Perso j'aimerai bien trouver un petit comparatif pour voir si on ressent vraiment le changement de dur en module...
Et puis perso pour mon petit serveur je pense que je peu metre tout en dur non ?
falconn
Siam > bonnes questions... moi je voyais en le chargement dynamique des modules un démarrage plus rapide, puisque le noyau est moins lourd... Sinon ok, certains modules se chargent automatiquement mais d'autres pas (module wifi, gestion de la souris, carte réseau, etc...). Pkoi et comment régler le probleme?
Siam
Les modules sont chargés automatiquement des que tu fais appel a un programme qui en ont besoin.
Par exemple suivant tes regles d'iptables, il va avoir besoin de tel ou tel modules qu'il va charger (sauf s'ils sont en dur evidemment).
Je suppose que le risque d'avoir des modules ce n'est pas tellement plus risqué en soit que d'avoir compilé en dur, non ? Ca serait plustôt le fait de mettre en modulesdes quantités de choses qui ne servent pas mais qui risquent une fois chargé (par erreur, par malveillance...) d'être exploitable par un intrus ? Mais quel différence par rapport a un noyau en dur ? Donc plus que l'aspect modulaire, c'est le fait d'avoir un avoir un noyau minimal (le strict nécessaire a la fois en dur et en modules ?) qui est important pour la sécu ????
Ou alors peut-on considérér que les modules peuvent être remplacés par d'autres et être des vrais espions ?
falconn
Ok merci pour vos explications... Qu'en est-il du chargement automatique des modules? Certains modules peuvent être chargés tout seul et d'autres non? Le module iptables se charge tout seul dès que je définis une règle...
thebounty > make modules_install ne fait que copier les modules compilés dans un répertoire lib mais ne les charge en aucun cas en mémoire...
thebounty
siouplait j'ai besoin d'un fichier config pour savoir qu'est-ce qu'il faut que je mette en modules. de préférence un noyau pour passerelle (iptables, nat etc).
j'ai de gros problèmes de compréhension concernant ces modules et leur utilisation. est-ce qu'en faisant un make modules puis make modules_install les modules (et leur fichier correspondant) seront chargés automatiquement au démarrage ?
blurk
Désactiver les modules c'est pas suffisant comme mesure de sécurité. C'est hallucinant mais un gars a réussi à faire un programme qui permet de charger des modules dans un kernel sans support des modules : http://readme.gzipped.org/projects/jammod/
La solution c'est de désactiver aussi /dev/kmem.
stef57
Ben si justement, la connexion reseau fonctionne, le sshd est lancé, ac le Kernel de base ça marche (2.4.18-bf) mais pas ac le nouveau compilé (2.4.26) ... :(
mikala
le serveur ssh n'est pas lancé ?
stef57
Ptit UP !
stef57
Trop ce que j'attendais comme Topic !!! Quelqu'un peut confirmer ce que dit THRAK ? En tout cas merci pour cette reponse super clair !
Par contre petit probleme depuis que j'ai recompilé mon noyau (un 2.4.26 ac juste ce qu'il faut en dur sur une debian woody) mon serveur n'est plus accéssible par SSH (connection closed), d'ou peut venir le probleme ?
THRAK
-> en dur : environnement critique (serveur de prod)
-> en module : environnement standard (workstation, desktop)
Pour un particulier compiler le noyau avec un maximum de modules est un choix pertinent car il permet d'alléger ce dernier, c'est l'idéal pour une machine desktop qui nécessite un support plus étendu au niveau des périphs comparé à un serveur qui embarque le strict nécessaire (donc un minimum de périphs compilés en dur).
fl0ups
pour iptables tu charges les modules qui vont bien dans ton script de firewalling
freyr
parano, car les modules peuvent etre utiliser comme backdoor par exemple. Sur des machines directement connectées au net dans des infrastructure de production (tel que les firewalls par exemple) il est recommandée de compiler tout dans le noyau et et d'enlever le support des modules.
falconn
parano??? :??: Si j'ai posé cette question, c'est justement pour savoir pourquoi il faut mettre en module ou non !
mikala
en pensant a désactiver le support des modules sinon cela ne sert a rien ;)
mirtouf
Si t'es parano met tout en dur.
falconn
up ! :pt1cable:
falconn
Bonjour!
Je vois partout sur internet qu'il faut que le noyau linux soit le plus modulaire possible, c'est à dire compiler le plus de modules possible et non en dur dans le noyau. Qu'en est il vraiment? J'ai aussi lu qu'il faut éviter de charger les modules au sein de /etc/modules mais créer des alias tel que pour les interfaces réseau qui permettent le chargement automatique dès qu'on utilise le périphérique demandé. Le problème c'est que pour des modules tel que pour iptables, jvois pas trop quel nom d'alias lui donné...
