[sisyphus] custom kernels (was: XFS filesystem crash)
Michael Shigorin
=?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Пн Дек 22 16:14:29 MSK 2003
On Mon, Dec 22, 2003 at 02:12:29PM +0300, info wrote:
> > > Вообще, для серверов и тем более файрволлов монолитное ядро
> > > без модулей, IMHO, вообще должно быть аксиомой.
> > Слишком дорого.
> Что дорого? Выпускать дистрибутивы с набором монолитных ядер
> под разные виды железа? Согласен, это безумие.
Чистой воды.
> Но вот собрать свое монолитное ядро под свой сервер, а тем
> более файрволл - прямая обязанность админа.
Повторюсь: без мотивации у меня такой админ помещается в очередь
за дверь. Вот посмотрю, переучиваемый или нет...
> Я прикинул - у меня это занимает часа два в год... Может,
> четыре. Но зато у меня ни разу не было ситуаций наподобие той,
> которая тут недавно обсуждалась - имеется в виду ветка
> [sisyphus] kernel-image-std-smp на 2.4.22-alt13
Хех. Не верю, что не было ни разу более других ситуаций.
> Вопрос: на что тратится больше времени, на прогонку
> компилятором по отлизанному .config, или на возню вот с такими
> проблемами?
На решение проблемы в апстриме время по определению тратится
более эффективно. ПОтому что потом достаточно взять то, что
считаешь good enough, и не парить репу.
Hint: что Вы делали с последним local root? Правильно, тратили
время. А шансов огрести грабли при этом что -- не было?
> > А я сейчас вообще зачастую склонен зачислять собирателей ядер
> > в пионеры, если они не могут внятно мотивировать
> > _необходимость_ использования рабочего времени на это.
> Необходимость? Запросто. Например, безопасность. Я _абсолютно_
> уверен, что никто и никогда, ни на какой машине, не подгрузит
> какой-нибудь модуль, который я там не хочу видеть, и не
> запустит какой-нибудь сервис, которого быть не должно.
А я бы не был так уверен, пока есть возможность писать в
/dev/kmem; даже не читая bugtraq. А админ, который в чем-то
_абсолютно_ уверен -- тоже, кстати, вызывает подозрения в
профпригодности, Вы уж не обессудьте. (сам такое прошел)
Это раз.
Два -- посмотрите пакет kernel-fix-security и убедитесь, что
_все_ патчи (в эквиваленте) у Вас приложены. Иначе все эти
разговоры про секурити самосбора -- самодур.
И это ведь еще не все моменты, из-за которых building custom
kernels considered harmful в общем случае.
--
---- WBR, Michael Shigorin <mike на altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20031222/b6733999/attachment-0009.bin>
Подробная информация о списке рассылки Sisyphus