kernel source fuer 1und1 rootserver kernel

[perler]

hi,

ich hab mir einen XL64 rootserver von 1und1 auf debian 4 upgegradet (von einer 3.1er reinitialisierung), was wunderbar funktioniert.

allerdings scheint dem vom 1und1 kompilierten kernel (hier: kernel-image-2.6.16.33-061227b) ein oder mehrere iptables/netfilter module zu fehlen. shorewall startet nicht wegen:

iptables: No chain/target/match by that name

was allgemein auf fehlende module geschoben wird.

zwei fragen:

1) kann ich herausbekommen, welche module eincompiliert wurden und welche nicht?

2) ich recompiliere den kernel ja gerne, wuerde aber gerne von der 1und1-kernel config ausgehen. allerdings fehlt die 1und1 source in den repositories. hat jemand eine ftp-site wo die sourcen und patches draufliegen, speziell die .config?

PAT

[Roger Wilco]

1) kann ich herausbekommen, welche module eincompiliert wurden und welche nicht?

/proc/config.gz oder /boot/config-`uname -r`.

2) ich recompiliere den kernel ja gerne, wuerde aber gerne von der 1und1-kernel config ausgehen. allerdings fehlt die 1und1 source in den repositories. hat jemand eine ftp-site wo die sourcen und patches draufliegen, speziell die .config?

Das ist ein normaler Vanilla-Kernel, der sich mit der Konfiguration (siehe 1) nachbauen lässt. Quellen gibts auf kernel.org.

Die Hardware wird von dem in Etch enthaltenen Kernel unterstützt, du könntest also auch einfach den von deiner Distribution angebotenen Kernel benutzen.

[dtdesign]

1&1 hat netfilter nicht mit in den Kernel gepackt, musst dir einen neuen Kernel besorgen, entweder einen von Debian oder selber backen.

Gruß
dtdesign

[perler]

alles klar, hatte die gleichen erkentnisse mittlerweile auch bekommen (die benachrichtigungen wenn antwort im thread kommen bei mir irgendwie nicht an).

ah.. kernelkompilieren, ewig nicht gemacht aber doch wieder eine freude. ich kompiliere grad einen 2.6.22er bestehend auf der 1&1 config fuer den 2.6.16er + netfilter wie hier http://www.shorewall.net/kernel.htm als debian package, wenn erfolgreich stelle ich den gerne irgendwohin..

PAT

[perler]

so, hier ist erst mal ein lauffaehiger kernel samt headers als debian paket (etch, 2.6.22):

http://patsplanet.com/static/rootforum

der kernel laeuft auf den xl64 1und1 servern, hoffen wir mal, die sind alle gleich, meiner hat nvidia sata, was das wichtigste ist damit der kernel laeuft.

mit dem kernel laeuft shorewall, aber ich musste die grsecurity patches raushauen, da es die nur bis 2.6.19 gibt und es ausgerchnet dafuer keine sourcen unter etch gibt. gibts eigentlich alternativen zu grsec?

PAT

[Joe User]

aber ich musste die grsecurity patches raushauen, da es die nur bis 2.6.19 gibt

Es gibt sie auch für 2.6.21.5, sofern man nicht auf "stable" pocht: http://www.grsecurity.net/test.php

[perler]

so, ich habe die debian pakete noch mal upgedatet, 1und1 hatte aus ihrer kernelconfig sinnloserweise viele sachen rausgeschmissen, die jetzt alle funktionieren sollten, wie:

shorewall
ipsec
diverse ssl algorithmen

wie gesagt http://patsplanet.com/static/rootforum/

[daemotron]

gibts eigentlich alternativen zu grsec?

Ja, z. B. RSBAC. Ist allerdings noch um einiges umfangreicher und komplexer als grsecurity...

[perler]

in diesem zusammenhang, ich habe fuer meinen alten 1&1 rootserver (celeron irgendwas, lief damals unter dem namen ps2004) einen fast gleichen kernel compiliert um auch dort ipsec zu haben. ich habe nun nach diesem howto http://www.shorewall.net/IPSEC-2.6.html angefangen das ganze zu testen. mit identischer konfiguration startet auf dem xl64 shorewall klaglos, auf dem ps2004 server bekomme ich:

Code: Select all

Determining Zones...
   ERROR: Your kernel and/or iptables does not support policy match
/sbin/shorewall: line 783: 10832 Terminated              $SHOREWALL_SHELL ${SHAREDIR}/compiler $deb
ugging $nolock compile ${VARDIR}/.restart

was lauthttp://www.shorewall.net/3.0/ErrorMessages.html besagt:

ERROR: Your kernel and/or iptables does not support policy match

You have defined a zone of type ipsec in /etc/shorewall/zones or have specified the ipsec option in an /etc/shorewall/hosts record but your kernel and/or iptables don't include policy match support -- see this article for details.

die kernel .configs sind bis auf ein bissel hardwarekram nahezu identisch:

http://patsplanet.com/static/rootforum/ ... _gehtnicht, auch shorewall, iptables und net-tools haben auf beiden servern die gleiche version.

sieht jemand den fehler?

[perler]

ah.. kleine ursache, grosse wirkung:

CONFIG_KMOD=y

war auf dem server auf dem shorewall nicht starten wollte nicht gesetzt, womit die als module compilierten IPSEC komponenten nicht automatisch geladen wurden..

PAT

[mor4euz]

nach diesem beitrag traue ich mich nicht mehr auf debian zu wechseln :D
ich überfodere mich eh schon genug hrhr
geht das überhaupt bei einem vserver von 1und1?

[Joe User]

geht das überhaupt bei einem vserver

Nein.