Skip to content

Neue Wiki-Beiträge (2)

Hier mal ein Link zu einem weiteren manitu Wiki-Beitrag:

Linux Kernel neu bauen/nachbauen/compilieren (aus Vanilla-Sourcen)

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Alex

Ich hoffe mal, dass es sich hier (zumindest teilweise) um einen Aprilscherz handelt. Einfach von irgendwo Quellcode runterladen und dann compilieren und ausführen? Und das auf einer ungesicherten Leitung und ohne Integritätstest? Ersteres ist im Rechenzentrum vielleicht noch in Ordnung, zweiteres ist spätestens nach dem Einbruch bei kernel.org letztes Jahr nur als grob fahrlässig zu bezeichnen. Wer einen Kernel compilieren will, sollte auch in der Lage sein eine GPG-Signatur zu überprüfen. Rootserver sind schließlich kein Spielzeug!

Manuel Schmitt (manitu)

Wir haben einen kleinen Hinweis hinzugefügt, wenn gleich es schwer sein dürfte, das (a) den meisten beizubringen, (b) die Signatur-Datei auf www.kernel.org auch schon komprimiert ist.

Ich glaube fast, dass diejenigen, die die Anleitung brauchen, den Sicherheitshinweis eben nicht brauchen.

Alex

;-) Wenn man git verwendet, geht das mittels "git tag --verify" relativ einfach und schmerzlos. Evtl. den öffentlichen Schlüssel von Linus noch auf einen internen FTP-Server oder ins bereits ins initiale Image rein und schon bekommen das auch Laien hin. Ich finde halt, dass das eigentlich zum absoluten Minimum an Sicherheitsvorkehrungen gehört und nicht nur nice-to-have ist.

Tetja Rediske

Wobei die Signatur dann auch aus einer anderen Quelle kommen sollte, denn wenn ein Angreifer das Archiv verändern konnte, sollte die Signatur auf dem selben System auch kein Problem sein.

Alex

Wenn mit Signatur der öffentlichen Schlüssel gemeint ist, ist das nur teilweise richtig: Auch ein öffentlicher Schlüssel aus einer unsicheren Quelle kann verwendetet werden, solange seine Echtheit (z.B. mittels Prüfsumme oder digitaler Unterschriften anderer Personen) bestätigt werden kann.

Wenn mit Signatur hingegen die *.sign-Datei (heißt teilweise auch anders; bei git z.B. in der Commit-Message enthalten) gemeint ist, ist die Aussage falsch: Diese kann problemlos aus einer unsicheren Quelle kommen, Manipulationen fallen hier sofort auf.

OT: @manitu: Auf http://www.manitu.de/webhosting/domains/ finden sich Zeilen wie
49,00 € (brutto)
41,18 € (brutto)
Das sollte beim zweiten Mal wohl netto heißen, oder?

Tetja Rediske

In diesem Fall, korrekt, ich hatte nicht mehr im Kopf, dass dort PGP-Signaturen benutzt werden. Ich bezog mich auf die typischen md5sums etc.

MOW

Ist die Anleitung überhaupt einigermaßen aktuell?
initrd wird überhaupt nicht behandelt, und man sollte doch zumindest darauf hinweisen, daß man dann die unbedingt notwendigen Treiber für Massenspeicher und Filesystem besser nicht als Module bauen sollte, die für z.B. Netzwerk (wenn man nicht gerade vom Netz booten will) aber schon, damit der Kernel nicht so groß wird.

Sebastian Bertho

Ganz ehrlich: Wer diese Anleitung braucht, der sollte sich besser keinen Linux-Rootserver zulegen. Mehr als in jedem 08/15-Tutorial aus dem Netz steht da auch nicht drinne. (Mal davon abgesehen dass ich eigentlich von einem guten Hoster erwarten würde, dass die jeweils aktuellen Kernel über ein Repository o.ä. direkt in Binärform verfügbar gemacht werden).

@MOW: Auf einem Server kompiliert man idR alles was wirklich benötigt wird fest ein. Die Hardware ist ja bekannt, insofern braucht man dort weder eine initrd noch Module.

Tetja Rediske

Unsere Kernel sind im Binärformat verfügbar und es gibt auch jedesmal einen Blogpost zu neuen Versionen. ;)

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen