Kernelkonfiguration

[[monk]]

Tach,

meiner einer sollte mal wieder einen neuen kernel kompillieren.

Ich habe mir vorgenommen gehabt einen Kernel speziell auf die Rootserver angepasste Konfiguration zu erstellen. (nachdem mein jetziger so aller schrott drin hat wie usb und was weiss ich für zeugs.)

Allerdings bin ich auch kein super-guru in sachen Kernel, weshalb ich nicht weiss ob ich evtl. nicht das ein oder andere übersehen hab =)

Nachdem evtl. mehrere solche fragwürdigen Probleme haben, würde ich den Vorschlag machen das man zusammen eine Root-Server optimierte Version bastelt.

Ganz nach dem OpenSource Prinzip.. jeder gibt sein Senf dazu und raus kommt was besseres als wie wenn jeder es für sich alleine macht.

Sicherlich ist eine Kernel Anpassung eher allgemein und für jeden einzelnen anderst. Jedoch sollte im Bereich Hardware-Anpassung letztendlich nur eine Konfiguration rauskommen.

Ich hab da schonmal was vorbereitet. Wer meine Idee gut findet und evtl. mitmachen will kann sich es ja mal anschauen.

http://www.michael-mangold.net/kernelconfig.htm

Ich könnte mir dann vorstellen falls meine Idee was wird, das man die fertige Kernel-Konfiguration in ein paar formaten zur verfügung stellt.
Wie z.b. für debian in .deb packages.

Feedback erwünscht.

[floschi]

Hi !

Finde ich ne gute Idee, hab' aber noch einen Link parat:

http://www.rootforum.org/forum/viewtopic.php?t=5809

Und irgendwo gab's da auch noch ne Diskussion dazu, find's aber grad nimmer...


Grüßle

Olfi ;)

[[monk]]

den link kannte ich noch nicht..
was ich bei meinem vorschlag integriert hab waren die zwei posts

http://www.rootforum.de/forum/viewtopic.php?t=5504 (die grsecurity konfig von dir genommen, da sie etwas besser war als meine *zugeb* )

und

http://www.rootforum.de/forum/viewtopic.php?t=5835

[captaincrunch]

Schau dir mal Treos Config an (dein letzter Link). Zum einen ist der Kernel, der dabei rauskommt schön schlank, zum zweiten sicherheitstachnisch sehr zu empfehlen, da er komplett auf Module verzichtet, und sich viele Rootkits so sehr schwer tun.

Brauchst du denn sonst noch spezielles Zeugs wie z.B. IPv6 ?

[[monk]]

Schau dir mal Treos Config an (dein letzter Link).
Brauchst du denn sonst noch spezielles Zeugs wie z.B. IPv6 ?

Ich persönlich brauch es nicht aber man sollte, etwas zukunftsorientiert denken, evtl. braucht man es in ein paar wochen.
Bzw. wenn man die Konfiguration veröffentlicht brauchen es bestimmt ein paar.

Ja Treos Konfiguration ist gut. (abgesehen von seiner kleinen warnmeldung)
http://www.rootforum.de/forum/viewtopic.php?t=6108


Nebenbei noch eine off-topic frage:
Funktioniert denn IPV6 schon richtig ? meines wissens nach sind doch noch gar nicht alle router umgestellt.

[oxygen]

Wenn du den Cryptofs Support einbauen willst, helf ich auch gerne.

[sascha]

Nebenbei noch eine off-topic frage:
Funktioniert denn IPV6 schon richtig ? meines wissens nach sind doch noch gar nicht alle router umgestellt.

IPv6 funzt ziemlich gut. Du kannst dir einen Tunnel samt Subnet von Schlund geben lassen (kostenlos). Infos dazu gibts in der 1&1 Server FAQ.

[bodo]

Ach ja, hab mir ja auch grade erst n Kernel kompiliert und bin bei meinen Recherchen auf folgende, recht Interessante Seite gestoßen.

http://www.linuxfibel.de/kconf.htm

Mit freundlichen Grüßen,
Bodo

[treo]

Ich persönlich brauch es nicht aber man sollte, etwas zukunftsorientiert denken, evtl. braucht man es in ein paar wochen.
Bzw. wenn man die Konfiguration veröffentlicht brauchen es bestimmt ein paar.

Ja Treos Konfiguration ist gut. (abgesehen von seiner kleinen warnmeldung)
http://www.rootforum.org/forum/viewtopic.php?t=6108

Hi,

ja... die Warnmeldung erscheint aber auch wenn ich den Standart stable (2.4.18 bf2) von Debian installiere... und soweit ich gelesen habe ist das kein echtes Problem... einige meinten sogar das der lilo Programmierer etwas sehr paranoide war... naja... der Server laeuft, von daher mach ich mir da erstmal weiter keine Sorgen.

CU Treo

[[monk]]

hab zwar in letzter zeit ne menge um die ohren aber bevor dieser Thread untergeht hab ich heut nacht um halb drei noch ne kernel-config erstellt.

was haltet ihr davon ?
http://www.michael-mangold.net/neueconfig.txt

beim ide chipsatz hatte ich mich ein paar mal "verdrückt"

Ist etwas anderst als Theos Konfiguration da meines erachtens ein paar Sachen nicht notwendig waren bzw. fehlten.

grsecurity hab ich auf medium gehauen da ich dann kein bock mehr hatte und meine augen nur noch ein kuscheliges kopfkissen sehen wollten =)

Cryptofs Support ist denke ich nicht sonderlich notwendig oder ?
IPV6 währe nicht schlecht wenn das im Kernel drin währe oder?

