Глава 6. Безопасность и оптимизация ядра

Содержание главы:
1. Различия между ядрами с модульной и монолитной архитектурами
2. Ограничения и допущения
3. Пакеты
4. Дополнительно устанавливаемые пакеты
5. Создание аварийной загрузочной дискеты для ядра с модульной архитектурой
6. Подготовка ядра к инсталляции
7. Применения патча Grsecurity
8. Настройка ядра
9. Очистка ядра
10. Конфигурирование ядра
11. Конфигурирование ядра с монолитной архитектурой
12. Конфигурация ядра с модульной архитектурой
13. Компиляция ядра
14. Инсталляция ядра
15. Настройка загрузчика
16. Файл /etc/modules.conf
17. Проверка работоспособности нового ядра
18. Создание аварийной загрузочной дискеты для ядра с монолитной архитектурой

Самая главная часть системы – ядро. Оно сконфигурировано поставщиком дистрибутива, исходя из
соображений максимальной совместимости. В него включена поддержка как можно большего числа уст-
ройств и функций и, по мнению авторов, ориентирована в основном на пользователей, использующих Linux
в качестве настольной операционной системы. Это обстоятельство, конечно, упрощает установку системы
на рабочих станциях и компьютерах домашних пользователей, способствует росту популярности Linux, но
ни коим образом не удовлетворяет специфичным требованиям, предъявляемым к ядру сервера. В этой главе
описана технология создания уникальной версии ядра, включающей только те фрагменты кода, которые не-
обходимы для использования системы в качестве оптимизированного и безопасного Linux-сервера. Это дос-
таточно простая задача, потому, что код ядра 2.4 был написан специально для серверных систем, и многие
из ограничений, присущих старым версиям ядра, были сняты. Ядро, созданное в соответствии с изложенны-
ми ниже рекомендациями позволит:
• повысить производительность системы и устойчивость к хакерским атакам за счет уменьшения
объема исполняемого кода ядра, удаления неиспользуемых фрагментов кода ядра и применения патча
Grsecurity;
• дополнительно увеличить производительность системы за счет отказа от модульной архитектуры
ядра (по мнению авторов, ядро с модульной архитектурой работают несколько медленнее);
• увеличить объем свободной оперативной памяти (ядро не использует раздел Swap);
Ниже описаны процедуры конфигурирования и инсталляции ядра с модульной и монолитной архи-
тектурой. Основное отличие этих процедур состоит в том, что при конфигурировании ядра с монолитной
архитектурой на вопросы о включении той или иной опции вы должны отвечать только “y” или “n” (при
модульной архитектуре возможен ответ “m” – включить в качестве модуля). При монолитной архитектуре
исключены шаги, связанные с компиляцией и инсталляцией модулей, т. е. команды make modules и make
modules_install.
ЗАМЕЧАНИЕ Процесс компиляции ядра оброс слухами, приводящими в ужас начинающих пользова-
телей. Например, авторы сталкивались с ситуацией, в которой пользователь отказывался от компиляции яд-

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37

Метки: , , ,

Соседние записи
« Глава 7. Псевдофайловая система /proc
Глава 5. Оптимизация операционной системы »
 

Комментарии закрыты.

    Ссылки: