kernel 2.6.26 rilasciato

[navajo]

3 motivi. Come detto:
1) sicurezza --> vedi bug di vmsplice del 2.6.17 (local root exploit...mi sembra un buon motivo).
2) prestazioni --> vedi migliorie alla vm nel trunk del 2.6.25.
3) generiche ottimizzazioni e correzioni di bug?

i
per il punto 2, se usi la vm potresti aver ragione, il primo e il terzo, no, in quanto ripeto, in macchine di produzione, in questi casi si fixano i bug e stop.

[lyapunov]

Scaricare una patch per correggere un bug, oppure scaricare l'ultima patch del kernel per portarlo da .17 a .18 per correggere quel bug la differenza mi sembra davvero irrisoria.
IMHO naturalmente.

[slucky]

compilarsi ed installarsi un nuovo kernel è senz'altro utile, specie per la sicurezza, ma non è obbligatorio farlo, a meno che avete nuovo hardware sulle vostre macchine da configurare o driver particolari da utilizzare, io ad es. sulla partizione con Debian etch sto ancora usando il kernel 2.6.18 e funziona alla grande senza alcun problema
Riguardo al fatto che si usi statico o modulare, anche qui dipende dai gusti e dalle esigenze personali dell'utente, fermo restando che sono entrambi ottime scelte.
Però, sinceramente, un pò mi manca il fatto che nelle nuove versioni di slackware non ci sia più il vecchio kernel 2.4...

Saluti

[navajo]

Scaricare una patch per correggere un bug, oppure scaricare l'ultima patch del kernel per portarlo da .17 a .18 per correggere quel bug la differenza mi sembra davvero irrisoria.
IMHO naturalmente.

ripeto ancora una volta, il tempo per farlo magari è lo stesso, ma non è la stessa cosa.
mettendo l ultima versione, magari aggiusti UN Bug, ma ne apri altri dieci magari.. sopratutto se è una 2.6.X.0
Questo forum è pieno di thread dove si cerca la soluzione per problemi, anche se piccoli, causati da un nuovo kernel.
.Se si pensa di aggiornare all ultima versione, per problemi di sicurezza, si va nella direzione sbagliata.Se vuoi aggiornare tutto sei liberissimo ma che non mi si venga a dire che lo si fa per la sicurezza perche' cosi' facendo la prima cosa che fotti e' proprio la sicurezza.
Per esempio, mi pare di aver capito,corregimi se sbaglio,che se compili questo kernel, devi mettere dei driver nvidia patchati, giusto ?
Poi se scopri che hai delle migliorie nella perfomance di servizi che usi, come la virtualizzazione, fai anche bene.

[targzeta]

....difatti su macchine server ha poco senso usare un kernel che non supporti i moduli...

E' perchè ha poco senso? Sarà solo una questione di punti di vista, ma i server mi sembrano degli oggetti statici più che dinamici. Non voglio dire che sia un errore abilitare il supporto ai moduli, ma mi sembra esagerato dire che ha poco senso non averlo.

Spina

[masalapianta]

tenere sempre un sistema aggiornato all'ultima release del kernel disponibile, non solo e' deleterio per la sicurezza ma anche per la stabilita'; come ha giustamente sottolineato navajo, nuovo codice porta potenzialmente nuovi bug; per questo, laddove sicurezza e stabilita' sono importanti, si usa software sufficientemente testato (quindi non l'ultima release stabile) e se escono bug si fa il back porting dei fix piuttosto che aggiornare la release.
Poi ovviamente su macchine casalinghe (dove sicurezza e stabilita' non sono requisiti cosi' necessari) uno puo' tranquillamente tenere l'ultimissima release di ogni software, ma che non si creda per questo di perseguire la sicurezza, perche' e' l'esatto contrario.

[masalapianta]

....difatti su macchine server ha poco senso usare un kernel che non supporti i moduli...

E' perchè ha poco senso? Sarà solo una questione di punti di vista, ma i server mi sembrano degli oggetti statici più che dinamici. Non voglio dire che sia un errore abilitare il supporto ai moduli, ma mi sembra esagerato dire che ha poco senso non averlo.

