Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam.
Posiadam malutka maszynke na "domowe" potrzeby w ovh. Chcec sobie przekompilowac aktualne jajko
root@ks3290849:/usr/src# uname -a Linux ks3290849.kimsufi.com 3.2.13-grsec-xxxx-grs-ipv6-32 #1 SMP Thu Mar 29 09:43:21 UTC 2012 i686 i686 i386 GNU/Linux
I chcialbym sobie zmienic na jajko 3.2.38 + grsex. Niestety za kazdym razem wywala mi jakis blad. Probowalem nawet ustawien z OVH .configu, ktory udostepniaja oraz defalutowego za pomoca make defconfig, ale bez skutku. Problemu by nie bylo gdyby byl stary config, ktory przewaznie znajduje sie w /boot. Niestety OVH prowadzi dziwna polityke, ktora nie pozwala na dostep do .configa z zew. (po prostu go nie ma) Stad moje pytanie czy jest mozliwosc wyciagniecie ustawien do nowego configa z juz skompilowanego jajka ? Przyznam sie bez bicia, ze nigdy sie nie spotkalem z configiem bez configa.
Z gory dziekuje.
Pozdrawiam.
Offline
/proc/config.gz, ale skoro utrudniają, to i tego pewnie nie będzie.
Offline
Jajo ovh ma wyłączne ładowanie modułów, i konfigu z niego normalnie nie wytargasz.
Jak potrzebujesz przekompilować, to config do takiego jajka jest dostępny na serweze ftp ovh, na forum.ovh są sznurki na ten temat, w razie czego też lepiej tam pytać.
Tu masz info od pracownika ovh - który pisze, skąd wziąść defaultowy konfig:
http://forum.ovh.pl/showthread.php?t=15248
Jest też pomoc techniczna, jakby forum nie pomogło.
Jak się płaci, to się też wymaga.
Jak chcesz sam zrobić konfig kernela, to targasz moduły z
lspci -k
i
lspci -n
Tutaj masz gotowe narzędzie do tego:
http://kmuto.jp/debian/hcl/
Do tych sterowników musisz zaznaczyć opcje, które potrzebujesz, może nie za pierwszym, ale z trzecim razem jajo już powinno śmigać bez problemu.
Kiedyś, ze dwa latka temu, kompilowałem jajo na serwerze ovh, ( wtedy był dostępny oficjalnie przez http - wersja 2.6.26 chyba), i pamiętam, że ich konfig mnie mocno zdziwił np był tam kompletny grsecurity, ale nie nie było modułów netfiltera do normalnego iptables.
Potem zajarzyłem, ze przecież do każdego serwera proponują firewall Cisco ASA za 79/mies.
W każdym razie albo pomoc techniczna ovh (gdzie jest config) , albo na piechotkę od allnoconfig (to wbrew pozorom wcale nie jest jakiś horror na serwerze, który potrzebuje 6 sterowników na krzyż, i wszystkie można wytargać z lspci.)
I nie musisz 3 raz zakładać wątku, bo o tym pisałem już tutaj:
http://forum.dug.net.pl/viewtopic.php?pid=223987#p223987 i dzisiaj piszę drugi raz.
Tu masz konfigi do starszych jajek, ja chyba z tego adresu kiedyś sciągnąłem:
http://www.mmnt.net/db/0/0/ftp.ovh.net/made-in-ovh/bzImage/old/
Edyta:
Tu jest jakieś 3.2:
http://www.mmnt.net/db/0/0/ftp.ovh.net/made-in-ovh/bzImage/
Względnie świeże.
W tym wątku też są sznurki:
http://forum.ovh.pl/showthread.php?t=6698
Ja mam tylko taki kłopot, że z mojego kompa nie mogę się wbić na serwer ftp ovh, a nie chce mi się wynajmować serwera po to, żeby zobaczyć, czy ten ftp jest dostępny w intranecie ovh.
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2013-02-12 18:27:57)
Offline
[quote=mati75]Dystrybucyjne normalnie pracują na serwerach ovh przynajmniej w Debianie.[/quote]
Każde rozwiązanie ma zalety i wady.
