jak na emulaci scsi

Michal Kubecek mike na mk-sys.cz
Sobota Září 28 13:19:53 CEST 2002 

On Sat, Sep 28, 2002 at 12:38:54PM +0200, Jan Houstek wrote:
> 
> Tak si tam dam LIDS, Medusu, RSBAC, SElinux nebo neco podobneho cokoliv a
> po nabootovani a nahrani potrebnych modulu proste nahravani modulu zakazu.

V čem je výhodné mít drivery jako moduly, když jich nahraju fixní
sadu a poté jejich nahrávání zakážu? V čem se to liší od monolitického
jádra? V tom, že mám složitější konfiguraci bootu?

Existují situace, kdy je použití modulů a initrd nutné, třeba když
je kořenový filesystém na SW RAIDu. Jinak jsou moduly prostředkem
především k tomu, abych si driver natáhl jenom tehdy, když ho opravdu
potřebuju.

> A pokud nekdo dostane roota, tak mi udela velkou radost, kdyz nejaky modul
> zkusi nahrat, tak se okamzite prozradi.
> 
> Ona je bezpecnost a bezpecnost. Pokud si nedokazu vsimnout toho, ze mam
> kompromitovany system jinak, nez uvidim jiny kernel, tak je zbytecne hrat
> si na nejakou zvysenou bezpecnost s kernelem bez modulu.

Ale já přece nevydávám monolitické jádro za nějaký úžasný bezpečnostní
prostředek. Jen tvrdím, že pokud nemám jiný důvod, proč používat moduly,
je lepší je nepoužívat, protože si tím zjednoduším konfiguraci a za
určitých okolností některým útočníkům ztížím práci a zvýším šanci na
jejich včasné odhalení.

Ještě pořád jsem tu neviděl odpověď na tu podstatnou otázku: jaké
výhody mi přinášejí moduly a initrd v případě, že mám stabilní systém,
do kterého nešťourám, hardware vyměňuji jednou za tři roky (a to pak
celý počítač najednou) a mezitím tak nanejvýš jednou přidám paměť? 
Protože vím o výhodách, které mi přináší monolit, chci slyšet, jaké
výhody mi v takové situaci přinese modulární řešení.

> Opravdu jedine, v cem se to lisi je, ze na vymenu kernelu potrebuju
> reboot. Ale muzu to udelat tak, ze tam pripravim novy kernel a pockam, az 
> to rebootne admin. Takze bezpecne je to uplne stejne.

To se chlapec může docela načekat. Obvyklý uptime je něco kolem 120 dní.
A když už po takové době systém restartuju, většinou využiju příležitosti
a rovnou tam dám nové jádro (zkompilované jinde - mimochodem, bez modulů
je jeho instalace výrazně jednodušší).

                                                          Michal Kubeček

Další informace o konferenci Linux