[captaincrunch]

Zuallererst mal : wozu dieses CONFIG_MATH_EMULATION=y ? Du brauchst schon lange keinen Coprozessor emulieren ...

CONFIG_BINFMT_AOUT=y kannst du auch als Modul nehmen und CONFIG_BINFMT_MISC=y eigentlich ganz weglassen.

CONFIG_PNP=y Wozu ?

Desweiteren kannst du mindestens die Hälfte der IDE-Treiber weglassen, schau's dir nochmal in Treos Config an.

CONFIG_UNIX98_PTY_COUNT=256 Brauchst du wirklich 256 virtuelle Terminals auf einmal ?

So, das war mal ein grober Blick, den ich drübergeworfen habe. Was mir noch auffällt : wozu aktivierst du Modulsupport, wenn du nicht eine Sache als Modul einbinden möchtest ?

[makmaster]

Ich schließe mich CaptainCrunch an. Das SCSI-Zeug kannst du allen deaktiveren, ebenso den FireWire-Support, Wireless LAN, IrDA, ISDN, Maus, Joystick, Radiokarten, Soundkarten und USB-Support.

MfG Markus

[[monk]]

Zuallererst mal : wozu dieses CONFIG_MATH_EMULATION=y ? Du brauchst schon lange keinen Coprozessor emulieren ...

ok wusste ich nicht

CONFIG_PNP=y Wozu ?

Weil Theo das auch so hatte :)

CONFIG_UNIX98_PTY_COUNT=256 Brauchst du wirklich 256 virtuelle Terminals auf einmal ?

<ironie>na klar</ironie>

So, das war mal ein grober Blick, den ich drübergeworfen habe. Was mir noch auffällt : wozu aktivierst du Modulsupport, wenn du nicht eine Sache als Modul einbinden möchtest ?

*mal kurz drüber flieg*
hmm was ist mit den modulen von iptables ? (von denen wie ich sehe gerade ein paar unnütz sind :oops: )

braucht man für die IPTables module eigentlich Modulsupport ? *grübel* *zweifel*
Generell wollt ich ja auch einen Kernel ohne Module. Wenn man für iptables kein modulsupport braucht hau ich das raus.


Was mir ab und zu bei Theos config aufgefallen ist das viele Werte nicht gesetzt wurden. Da aber ab und zu der default wert nicht passend ist wollte ich es passender machen. War scheinbar ein griff ins klo :roll:

z.B. Theos config:
# CONFIG_BLK_DEV_VIA82CXXX is not set
VIA82CXXX chipset support (CONFIG_BLK_DEV_VIA82CXXX) [N/y/?]
Default ist aber hier z.b. Nein. Haben die Rooties nicht ein VIA Chipsatz ?

Das SCSI-Zeug kannst du allen deaktiveren, ebenso den FireWire-Support, Wireless LAN, IrDA, ISDN, Maus, Joystick, Radiokarten, Soundkarten und USB-Support.

Ist bei der Konfiguration alles deaktiviert.


Ich werde die konfiguration nochmals überarbeiten. Diesmal nehm ich mir viel Zeit dafür und mach das nicht mehr in einer Nachtaktion

Danke das ihr dir die Konfiguration angeschaut habt

[oxygen]

Du kannst die notwendigen Teile von cryptofs ja als modul komplieren. Hier sind die Kernel Patches:

http://www.kernel.org/pub/linux/kernel/ ... 4.20.1.bz2
http://www.kernel.org/pub/linux/kernel/ ... 20.0.patch

Du musst dann aber die Ã?nderungen an Makefile von hand machen, weil sie sich mit grsecurity überschneiden. Steht dann in Makefile.rej. Folgende Module braucht man um eine verschlüsseltes Dateisystem zu erstellen:

loop, cryptoloop, cryptoapi, cipher-twofish.

Genaueres hier: http://www.kerneli.org/howto/index.php

zusätzlich braucht man noch: http://prdownloads.sourceforge.net/cryp ... m?download ist zwar für RedHat läuft aber Problemlos unter SuSE.
Im übringen muss man dazu die Festplatte nich neuparitionierten.

[captaincrunch]

Wozu Cryptofilesysteme ? Wozu dieser Aufwand ? Falls jemand illegales Zeug hosten möchte (was ich dir hiermit nicht unterstellen möchte, sollte derjenige das nicht gerade auf seinem Rootie tun ...

[wirsing]

Noch was: im Linux Magazin 01/2003 gab es zum Thema Sicherheit einige Artikel, im einzelnen zu

• -Systrace (http://www.citi.umich.edu/u/provos/systrace/)
  -NSA SELinux (http://www.nsa.gov/selinux/)
  -RSBAC (http://www.rsbac.org)
  -VServer (http://www.solucorp.qc.ca/miscprj/s_context.hc)

Bis auf SELinux habe ich da einen Kernel zusammengebastelt, FreeS/WAN (http://www.freeswan.org) ist auch mit drin.

Wer Interesse an den zusammengebastelten Sourcen hat, kann sich gerne per PN melden, eine .config für den Rootserver ist auch dabei.

[captaincrunch]

Bis auf SELinux habe ich da einen Kernel zusammengebastelt, FreeS/WAN (http://www.freeswan.org) ist auch mit drin.

Wenn's mal nur der Kernel wäre. Um das ganze richtig auskosten zu können, musst du auch etliche Policies erstellen, was nicht unbedint trivial ist ...