perche' una volta che sul modulare hai disabilitato CAP_SYS_RAWIO e CAP_SYS_MODULE, a livello di sicurezza i due approcci si equivalgono, mentre a livello di praticita' vince nettamente il modulare; questo perche':
1) seppure, dovendo abilitare il supporto a qualcosa, in entrambi i casi e' necessario un reboot (una volta tolta di mezzo una capabilities l'unico modo per ripristinarla e' il reboot (a meno di sistemi che permettano di sostituire il kernel senza reboot fisico (kexec))), nel caso del modulare poi basta un modprobe (e ridisabilitazione delle due capabilities di cui sopra, subito dopo), mentre con il kernel senza il supporto ai moduli devi ricompilare tutto e in ambiente enterprise (do per scontato che non si parli del serverino nello sgabuzzino, altrimenti vale quel che ho detto per i sistemi casalinghi nel mio post precedente) le cose spesso devono essere fatte per ieri (tempo==molti soldi) e su N macchine.
2) con il modulare posso utilizzare il medesimo kernel su 500 macchine e fixare i bug patchando e ricompilando una singola volta (se tutte le macchine hanno la stessa architettura, altrimenti N volte dove N e' il numero di architetture che ho, ma si parla di un numero quasi sempre piccolissimo), viceversa usando kernel senza supporto ai moduli devo ricompilare 500 kernel.

Questo e' il motivo per cui in certi ambienti, salvo _rarissime_ occasioni, i kernel non si ricompilano, ma si usano i precompilati forniti con le distro in uso; che spesso sono versioni stabili (non certo l'ultima release) e quando esce un bug il supporto della distro fa uscire un precompilato della stessa versione patchato facendo il backporting del fix, quindi da un ipotetico x.y.z-1 si passa a un x.y.z-2; oppure se si hanno particolari esigenze non si usano i precompilati delle distro in uso, ma si compilano e pacchettizzano i kernel in casa, sempre utilizzano pochi kernel modulari (uno per ogni architettura in uso), una versione stabile e facendo i backporting dei fix invece di aggiornare le release.

P.S. si i server sono certamente piu' "statici" dei desktop, ma non e' infrequente che si debba aggiungere roba al kernel (spesso per feature relative a protocolli di rete, piuttosto che alla sicurezza o a molte altre cose)

[targzeta]

Dal Linux Security HOWTO:

...Visto che il kernel controlla il networking del vostro computer, è importante che sia molto sicuro e non venga compromesso. Per evitare alcuni dei recenti attacchi via rete dovreste tentare di mantenere aggiornato il vostro kernel....

Spina

:Edit: Comunque mi fate morire, pensate alla scenetta:"Linus, è vero che se installo il kernel current sono meno sicuro?". Cosa cavolo volete che vi risponda? Si, tanto noi il nostro lavoro non lo sappiamo fare? Questo vale sicuramente se installo il nuovo S.O. di Redmond, ma se permettete io uso il pinguino proprio perchè c'è qualche differenza tra i due .

[targzeta]

Bho, masalapianta, sarà l'ora tarda, sarà che hai aperto tante parentesi, ma io non ci ho capito molto. Prima cerchi di spiegare perchè il kernel modulare è meglio di quello statico, e poi dici che tanto tutti usano quelli delle distribuzioni. Cioé, il ragionamento che fanno le distribuzioni non è proprio quello che fai tu, loro lo fanno modulare solo perchè non sanno su che architettura andrà a finire il kernel .
Per quanto riguarda i kernel stabili, non so se vi ricordate ma anche l'ultima release della Slackware aveva il kernel current dell'epoca. E' ovvio che il passaggio dal 2.4 al 2.6 doveva essere lento, ma mi permetterete di dire che non è la stessa cosa.
Ancora, se ho 500 macchine con la stessa architettura e voglio modificare qualcosa al kernel, lo ricompilo solo una volta e non 500, ma forse non ho capito che volevi dire.
E infine, è vero che sui kernel modulari si può lanciare modprobe, laddove su un kernel statico senza supporto per i moduli non si può, ma è proprio per questo che ho detto che i server mi sembrano "statici", supponevo cioè, che non ci si divertisse a fare modprobe, ma che lo si lasciasse in pace a fare il proprio lavoro.

Spina

[masalapianta]

Dal Linux Security HOWTO:

...Visto che il kernel controlla il networking del vostro computer, è importante che sia molto sicuro e non venga compromesso. Per evitare alcuni dei recenti attacchi via rete dovreste tentare di mantenere aggiornato il vostro kernel....

