Kernel selbst bauen. Vorteile ?

[phil]

Hallo,

bisher bin ich immer mit Standard Kernel der Distribution ans Ziel gekommen und mußte nur für neuere Hardware einen eigenen Kernel kompilieren. Was ich jedesmal aus den Standard Sourcen gemacht habe.
Es gibt ja aber jede Menge Patches (alleine auf ftp.kernel.org im Verzeichnis People gibt es Unmengen). Einige sind für die Sicherheit gut, wie grSecurity. grSecurity ist leider aber auch der einzige Patch wo ich ne Doku zu gefunden habe, was sich ändert und für was das alles gut ist.

Wo erfährt man wozu die ganzen Patches gut sind ?

Ist ein selbst kompilierter Kernel schneller im Betrieb oder hat Vorteile, geringere Latenz oder ähnliches, die auf einem Rootserver von nutzen sind ?
Wenn ich nen eigenen Kernel kompilier und an Hardware nur einbinde was im Server wirklich drin ist, spar ich sicher beim Booten hier und da ne Sekunde was aber natürlich bei nem Rootserver irrelevant ist (gebootet wird nur einmal und dann hoffentlich so schnell nicht wieder).

Vielleicht habt ihr Links wo ich was zu dem Thema lesen kann.

Gruß von der Insel
Phil

[captaincrunch]

Ist ein selbst kompilierter Kernel schneller im Betrieb oder hat Vorteile, geringere Latenz oder ähnliches, die auf einem Rootserver von nutzen sind ?

Eine klare Beantwortung ist heir schlecht möglich, da zu viele Faktoren davon abhängen :

- welcher Patch wird eingesetzt
- wie ist der Kernel sonst konfiguriert
- usw.

Im normalen Betrieb wirst du alleine durch einen abgespeckten Kernel nicht viel merken, er verhält sich u.U. höchstens dann, wenn er an seine Leistungsgrenzen stößt ein wenig performanter.

Wenn ich nen eigenen Kernel kompilier und an Hardware nur einbinde was im Server wirklich drin ist, spar ich sicher beim Booten hier und da ne Sekunde was aber natürlich bei nem Rootserver irrelevant ist (gebootet wird nur einmal und dann hoffentlich so schnell nicht wieder).

Es geht dabei weniger um die unterstütze Hardware, sondern gerade um "unnötigen Ballast" wie z.B. ein hohe Anzahl maximal offener Konsolen.
Ich persönlich nutze auf meinem Rootie einen abgespeckten Standard-Debiankernel, der mit dem Debian-GRSecurity-Patch versehen worden ist, seit Mitte Oktober ohne jegliche Probleme.
Mittlerweile habe ich einen 2.4.20er-Kernel mit dem aktuellen GRSecurity-Patch versehen, und bin momentan dabei, den zu testen, bisher aber auch zu meiner vollsten Zufriedenheit.

Vielleicht habt ihr Links wo ich was zu dem Thema lesen kann.

Klar, hier ist die erste Anlaufstelle bei so etwas :
http://kernelnewbies.org/

Ansonsten im zugehörigen IRC-Channel #kernelnewbies, wo sich recht oft auch recht "bekannte" Leute rumtreiben.

[grinch]

ich bin zwar in der hinsicht nicht grade ein spezialist, aber ich kann ja mal meine erfahrung schildern ;)
ich hatte vor kurzem debian installiert.. mit dem damaligen standard kernel + gr security mit der standard config hat phpbb für die forenübersicht 0.2 sekunden gebraucht..
dann hab ich mir selber einen gebastelt der halt zu meinen bedürfnissen passt und jetzt sinds nur noch 0.12 sekunden

das merkt man zwar sowieso nicht, aber egal, hab den kernel wegen was anderes gebraucht, ist aber ein netter nebeneffekt ;)

[treo]

Hi,

ich habe mir meinen Kernel lokal auf nem Debian Testsystem gebaut, dann mit kpkg verpackt und auf dem meinem Puretec Rooti als Standartkernel installiert... das .deb Paket ist keine 850KB gross und alles laeuft sehr angenehm... ueber grsecurity hab ich nachgedacht und auch mal damit experimentiert, ich hab aber nicht wirklich verwendung dafuer (kein anderer kommt auf den Server)...

Treo

[kahler]

...kein anderer kommt auf den Server...

Bist du dir da sicher??
Der Patch ist ja zur Ã?berwachung von eventuellen Rootkits, die ja auch zum Beispiel über einen Bug in einer anderen Software, die auf deinem Server läuft, eingespielt werden können.
Du merkst dann den Einbruch nicht direkt, aber der Hacker/Cracker/Script-Kiddie hat sich damit ein Backdoor eingebaut, dass er vielleicht erst viel später nutzt.

[captaincrunch]

Er meinte IMHO damit, dass er der einzige "reguläre" User auf seinem Rootie ist ... ;)

[kahler]

Er meinte IMHO damit, dass er der einzige "reguläre" User auf seinem Rootie ist ... ;)

<Ironie>
Wieso dann überhaupt sich irgendwie um Sicherheit kümmern??
</Ironie>

[captaincrunch]

<Ironie>
Wieso dann überhaupt sich irgendwie um Sicherheit kümmern??
</Ironie>

Kidz : plz pay big big attention to the "irony"-tagz ... :lol:

Aber ich glaube, der Thread driftet hier ein wenig ab ... ;)

[treo]

Hi,

yo... fuer das was ich den server brauche ist er relativ sicher... root darf schonmal garnicht direkt drauf, wird nur ueber su verwendet...

Ich weis das grsec durchaus vorteile hat... nur momentan hab ich erstmal andere Probleme (ein gescheites Mailsystem bauen das wirklich das tut was ich will...)... der Server ist eh nur zum testen und fuer 3-4 Pages die ich nebenher hoste... auf einem Produktivsystem sieht das natuerlich wieder anders aus...

Treo