выбор ядра для пограничного сервера
В скором будущем понадобится поднять сервер на линуксе, в задачи которого будут входить:
- файрвол на базе iptables
- учет трафика на базе NetAMS (БД для статистики находится на другом сервере)
- OpenVPN
У сервера планируется два сетевых интерфейса - один смотрит в интернет - второй в нашу локальную сеть (хотя на самом деле не совсем так, но это уже не важно).
Так вот нужен этот сервер главным образом как барьер между дикими интернетом и другими нашими серверами, т.е. он должен быть максимально защищен от взлома, поэтому и сервисов на нем будет - самый минимум.
Встает вопрос, на каком лучше ядре поднимать сервер ? Опыт работы с джентой до сих пор ограничивался десктопами, поэтому знания о hardened прифилях у меня очень поверхностные.
Кто что думает по этому поводу ?
P.S. железки будут 32 битные
- Для комментирования войдите или зарегистрируйтесь
Я не совсем
Я не совсем понял вопрос, что значит какое ядро? 2.4 или 2.6? Тогда ответ: 2.6.
Оно уже стабильно и вообще... :) Юзать или не юзать hardened решай сам, лучше конечно юзать (доков по нему навалом), но практика показывает что и без него сервера прекрасно держат оборону. Главное хорошо настроит iptables, благо и по-этому вопросу док дофига.
Re: Я не совсем
вот с этого места поподробнее.
Во первых, когда на одной левой машине хотел поставить сервер с hardened - то ядро мне тогда было предложено именно 2.4 с припиской, что мол если очень хочется 2.6 то нужно сменить профиль на hardened-2.6 или что-то в этом духе.
вот это особенно сильный довод :)
я как раз хочу услышать все за и против использования hardened и ядра 2.4. Если бы без него всё было так шоколадно, то наверное его вообще бы тогда не поддерживали... наверное есть в нем определенный смысл.
Да и selinux наверное тоже не зря в последние редхаты пихают...
Есть у кого-нибудь опыт, кто может рассказать, что его сервер был взломан и он понял как это случилось и что он сделал, чтобы в дальнейшем подобное не повторялось ?
ну с этим я точно справлюсь, благо на старой машине уже есть рабочий конфиг, который я просто перенесу на новую. Как раз этот вопрос меня не беспокоит.
Есть у меня
Есть у меня сервера в инете и с hardened и без, и одни и другие поломать очень сложно. Взломов не было. Hardened надежней, но и просто gentoo тоже надежна. Ставь hardened - спать крепче будешь.
версия ядро
тогда следующий вполне конкретный вопрос: почему вы советуете ядро 2.6, а не 2.4, тогда как в профиле hardened предлагается 2.4, и вы сами утверждали, что hardened надежнее ?
Может я что-то
Может я что-то не так сделал, но при запросе
emerge -s hardened-sources
Мне выдается версия ядра 2.6.11-r15.
_________________
With Love from Siberia!
Re: Может я что-то
может вы просто забыли нам сказать, какой у вас профиль ? :)
я, когда говорил о ядре 2.4 имел в виду, что будет использоваться профиль hardened и его стандартное ядро.
Если попытаться на профиле 2005.1 поставить hardened-sources, то допускаю, что ядро будет 2.6
Хотя может я отстал от жизни. Мои сведения получены месяц назад
PAX/Grsecurity
читаю про сабж. Интересные вещи в общем и целом. Я так понимаю, что при установке hardened-sources выбор между selinux и grecurity обязателен ?
В таком случае что из них предпочтительнее именно на пограничном сервере?
пока склоняюсь к grsecurity... Кто-нибудь может квалифициорванно рассказать о преимуществах/недостатках каждой из технологий ?
месяца 4
месяца 4 использую hardened kernel
думаю стоит обратить внимание на следущую вещь:
ядро 2.6.11-r15 но если сменить профиль на hardened то закачиваются
linux-headers 2.4 по крайней мере у меня так было (может что не так сделал) вобщем вычетал на gentoo.org/projects... что можно юзать обычный профиль но в make.conf надо добавить "hardened pic"
использую grsec и pax
мой make.conf
CFLAGS="-O2 -march=athlon-xp -ffast-math -fomit-frame-pointer -pipe"
CHOST="i686-pc-linux-gnu"
CXXFLAGS="${CFLAGS}"
USE="symlink 3dnow 3dnowex mmx fortran nptl nptlonly -threads \
hardened pic pie hardenedphp jce -dlloader extensions \
kerberos openssh sasl acl quotas \
unicode nls slang -ncurses userlocales \
lm_sensors -hal \
ldap imap curl \
bzip2 7zip \
apache2 flash gd tiff \
-X -gnome -gtk -gtk2 -kde -qt-gnome -libg -opengl -motif -svga \
-oss -alsa -arts \
-ipv6 -cups"
выбор ядра
так я и не понял, зачем гнаться за ядром 2.6... что в нем такого, что бы делало его предпочтительнее для сервера ?
Много слышал, что в 2.6 хуже работа с дисками сделана... а всякие новые фичи, которые добавляются в последние ядра ветки 2.6, как мне кажется на сервере не востребованы... по крайней мере для моих целей
или я что-то упустил из виду ?
1) По-поводу
1) По-поводу дисков - клевета.
2) 2.6 быстрее! На глаз видно что быстрее. (из-за prefetch)
3) Важна возможность вручную установить HZ (частоту системных прерываний),
HZ меньше - выше пропускная способность, но меньше отзывчивость, и наоборот. В 2.6 есть выбор между 100, 500 (по-моему), и 1000. Для сервера рекомендовал бы 500. В 2.4 фиксированое значение 100.
4) Возможность выбора алгоритма планирования ввода\вывода. Для нагруженых серверов с БД рекомендуется ставить deadline, еще хорош cfg.
5) Улучшеные алгоритмы планирования процессов.
выбор ядра
нашел интересную статью по теме http://www.opennet.ru/base/sys/linux26_intro.txt.html
судя по тексту 2/3 всех изменений в первую очередь касаются десктопа...
Но не хотите же
Но не хотите же вы сказать что то, что полезно для десктопа, будет вредно вашему серверу? Речь о том, что _наибольшую_ пользу эти изменения принесут на десктопе, но на сервере польза тоже будет, поверьте.
Но не хотите же
Но не хотите же вы сказать что то, что полезно для десктопа, будет вредно вашему серверу? Речь о том, что _наибольшую_ пользу эти изменения принесут на десктопе, но на сервере польза тоже будет, поверьте.
Re: Но не хотите же
честно говоря - не верю :)
но самому очень интересно на практике проверить. Потому, ближе к новому году, когда в мои руки попадет новая серверная железка я в течении недели буду иметь возможность сравнить разные ядра под нагрузкой и тогда уже сделать окончательный выбор.
Для
Для порганичного сервера лучше юзать NetBSD :)
Тогда уж OpenBSD.
Тогда уж OpenBSD.
У меня друг
У меня друг есть, у которого на бездисковом шлюзе с компакт-диска запускался FreeBSD и успешно выполнял свои функции. Шлюз, который всегда с тобой :). Так что, как вариант...
_________________
With Love from Siberia!
Re: У меня друг
Согласен ! Самый оптимальный авриант..
На генту тоже
На генту тоже есть такая штука: Gentoo Network Appliance (GNAP)