Dystrybucyjny może sobie działać, ale każda możliwość ładowania modułów daje możliwość podrzucenia lewego modułu z backdorem.
O wiele lepiej zrobić kernel zbudowany na sztywno ze wszystkimi potrzebnymi modułami i sterownikami, i wyłączyć ładowanie modułów zewnętrznych.
Wtedy niemożliwe jest załadowanie obcego kodu do kernela nawet, gdy atakujący zdobędzie uprawnienia roota.
Wyjątek zrobiłbym ewentualnie dla xtables-addons a konkretnie modułu xt_SYSRQ, który pozwala odpalić polecenie Magic_SYSRQ przez zaszyfrowany pakiet UDP, to akurat może się przydać w razie ciężkich problemów.
W dodatku taki serwer, jeśli ma własne dyski, to potrzebuje zaledwie kilku sterowników, kontroler dysku i chipsetu, pamięci, karty sieciowej, systemy plików, sieć i firewall.
Trochę więcej zabawy jest z iscsi czy drbd.
Nie używa się na nim natomiast kart muzycznych, ani kamerek video i nie podłącza fonów z Androidem, bluetootha i podobnych śmieci.
Więc nie czaję, dlaczego nie starcza allnoconfig i lspci.
Jak ktoś potrafi kompilować kernele, to nie powinien mieć żadnego problemu z takim jajem.
Na takim serwerze też warto wywalić udev, postawić statyczny dev albo mdev, systemy plików ustawić w fstab, i wszystko pójdzie stabilnie i szybko.
I dzięki takiej konfiguracji system ma możliwie najmniejszą liczbę punktów [url=http://en.wikipedia.org/wiki/Single_point_of_failure]SPOF[/url].
Pozdrawiam
;-)
Offline
I wielkie nic.
Skopiowalem OVH config do /usr/src/linux-3.2.38, wpierw nalozylem grsec, poszlo bez problemu pozniej config. Kompilacja tez przeszla bez blednie. Podczas menuconfig sprawdzilem czy sa zaladowane moduly. SA ! Zainstalowalem nowe jajko dpkg -i *.deb, ktory sie znajdowal w /usr/src i po rebocnie jedno wielkie g... A najlepsze jest to, ze jak odpalam server z pierwotnego jajka to tez nie wstaje. Juz wiem czemu ludzie nie lubia linuxa.
Kernel nowy 3.2.38-grsex
[img]http://img42.imageshack.us/img42/4247/screenshot007ua.jpg[/img]
Kernel stary 3.2 - OVH
[img]http://img715.imageshack.us/img715/1848/screenshot008qb.jpg[/img]
I co mozna zrobic oprocz strzelenia sobie w leb ?
Ostatnio edytowany przez bryn1u (2013-02-13 16:00:28)
Offline
Żeby jajo wstało na raidzie, trzeba mu to ustawić w parametrach startowych - w cmdline.
i oczywiście musi mieć moduły do raida i kontrolery wbudowane.
Poza tym jajo ovh - jak na nim odpalisz - to co jest w /proc/cmdline?
Ciąg dalszy w dmesg....
I nie czaję, czemu on woła o root-NFS - jeśli ma swoje dyski.
Offline
zapodaj jeszcze fstaba i konfig gruba.
Offline
Udało mi się wczoraj jakimś cudem wytargać z ovh ftpa jakiś konfig.
Moduły do sprzętu ma zaznaczone, przyda się na pewno:
http://jacekalex.sh.dug.net.pl//config-ovh-x86-64
W tym jaju nie ma ani Grseca, ani Paxa, ani Ipseta.
Na serwer się nadaje jak kozia dupa na torbę podróżną, dawno nie widziałem takiej tandety.
Zabezpieczenia musisz zrobić sam, ale grunt, że sterowniki sprzętu ma zaznaczone.
Offline
Dzieki Jacku. Wlasnie sprawdzam.
Offline
Hej.
