3.8.3. Компиляция ядра
При установке из RPM-пакета мы получаем модульное ядро, в котором драйверы устройств могут быть как скомпилированы в одно целое с ядром, так и загружаться отдельно. Такое ядро медленнее в работе, но позволяет обновлять драйверы простой заменой модулей.
При компиляции можно выбрать и монолитное ядро. В этом случае в него будут встроены все необходимые драйверы, что повысит производительность, но это сделает невозможным обновление без перекомпиляции всего ядра.
Я рекомендую вам разобраться с компиляцией, потому что все свежие ядра выходят в исходных кодах, а издание RPM-пакетов иногда запаздывает на неделю и более. Все это время ваша система будет уязвимой.
Как правило, ядро поставляется в виде tar-архива. Сначала его надо разархивировать:
tar xzvf linux-2.6.10-rc2.tar.gz
Имя архива в вашем случае может отличаться. Я беру самое новое на момент написания книги ядро, которое специально скачивал с сайта www.redhat.com.
Архив распаковывается в директорию linux-2.6.10-rc2 (имя архива без расширения tar.gz). Необходимо перейти в этот каталог, чтобы выполнять дальнейшие действия по компиляции из этой директории.
Для начала нужно сконфигурировать ядро, т.е. указать, что мы хотим получить в результате. Для этого можно использовать одну из четырех утилит:
1. oldconfig — сценарий, который устанавливает значения по умолчанию без нашего ведома. Для вызова используйте команду make oldconfig.
2. config — сценарий, который в командном интерпретаторе задает вам вопросы о параметрах будущего ядра и в зависимости от ваших ответов формируется конфигурационный файл для компиляции. Для вызова используйте команду make config.
3. menuconfig — текстовая утилита (рис. 3.6). Наиболее удобный вариант конфигурирования из консоли. Для вызова используйте команду make menuconfig.
Рис. 3.6. Текстовая утилита конфигурирования ядра menuconfig
4. qconf (xconfig) — графическая утилита (рис. 3.7). Наиболее удобный вариант конфигурирования ядра из графической оболочки Linux. Для вызова используйте команду make xconfig.
Рис. 3.7. Графическая утилита конфигурирования ядра qconf
Во время конфигурации с помощью любой из вышеперечисленных утилит вы должны указать, нужна ли поддержка загружаемых модулей.
Если вы хотите иметь два разных ядра одной и той же версии, например, с поддержкой модулей и без нее, то необходимо открыть файл Makefile и в параметре EXTRAVERSION указать различные значения:
□ EXTRAVERSION=-rc2-module — при компиляции ядра с модулями;
□ EXTRAVERSION=-rc2-nomodule — при компиляции ядра без модулей.
Лучше всего указывать в этом параметре, чем именно будет отличаться ядро. Например, помимо -rc2-module можно вставить дополнительное пояснение, но оно должно быть максимально коротким.
Теперь выполняем команды подготовки к компиляции:
make dep
make clean
Следующая команда отнимет достаточно много времени, потому что она будет компилировать непосредственно ядро. Можно отправляться готовить кофе и пить его медленно и печально. Если у вас слабый процессор и памяти менее 256 Мбайт, то процедура будет долгой.
Итак, для компиляции ядра выполним команду:
make bzImage
Во время компиляции вы увидите список собираемых в ядро модулей. Их очень много, поэтому процесс продолжительный.
Если вы выбрали компиляцию ядра с использованием загружаемых модулей, то следующие две команды должны выполнить эту операцию:
make modules
make modules_install
Если вы запретили использование модулей, то эти команды можно пропустить, потому что от них толку мало, а выполняются они долго.
Все модули располагаются в директории /lib/modules/. С помощью первой команды мы скомпилировали модули нового ядра, а вторая скопирует их в каталог /lib/modules/. Здесь вы найдете директории модулей для каждой из версий ядер, установленных в системе.
Теперь инсталлируем скомпилированное ядро. Для этого выполняем следующую команду:
make install
Эта команда скопирует все необходимые файлы для загрузки на свои места. Загляните в директорию /boot. Здесь можно найти несколько файлов, в том числе и загрузчик для новой версии ядра. Их легко можно определить по номеру. Например, я компилировал ядро 2.6.10, и у меня появились файлы vmlinuz-2.6.10 и initrd-2.6.10.img.
