Code: Select all

# mv /boot/vmlinuz /boot/vmlinuz.old
# mv /boot/System.map /boot/System.map.old

Symlinks anlegen:

Code: Select all

# ln -s /boot/vmlinuz-2.4.20-grsec /boot/vmlinuz
# ln -s /boot/System.map-2.4.20-grsec /boot/System.map

/etc/lilo.conf überprüfen

So sollte sie aussehen:

Code: Select all

# LILO configuration file
# Start LILO global Section

boot=/dev/hda

vga = normal    # force sane state

read-only
prompt
timeout=1

# End LILO global Section

image = /boot/vmlinuz
 root = /dev/hda3
label = linux

Zum Schluss noch lilo aufrufen damit der neue Kernel auch gebootet werden kann ;-)

Code: Select all

# lilo
Added linux *

Server rebooten und beten :)

Code: Select all

# shutdown -r now

[Matthias Diehl]

Hi Sascha !

Danke !!!!
Hat super geklappt bei 1&1 und S4F

[sascha]

Bei S4F??? Verbauen die neuerdings Realtek Netzwerkkarten und Mainboards mit VIA Chipset?

Um es deutlich zu sagen: Dieser Kernel wurde nur auf einem 1&1 Root-Server L getestet!

[Matthias Diehl]

Ich weiss, ich hatte Deine Warnung gelesen und vorher mal gecheckt.
Der hat eine onboard-Karte mit Realtek Chipsatz und on board VGA und es läuft

[toolfish]

Kleine Frage... was bringt das? Sollte das ein normaler Root machen?

[kase]

Security Patches sind immer gut, IPv6 ist für den "normalen" Root User nicht unbedingt ein Muss.

[floschi]

Kleine Frage... was bringt das? Sollte das ein normaler Root machen?

Das geht bei deinem VServer gar nicht ;)

[sascha]

Hi,

es gibt jetzt eine neue Version des Kernels mit einem weniger restriktiv konfigurierten grsecurity Patch da es mit dem alten beim kompilieren von mancher Software (OpenSSL, Kernel) zu Problemem kam.

HowTo wurde aktualisiert.

[Matthias Diehl]

Kleiner Fehler in der Howto:

Code: Select all

# tar xzvf kernel-2.4.20-ipv6-grsec1.1.tar.gz -C /

sollte wohl besser heissen

Code: Select all

# tar xzvf kernel-2.4.20-ipv6-grsec1.1.tar.gz -C /boot

[sascha]

Danke, der Befehl im HowTo ist ansich korrekt, nur habe ich beim einpacken nicht den vollen Pfad zum Kernel und der System.map angegeben. Jetzt stimmt wieder alles!

[Anonymous]

Kann ich auch den Vorgang über den Rescue-Modus rückgängig machen, falls was schief läuft?

[Anonymous]

Super, hat alles geklappt. Danke!

[maui]

hmmm..leider ist der kernel down... ich hätte ihn gern auf meinem starter installiert

[grinch]

ganz schön alt der thread.. aber ich möchte ihn grad ma für einen vorschlag nutzen.. wie wärs denn mal mit nem schönen tutorial wie man selber kernels "backen" kann. irgendwie gibts dazu hier fast noch keine anleitungen.. nur schon vorgefertigte kernel oder kleine patches. ich habe aber shcon oft gehört, dass man am kernel so viel optimieren kann.
ich bin zwar sehr experimentier freudig aber es würde mir trotzdem viel bedeuten, wenns dafür so ein schritt für schritt tutorial gäbe. dabei muss ja nicht alles haarklein beschrieben sein, aber so die groben schritte, wie man das dann alles anpasst ist einem ja sowieso selber überlassen, wobei ein paar tips nicht unbedingt fehl am platze wären :)
tia
grinch
ps: ja meine shifttaste ist kaputt ;)

[maui]

jepp. genau meine rede...nicht das ein "anfänger" aus versehen zum beispiel den quota support (den confixx ja gerne hätte) deaktiviert o.ä

ich hab zwar schon einen kernel kompiliert (zuhause)...bei meinem rootserver wär ich da vorsichtiger

[captaincrunch]

ganz schön alt der thread.. aber ich möchte ihn grad ma für einen vorschlag nutzen.. wie wärs denn mal mit nem schönen tutorial wie man selber kernels "backen" kann. irgendwie gibts dazu hier fast noch keine anleitungen.. nur schon vorgefertigte kernel oder kleine patches. ich habe aber shcon oft gehört, dass man am kernel so viel optimieren kann.