"aggiornare" non significa necessariamente utilizzare l'ultima release disponibile, ma anche patchare la medesima release con i vari aggiornamenti di sicurezza

:Edit: Comunque mi fate morire, pensate alla scenetta:"Linus, è vero che se installo il kernel current sono meno sicuro?". Cosa cavolo volete che vi risponda? Si, tanto noi il nostro lavoro non lo sappiamo fare?

io temo che tu non abbia ben chiaro cosa sia programmare, i bug, a meno che tu non stia scrivendo hello world, vanno di pari passo col codice, il fatto che tu sia un bravo programmatore non significa che il tuo codice e' esente da bug e, tirando in ballo il discorso del kernel linux, una delle maggiori critiche rivolte all'andamento che ha preso lo sviluppo negli ultimi anni e' proprio che si tende a scrivere codice e rilasciarlo in fretta e furia per via degli interessi che molte aziende, che finanziano lo sviluppo, hanno nel vedere supportato il loro hardware o questa o quella feature che serve a loro; non a caso negli ultimi anni sono usciti un sacco di bug del kernel (molti dei quali riguardavano problemi di sicurezza che permetttevano di scalare i privilegi da locale); quindi buona norma e' usare release non recentissime del kernel, facendo il backporting dei fix, questa non e' una mia idea personale ma lo standard de facto in ambiente enterprise, se ci vuoi credere bene, altrimenti io stanotte dormo bene lo stesso

[masalapianta]

Bho, masalapianta, sarà l'ora tarda, sarà che hai aperto tante parentesi, ma io non ci ho capito molto.

una delle cose buone dello scritto, rispetto al parlato e' che se non hai capito puoi sempre rileggere con calma, ti consiglio di farlo

Prima cerchi di spiegare perchè il kernel modulare è meglio di quello statico, e poi dici che tanto tutti usano quelli delle distribuzioni.

che e' appunto modulare

Cioé, il ragionamento che fanno le distribuzioni non è proprio quello che fai tu,

e' esattamente quello che faccio io

loro lo fanno modulare solo perchè non sanno su che architettura andrà a finire il kernel .

no, loro lo fanno modulare perche' e' piu' pratico e perche' non e' necessario fare un kernel gigantesco compilato staticamente con tutte le funzionalita' possibili (le architetture c'entrano come i cavoli a merenda in questo caso; infatti le distro offrono n versioni del medesimo kernel modulare, uno per ogni architettura; difatti il fatto che un kernel sia modulare non significa che possa girare indifferentemente su sparc o x86); la prima delle due motivazioni e' quella che ho esposto nell'altro post

Per quanto riguarda i kernel stabili, non so se vi ricordate ma anche l'ultima release della Slackware aveva il kernel current dell'epoca.

slackware in ambiente enterprise e' praticamente inesistente

E' ovvio che il passaggio dal 2.4 al 2.6 doveva essere lento, ma mi permetterete di dire che non è la stessa cosa.

e' la stessa cosa

Ancora, se ho 500 macchine con la stessa architettura e voglio modificare qualcosa al kernel, lo ricompilo solo una volta e non 500, ma forse non ho capito che volevi dire.

io temo che tu non abbia ben chiaro cosa si intende per architettura (che e' quella del processore e non l'insieme di tutto l'hardware della macchina); e torno a dire che a meno che tu non abbia 500 macchine identiche (impossibile se non parliamo di cluster per calcolo parallelo o render farm), e'verosimile che con kernel monolitici, in caso di aggiornamento tu debba ricompilare se non 500 kernel, un numero che gli si avvicina molto

E infine, è vero che sui kernel modulari si può lanciare modprobe, laddove su un kernel statico senza supporto per i moduli non si può, ma è proprio per questo che ho detto che i server mi sembrano "statici", supponevo cioè, che non ci si divertisse a fare modprobe, ma che lo si lasciasse in pace a fare il proprio lavoro.

supponevi male, e no, non lo si fa per divertimento ma perche' richiesto

[Vito]

Da quello che sapevo io conveniva sempre avere l'ultimo kernel aggiornato con la patch più nuova (2.6.x.y dove y=ultima patch).In caso di nuove uscite (2.6.x.0) meglio aspettare qualche giorno per vedere se sorgono nuovi problemi ecc ecc... Questa volta io ho azzardato a passare subito al kernel nuovo, ma di solito aspetto un po' (come feci col 2.6.25).

[Mario Vanoni]

Ma la finite di prendervela con Mario?. E' il secondo attacco nel giro di pochi giorni e la cosa non mi sta bene visto che considero Mario (e chiedo scusa se lo chiamo per nome) come una persona dalla quale imparare molto e che rispetto grandemente visto la sterminata competenza.
E spero che questo non generi un flame.
Chiedo anticipatamente scusa a Paoletta, Luci0 e tutti i moderatori.

lol lol lol lol lol lol
mi hai fatto scompisciare dal ridere dai.. imparare molto ?' si come funzionavano i vecchi Unix AT&T System V
e le R3 e R4
Certo se leggi bene quello che consiglia è di usare root come user di non usare crittografie moderne, perchè non servono, e nessun tipo di precauzione contro attacchi, infatti, chi ti viene a cercare nel mondo cosi vasto di internet ?? in tanti ani passati a gestire macchine 24/365 non ha avuto mai intrusioni, forse perchè all epoca erano in 4 gatti su internet.. E poi, se ci fai caso, lui risponde solo quando pensa che l user sia inferiore a lui.
Altrimenti, perchè ongi volta che masalapianta, per esempio gli fa notare che dice una cavolata, e succede spesso, non gli risponde ?? dammi retta, se vuoi imparare, prendi lezioni da altri e non da lui.

