[sisyphus] custom kernels (was: XFS filesystem crash)

Пн Дек 22 16:14:29 MSK 2003

On Mon, Dec 22, 2003 at 02:12:29PM +0300, info wrote:
> > > Вообще, для серверов и тем более файрволлов монолитное ядро
> > > без модулей, IMHO, вообще должно быть аксиомой.
> > Слишком дорого.
> Что дорого? Выпускать дистрибутивы с набором монолитных ядер
> под разные виды железа? Согласен, это безумие.

Чистой воды.

> Но вот собрать свое монолитное ядро под свой сервер, а тем
> более файрволл - прямая обязанность админа. 

Повторюсь: без мотивации у меня такой админ помещается в очередь
за дверь.  Вот посмотрю, переучиваемый или нет...

> Я прикинул - у меня это занимает часа два в год... Может,
> четыре. Но зато у меня ни разу не было ситуаций наподобие той,
> которая тут недавно обсуждалась -  имеется в виду ветка
> [sisyphus] kernel-image-std-smp на 2.4.22-alt13

Хех.  Не верю, что не было ни разу более других ситуаций.

> Вопрос: на что тратится больше времени, на прогонку
> компилятором по отлизанному .config, или на возню вот с такими
> проблемами?

На решение проблемы в апстриме время по определению тратится
более эффективно.  ПОтому что потом достаточно взять то, что
считаешь good enough, и не парить репу.

Hint: что Вы делали с последним local root?  Правильно, тратили
время.  А шансов огрести грабли при этом что -- не было?

> > А я сейчас вообще зачастую склонен зачислять собирателей ядер
> > в пионеры, если они не могут внятно мотивировать
> > _необходимость_ использования рабочего времени на это.  
> Необходимость? Запросто. Например, безопасность. Я _абсолютно_
> уверен, что никто и никогда, ни на какой машине, не подгрузит
> какой-нибудь модуль, который я там не хочу видеть, и не
> запустит какой-нибудь сервис, которого быть не должно.

А я бы не был так уверен, пока есть возможность писать в
/dev/kmem; даже не читая bugtraq.  А админ, который в чем-то
_абсолютно_ уверен -- тоже, кстати, вызывает подозрения в
профпригодности, Вы уж не обессудьте. (сам такое прошел)

Это раз.

Два -- посмотрите пакет kernel-fix-security и убедитесь, что
_все_ патчи (в эквиваленте) у Вас приложены.  Иначе все эти
разговоры про секурити самосбора -- самодур.

И это ведь еще не все моменты, из-за которых building custom
kernels considered harmful в общем случае.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20031222/b6733999/attachment-0009.bin>