Dostaje juz ktorys raz z rzedu taki blad:
grsec: protected kernel image paths GEN .version CHK include/generated/compile.h UPD include/generated/compile.h CC init/version.o LD init/built-in.o LD .tmp_vmlinux1 kernel/built-in.o: In function `ns_capable_nolog': (.text+0x1ccfc): undefined reference to `security_capable_noaudit' make[2]: *** [.tmp_vmlinux1] Error 1 make[1]: *** [deb-pkg] Error 2 make: *** [deb-pkg] Error 2
W google pusciutko.
Offline
Weź lepiej sróbuj źródełka z kernel,org, nałóż sam łatki, to będziesz przynajmniej wiedział, co w nim jest.
I jak jakieś jajo wykłada się przy kompilacji, nie ma po co godzinami kombinować, jak zając koło kotliny.
W dodatku: "dostaję któryś raz"?
Jak się wywalił podczas ponownej kompilacji, to najpierw wyczyść źródła poleceniem:
make clean
I jeśli w pojedynczym jaju nie idzie, to bierzesz nowszą lub starszą wersję, masz w kernelach kilka slotów do wyboru.
Przy okazji, stabilne łatki [url=http://grsecurity.net/]grsec[/url] są na jaja 3.2.*, na 3.7.* są tylko testowe.
A jak się używa testowych łatek na produkcyjnym serwerze................ :D
Pozdrawiam
;-)
Offline
Ale ja nigdy nie uzywalem testowych latek. Tylko "stable". Zrodelka sa z kernel.org. Wczesniej kompilowalem jajo 3.2.38+grsex a teraz 2.6.38.60 i to samo wywala.
Offline
A samo jajo bez grseca się kompiluje normalnie?
Jeśli tak, a wywala się na łatce grsec, to zgłoś to na forum Grsecurity.
http://forums.grsecurity.net/viewforum.php?f=3
Jakbyś tam pisał, to opisz dokładnie, że to na ovh i załącz konfig kernela i inne przydatne informacje.
Tu masz przykład profesjonalnego supportu:
http://forums.grsecurity.net/viewtopic.php?t=3275
Jeśli natomiast będzie się wywalać również jajo bez grseca, to albo mocno inna wersja, albo spróbuj na źródłach ovh, może tam mają jakieś ultra dziwy.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2013-02-20 09:56:33)
Offline
@Jacek
Jedynie co sie nie wywala to jajko gentoo-sources po kompilacji. Jeszcze nigdy sie nie wywalilo a kompilowalem je tutaj chyba z nascie razy. Tylko, ze tam jest jajo 3.5.7 ! Wedlug grsec to nie jest stable, ale pewnie team hardened zadbal o to, zeby dzialalo jak ma dzialac, wiec juz nic nie wiem.
Offline
Gentoo-sources się skompilowało? i działa?
To skopiuj sobie źródła, żeby nic się nie zgubiło, i skompiluj drugi na konfigu tego gentoo-sources, po nałożeniu łatki grsec i ustawieniu w konfigu grseca i paxa.
W ogóle, gentoo-sources - to też nie jest najlepszy wybór, czyste jajo bez łatek nazywa się vanilla-sources.
Gentoo-sources ma głównie łatkę fbcondecor i podbity numerek, i czasem jakieś drobne poprawki, ale to jajo na desktopy i do multimediów.
Tu masz łatki do zrobienia gentoo-sources z vanilla-sources:
http://dev.gentoo.org/~mpagano/genpatches/trunk/
Ostatnio edytowany przez Jacekalex (2013-06-27 19:22:16)
Offline
No i dziala.
Podziekowac Ci @Jaceklex za b.dobry support !
Offline
Time (s) | Query |
---|---|
0.00009 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00060 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.138.121.79' WHERE u.id=1 |
0.00094 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.138.121.79', 1732690493) |
0.00034 | SELECT * FROM punbb_online WHERE logged<1732690193 |
0.00077 | SELECT topic_id FROM punbb_posts WHERE id=224347 |
0.00005 | SELECT id FROM punbb_posts WHERE topic_id=22942 ORDER BY posted |
0.00064 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=22942 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00485 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=22942 ORDER BY p.id LIMIT 0,25 |
0.00344 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=22942 |
Total query time: 0.01182 s |