Markus77, dimentichi che

- Linux discende da UNIX
- le utilita` GNU/Linux discendono o da AT&T o da Berkeley/BSD

Un vi(1), se lo conosci da 20 anni, lo conosci bene,
idem gestire macchine 24/7 con accesso internet.

Linux e` UNIX II, con qualche aggiunta moderna.

[targzeta]

|------- Sicurezza --------------|

...
"aggiornare" non significa necessariamente utilizzare l'ultima release disponibile, ma anche patchare la medesima release con i vari aggiornamenti di sicurezza

Si, ma sei tu che escludi una delle due interpretazioni, non io.

Da Programmazione.it

Fondata nel 1992 da Patrick Volkerding, Slackware è la più vecchia sopravvissuta distribuzione GNU/Linux. E' molto sicura, stabile ed è spesso raccomandata per le installazioni server...

Da linux.html.it

Slackware è stata una delle primissime distribuzioni a comparire sulla scena del mondo OpenSource (è presente fin dall'Aprile del 1993)....Risulta anche un'ottima scelta sui server, grazie alla fama di distribuzione sicura che ha saputo farsi col passare degli anni...

quindi, se l'ultima Slackware ha il kernel corrente dell'epoca, dovrebbe voler dire che Pat riteneva quel kernel current quantomeno sicuro......spero.
Non voglio dire che è più sicuro passare all'ultimo kernel appena uscito, ma che non è del tutto vero che sia meno sicuro.
Ma certo che se si pensa che passare dal 2.4 al 2.6 sia come passare dal 2.6.23 al 2.6.24 allora....
|-------- Fine Sicurezza ------------|

|-------- Moduli vs. Statico ---------|
Da Appunti di Informatica Libera

...Tuttavia, a causa della frammentazione in molti file, l'uso dei moduli può essere fonte di errori....

ancora

...Le distribuzioni GNU/Linux tendono a fornire agli utilizzatori un kernel modulare per usi generali....

Effettivamente ho usato il termine architettura in maniera errata quando ti parlavo di distribuzioni, quello che volevo dire è che le distribuzioni offrono i kernel modulari perchè non sanno su quale hardware andrà a finire, e non per i motivi pratici 1) e 2) che spieghi nell'altro post.

...e torno a dire che a meno che tu non abbia 500 macchine identiche (impossibile se non parliamo di cluster per calcolo parallelo o render farm), e'verosimile che con kernel monolitici, in caso di aggiornamento tu debba ricompilare se non 500 kernel, un numero che gli si avvicina molto...

Intanto non è così impossibile, visto che quando un azienda compra dei PC, li compra in massa e tutti dalla stessa casa prodruttrice (con la quale generalmente ha un contratto), e tutti identici. Poi, se hai architetture diverse, devi compilare tante volte il kernel per quante architetture hai, semplicemente perchè se hai compilato il kernel per x86, non puoi portarlo sulla macchina sparc, ma questo discorso vale sia per i kernel modulari sia per quelli non modulari. Cioè, supponiamo che io ho tre macchine con architetture diverse, se voglio pathcare il kernel per correggere un bug, allora lo devo fare su tutte e tre le macchine e devo ricompilare il kernel su tutte e tre le macchine. Se invece le macchine sono tutte e tre uguali, mi basta farlo su una e ricompilare il kernel una volta....ma a prescindere dal fatto che il kernel sia modulare o no.

Poi è ovvio che se sei l'ammistratore di server che al mattino hanno bisogno di un 'modprobe' e la sera di un 'modprobe -r', allora ti devi fare un kernel modulare, anche perchè effettivamente è poco pratico fare un modprobe su un kernel che non supporta i moduli

masalapianta, per non generare equivoci, io non dico che è meglio avere i kernel statici, dico solo che esageri quando dici che ha poco senso averli.
|---------- Fine Moduli vs. Statico ------------------|

|-------- Io non dormo la notte ------------------|
Sono convintissimo che dormi bene anche se non credo a tutto quello che dici, anzi, se è il contrario dimmelo che a me non mi costa niente dire che hai ragione , mi piace discutere, tutto qui.
|--------Fine io non dormo la notte -------------|

Offtopic: masalapianta, sono contento di sapere che non mi hai plonkato, come invece dicesti di aver fatto

Spina

[Luci0]

DNFTT