Re: Kernel Server 'woody': consiglio

To: <debian-italian@lists.debian.org>
Subject: Re: Kernel Server 'woody': consiglio
From: "Claudio " sekko " P." <linux@roma2.infn.it>
Date: Sat, 30 Aug 2003 12:18:38 +0200 (CEST)
Message-id: <[🔎] 32897.213.156.54.135.1062238718.squirrel@webmail.roma2.infn.it>
In-reply-to: <[🔎] 02fc01c36e32$93af8680$2501a8c0@CQ1700>
References: <[🔎] 02fc01c36e32$93af8680$2501a8c0@CQ1700>

> Ho un server woody che uso nella lan per intranet (apache+mysql), mta
> (exim), filesharing e PDC (samba), installato con il kernel bf24
> (2.4.18) e sempre aggiornato con le patch di sicurezza deb. Ho 2 hd
> (40Gb+80Gb) ide formattati ext3 con i dati.
> Ho letto un po qui e un po la che è consigliato aggiornare il kernel
> almeno al 2.4.21...
> La mia domanda è: in un caso come il mio, in cui cerco principalmente
> sicurezza e stabilità, è conveniente installare un kernel diverso dal
> 2.4.18 (attualmente -woody4), essendo soddisfatti del sistema attuale,
> che è stabile e abbastanza performante? Sicuramente ricompilando un
> kernel (ovviamente debian-style), magari monolitico con i moduli
> necessari, migliorerebbe le perfomances... ma ho sempre seguito l'idea
> "se funziona bene, non toccare nulla".

Ciao,
ti presento il mio personale punto di vista.
Il kernel, che evidentemente è il cuore del Sistema, va toccato il meno
possibile una volta che ne hai trovato uno ben performante e molto stabile
con tutte le funzioni "essenziali" che ti servono.
L'unico motivo _reale_ per cambiare il kernel di un server che svolge bene
il proprio lavoro è solo "la sicurezza". Se esce un grave bug devi
verificare se il tuo sistema rischia qualcosa e, in caso affermativo,
effettuare l'aggiornamento. Se il bug è grave ma non è exploitabile sul
tuo server, allora tieni quello vecchio! Insomma: cambiare il kernel solo
se il "non cambiarlo" porta gravi rischi effettivi.
Detto questo, andiamo avanti! ;-)
Se proprio ne vuoi mettere uno nuovo, preparalo in modo da minimizzare le
probabilità di doverlo successivamente riaggiornare. Mi spiego meglio...
Un kernel monolitico, senza supporto per i moduli e initrd, senza supporto
per altro hardware che non sia quello presente nel server (e con qualche
patch di sicurezza), è l'ideale per un server. Io uso kernel monolitici
con xfs e grsecurity che, insieme ad un'opportuna "sistemazione" delle
partizioni, dei moduli PAM, dei limiti (/etc/security/limits.conf), di
iptables etc. etc. rendono il tutto "sufficientemente" sicuro e stabile.
Credo che la sicurezza non sia solo nel kernel, ovviamente, ma le basi le
metti sicuramente lì:

1. patch come grsecurity-2 (che cmq include anche l'ottimo PaX), ti
   permettono di blindare il sistema contro
     - buffer-overflow
     - uso eccessivo ed incontrollato di risorse
     - abuso di privilegi
2. L'uso di kernel monolitici di assicura contro root-kit

Nel complesso, già con queste 2 "minime" protezioni, hai tagliato fuori
buona parte dei rischi di sicurezza. Se poi ti vuoi far del male prova la
patch per il filesystem criptato! ;-P

  Ciao, Claudio

Reply to:

References:
- Kernel Server 'woody': consiglio
  - From: "Ezio Bonsi" <ebonsi@studydata.it>

Prev by Date: Re: Auto spedizione con pass.
Next by Date: Re: Errore mai visto facendo apt-get install
Previous by thread: Re: Kernel Server 'woody': consiglio
Next by thread: Fw: problemi con kppp [lungo]
Index(es):
- Date
- Thread