Dann kann ich dir vollmundig ankündigen, dass genau das für's http://www.debianhowto.de in Planung ist. Einen Anfang habe ich schon, kann aber nicht genau sagen, wann genau das ganze fertig sein wird.

[grinch]

also das fände ich super..
vor allem weil ich dank dem debianhowto auch schon ein debian rennen hab :)
also dann, ich hoffe, dass das dann auf ähnlich hohem niveau wie das jetzige howto sein wird und warte geduldig darauf.

mfg
grinch

[maui]

mhmm....wird es da dann aber nicht auch debianspezielle einstellungen geben (falles es für debian relevante einstellungen gibt) die auf suse 8.1 (das ja auf fast allen neueren root-server drauf ist) nicht anwendbar sind..

ich hab heute meine daten für meinen ipv6 tunnel von schlund bekommen. ich würd ihn gern bald einsetzen

[grinch]

hm.. also es würde mich schwer wundern, wenn suse in der v8.1 nicht schon ipv6 support integriert hätte. ist schliesslich schon ein recht neues system das ipv6 eigentlich schon von haus aus unterstützen sollte. probiers doch einfach mal aus

[captaincrunch]

also dann, ich hoffe, dass das dann auf ähnlich hohem niveau wie das jetzige howto sein wird und warte geduldig darauf.

Es wird halt ein weiterer Teil des "Gesamthowtos" ... und traust du uns etwa nicht zu, dass wir das Niveau halten können ??? ;)

mhmm....wird es da dann aber nicht auch debianspezielle einstellungen geben (falles es für debian relevante einstellungen gibt) die auf suse 8.1 (das ja auf fast allen neueren root-server drauf ist) nicht anwendbar sind..

In dem Fall ist es eher umgekehrt : Die SuSE-Kernelsourcen sind gegenüber den Debian-Sourcen ziemlich gepatcht, daher wirst du unter SuSE wahrscheinlich eher noch die eine oder andere Option zusätzlich angeben können.

Der größte Unterschied besteht darin, dass SuSE "schon" standardmäßig den 2.4.20er-Kernel nutzt, was aber von den Einstellungen her keinen großen Unterschied macht, die Hardware ist schließlich die selbe.

Im großen und ganzen soll der Text aber so portable wie möglich sein, also durchaus auch für SuSE-Systeme nutzbar.

[grinch]

also dann, ich hoffe, dass das dann auf ähnlich hohem niveau wie das jetzige howto sein wird und warte geduldig darauf.

Es wird halt ein weiterer Teil des "Gesamthowtos" ... und traust du uns etwa nicht zu, dass wir das Niveau halten können ??? ;)

ich wollte damit nur andeuten, dass ihr schon auf einem sehr hohen niveau seid (das vielleicht kaum zu toppen ist!?) :D

[maui]

aufgrund dieser ausgabe:
ioctl: No such device
SIOCGIFFLAGS: No such device
Cannot find device "v6schlund"
Cannot find device "v6schlund"
SIOCSIFMTU: No such device

denke ich das ipv6 wohl doch fehlt

[captaincrunch]

denke ich das ipv6 wohl doch fehlt

Schon mal ein grep ipv6 /var/log/boot.msg gemacht, oder noch besser, die Datei mal nach Einträgen in Punkto IPv6 durchsucht ?
Wenn das fest im Kernel einkompiliert ist, steht darüber etwas da drin, falls nicht, könntest du vorher mal ein modprobe ipv6 probieren.

[maui]

meine vermutungen bestätigen sich...kein ipv6
ich bereite mir gerade einen kernel vor :(

[maui]

puhhh.....leichter als gedacht
nund hab ich endlich meinen wunschkernel (etwa..ohne isa support)
aber dafür mit ipv6

und das beste ist....: ES LÃ?UFT !