3.8.4. Настройка загрузчика
Теперь посмотрим, как можно настроить загрузку нового ядра, оставив при этом возможность пользоваться старыми версиями. Для этого нужно отредактировать файл /etc/lilo.conf, добавив в конец файла следующие строки:
image=/boot/vmlinuz-2.6.10
label=Linux Kernel 2.6.10
initrd=initrd-2.6.10.img
read-only
root=/dev/hda0
В первой строке находится путь к ядру. Вы должны указать правильный путь, а точнее, имя файла, которое будет отличаться номером версии. Параметром label задается заголовок нового ядра, который вы будете видеть при загрузке системы. Параметр initrd определяет загрузчик. Последняя строка указывает корневой диск. Введите такое же значение, как и у старого ядра. В вашем загрузчике уже должна быть подобная строка, и она одинакова для обеих систем.
После изменения конфигурационного файла /etc/lilo.conf необходимо прописать изменения в загрузочную область. Для этого выполните команду lilo.
Перезагрузите систему, и теперь при старте компьютера вы сможете выбирать, какое ядро загружать. При этом будут использоваться одни и те же конфигурационные файлы, что очень удобно. Если новое ядро окажется неработоспособным, достаточно перезагрузить компьютер со старым ядром и продолжить работу до выхода обновлений.
3.8.5. Работа с модулями
Преимущество модульной сборки ядра заключается в том, что вы можете изначально включить только самые необходимые функции и тем самым уменьшить потенциальные уязвимости, которыми может воспользоваться хакер. Но при этом мы должны иметь возможность управлять модулями (так же, как и сервисами).
Система должна загружаться только с теми модулями, которые применяются. Все остальные должны подгружаться по мере необходимости и отключаться, когда не используются.
lsmod
С помощью команды lsmod можно увидеть список загруженных модулей. Результат выполнения инструкции имеет примерно следующий вид:
Module Size Used by Not tainted
binfmt_misc 7428 1
autofs 11812 0 (autoclean) (unused)
tulip 42240 1
ipchains 42216 6
ide-cd 30240 0 (autoclean)
cdrom 32000 0 (autoclean) [ide-cd]
ext3 62284 1
jbd 39804 1 [ext3]
modinfo
Очень трудно разобраться, какие модули нужны в системе, а какие нет, А ведь необходимо загружать только то, что действительно используется, иначе увеличивается время старта системы, понапрасну расходуются ресурсы компьютера и т.д. Так как же в этом разобраться? Необходимо знать каждый модуль в лицо и понимать, для чего он нужен.
Получить информацию о модуле помогает команда modinfo. В качестве параметра нужно передать имя интересующего модуля, и на экране будет выведена информация о нем. Например, следующая команда запрашивает у системы информацию о модуле ext3:
modinfo ext3
В ответ на это мы увидим примерно следующее:
filename: /lib/modules/2.4.18-5asp/kernel/fs/ext3/ext3.о
description: "Second Extended Filesystem with journaling extensions"
author: "Remy Card, Stephen Tweedie, Andrew Morton, Andreas Dilger,
Theodore Ts'o and others"
license: "GPL"
parm: do_sync_supers int, description "Write superblocks
synchronously"
Таким образом, нам становятся известными имя и расположения файла, описание, автор, лицензия и т.д. Количество информации сильно зависит от модуля, и если честно, в некоторых случаях она настолько скудная, что предназначение модуля остается непонятным.
modprobe
Эта команда, в основном, используется системой для загрузки установленных модулей, но можно это делать и самостоятельно. В качестве единственного параметра нужно передать команде имя модуля, который нужно загрузить.
Например, следующая команда загружает модуль iptable_nat (о нем мы будем говорить в разд. 4.12):
modprobe iptable_nat
rmmod
Эта команда выгружает модуль, имя которого указано в качестве параметра. Если вы воспользовались модулем для выполнения определенных действий, то не забудьте по окончании работы его выгрузить. Иначе как раз он и может стать причиной взлома.
Глава 4
Управление доступом
Каждый пользователь должен работать в системе под своей учетной записью. Это позволит вам обезопасить свои файлы от чужого вмешательства и по системным журналам определить, когда и кем были произведены разрушительные действия.
