Forum Clubic

Compilation du kernel linux pour un serveur

Bonjour,

Je viens de louer pour mon année en France un serveur core i7 avec linux. Comme j’ai choisi de prendre linux, je me suis dit autant compiler le noyau. Je sais compiler le noyau et choisir les options pour le sécurisé par example mais je ne me souviens pas, s’il y a des options a bien choisir pour apache ou pour MYSQL ?
Et autre question, je voudrais compiler avec le ICC (le compilateur d’intel) à la place de gcc. Quelqu’un à déjà réussi avec le dernier noyau stable ?

Merci d’avance.

M@sh@

Après des années de bidouilles et compil perso, je procède en général comme suit:

  • j’installe une distrib
  • je récupère le fichier config dans /boot
  • je compile mon noyau après un make oldconfig
  • voili …

Y’en a peu être qui courent encore après hypothétiques perf supérieures avec un noyau “custom” …

Le serveur n’est pas chez moi, il est dans un datacenter. Donc jamais j’irais le voir :sweet: :sweet: Alors pourquoi avoir un noyau modulaire puisque je ne vais jamais ajouter une carte graphique ou changer une carte son? Mon serveur sera le meme jusqu’à la fin de mon abonnement. Rien que pour cela, il vaut mieux recompiler son noyau.

Ca sert pas a grand chose de recompiler ton noyau… surtout pour un serveur web… :neutre:
J’administre des serveurs web en extra. Envoie moi un MP si tu veux.

“Rien que pour cela, il vaut mieux recompiler son noyau”
pour quoi ?
Quel problème ça pose d’avoir un noyau modulaire ? tu veux gagner 10ms au boot ?

Le problème que pose un noyau modulaire, c’est la sécurité. Mon Francais est trop limité pour t’expliquer cela. En russe on appelle cela “routkita” en Anglais c’est Rootkit je crois. Avec cela on peut prendre le controle de ta machine et utiliser les ressources de ton processeur.

M@sh@
?
Edité le 26/07/2010 à 08:04

Ah ok …
En effet quelqu’un qui aurait déjà accès à ta machine pourrait installer un module “maison”.

Bon, ben tu n’as plus qu’à faire un petit make xconfig , enlever les grandes fonctionnalités que tu n’utilises pas (son, V4L, etc …)
puis tout remettre “en dur” dans le noyau.

Ton francais est tres bon :slight_smile:

Il n’y a pas vraiment de risques de securite avec un noyau modulaire.
Le plus grand risque viendra des sites web que tu feras tourner sur ton serveur…

Si tu recompiles le noyau en statique, ca ne chargera rien :slight_smile:


[quote="myocastor"] Ah ok .. En effet quelqu'un qui aurait déjà accès à ta machine pourrait installer un module "maison".

Bon, ben tu n’as plus qu’à faire un petit make xconfig , enlever les grandes fonctionnalités que tu n’utilises pas (son, V4L, etc …)
puis tout remettre “en dur” dans le noyau.
[/quote]

Mais ca sert a rien :o
Les modules non utilisé ne sont pas chargés tout simplement…

oui mais c’est pas la quantité de modules qui le dérange, mais la possibilité d’en charger dynamiquement t’a en effet des rootkits transparents qui peuvent s’installer en tant que module noyau pour tourner en kernel land.

Mais franchement, les politiques de sécurité ont dû être revues depuis cette époque, c’est probablement encore faisable mais ça doit être d’une difficulté assez sévcère pour qu’on ne tente pas ça sur un serveur sans interets.

Quand t’as un serveur web sur le net, c’est pas les rootkits aussi evolués qu’il faut craindre mais les abrutis de scriptkiddies qui cherchent juste un mot de passe faible ou une injection sql dans ton site.
Au mieux, ils cherchent une faille apache mais ca s’arrete la pour le commun des serveurs.

Bon, a partir de la, notre ami etant russe, il veut peut etre faire un serveur web “special” qui necessite effectivement une forte securité mais si il ne sait deja pas compiler un noyau sans poser la question sur clubic, je serais d’avis de lui dire d’abandonner et ouvrir un blog :ane: