Bonjour!
 
Je vois partout sur internet qu'il faut que le noyau linux soit le plus modulaire possible, c'est à dire compiler le plus de modules possible et non en dur dans le noyau. Qu'en est il vraiment?  
J'ai aussi lu qu'il faut éviter de charger les modules au sein de /etc/modules mais créer des alias tel que pour les interfaces réseau qui permettent le chargement automatique dès qu'on utilise le périphérique demandé. Le problème c'est que pour des modules tel que pour iptables, jvois pas trop quel nom d'alias lui donné...
 
Si quelqu'un peut m'éclairer sur tout ca! Merci!

up !  

Si t'es parano met tout en dur.

en pensant a désactiver le support des modules sinon cela ne sert a rien

parano???   Si j'ai posé cette question, c'est justement pour savoir pourquoi il faut mettre en module ou non !

parano, car les modules peuvent etre utiliser comme backdoor par exemple. Sur des machines directement connectées au net dans des infrastructure de production (tel que les firewalls par exemple) il est recommandée de compiler tout dans le noyau et et d'enlever le support des modules.

pour iptables tu charges les modules qui vont bien dans ton script de firewalling

-> en dur : environnement critique (serveur de prod)
-> en module : environnement standard (workstation, desktop)
 
Pour un particulier compiler le noyau avec un maximum de modules est un choix pertinent car il permet d'alléger ce dernier, c'est l'idéal pour une machine desktop qui nécessite un support plus étendu au niveau des périphs comparé à un serveur qui embarque le strict nécessaire (donc un minimum de périphs compilés en dur).

Trop ce que j'attendais comme Topic !!! Quelqu'un peut confirmer ce que dit THRAK ? En tout cas merci pour cette reponse super clair !
 
Par contre petit probleme depuis que j'ai recompilé mon noyau (un 2.4.26 ac juste ce qu'il faut en dur sur une debian woody) mon serveur n'est plus accéssible par SSH (connection closed), d'ou peut venir le probleme ?

Ptit UP !

le serveur ssh n'est pas lancé ?

Ben si justement, la connexion reseau fonctionne, le sshd est lancé, ac le Kernel de base ça marche (2.4.18-bf) mais pas ac le nouveau compilé (2.4.26) ...  

Désactiver les modules c'est pas suffisant comme mesure de sécurité. C'est hallucinant mais un gars a réussi à faire un programme qui permet de charger des modules dans un kernel sans support des modules : http://readme.gzipped.org/projects/jammod/
 
La solution c'est de désactiver aussi /dev/kmem.

siouplait j'ai besoin d'un fichier config pour savoir qu'est-ce qu'il faut que je mette en modules. de préférence un noyau pour passerelle (iptables, nat etc).
j'ai de gros problèmes de compréhension concernant ces modules et leur utilisation. est-ce qu'en faisant un make modules puis make modules_install les modules (et leur fichier correspondant) seront chargés automatiquement au démarrage ?

Ok merci pour vos explications... Qu'en est-il du chargement automatique des modules? Certains modules peuvent être chargés tout seul et d'autres non? Le module iptables se charge tout seul dès que je définis une règle...
 
thebounty > make modules_install ne fait que copier les modules compilés dans un répertoire lib mais ne les charge en aucun cas en mémoire...

Les modules sont chargés automatiquement des que tu fais appel a un programme qui en ont besoin.
 
Par exemple suivant tes regles d'iptables, il va avoir besoin de tel ou tel modules qu'il va charger (sauf s'ils sont en dur evidemment).
 
Je suppose que le risque d'avoir des modules ce n'est pas tellement plus risqué en soit que d'avoir compilé en dur, non ? Ca serait plustôt le fait de mettre en modulesdes quantités de choses qui ne servent pas mais qui risquent une fois chargé (par erreur, par malveillance...) d'être exploitable par un intrus ? Mais quel différence par rapport a un noyau en dur ? Donc plus que l'aspect modulaire, c'est le fait d'avoir un avoir un noyau minimal (le strict nécessaire a la fois en dur et en modules ?) qui est important pour la sécu ????
Ou alors peut-on considérér que les modules peuvent être remplacés par d'autres et être des vrais espions ?
 

Siam > bonnes questions... moi je voyais en le chargement dynamique des modules un démarrage  plus rapide, puisque le noyau est moins lourd... Sinon ok, certains modules se chargent automatiquement mais d'autres pas (module wifi, gestion de la souris, carte réseau, etc...). Pkoi et comment régler le probleme?

Perso j'aimerai bien trouver un petit comparatif pour voir si on ressent vraiment le changement de dur en module...
Et puis perso pour mon petit serveur je pense que je peu metre tout en dur non ?

UP

up

topic intéressant pour une fois