On Mon, Dec 22, 2003 at 02:12:29PM +0300, info wrote:
> > > Вообще, для серверов и тем более файрволлов монолитное ядро
> > > без модулей, IMHO, вообще должно быть аксиомой.
> > Слишком дорого.
> Что дорого? Выпускать дистрибутивы с набором монолитных ядер
> под разные виды железа? Согласен, это безумие.

Чистой воды.

> Но вот собрать свое монолитное ядро под свой сервер, а тем
> более файрволл - прямая обязанность админа. 

Повторюсь: без мотивации у меня такой админ помещается в очередь
за дверь.  Вот посмотрю, переучиваемый или нет...

> Я прикинул - у меня это занимает часа два в год... Может,
> четыре. Но зато у меня ни разу не было ситуаций наподобие той,
> которая тут недавно обсуждалась -  имеется в виду ветка
> [sisyphus] kernel-image-std-smp@2.4.22-alt13

Хех.  Не верю, что не было ни разу более других ситуаций.

> Вопрос: на что тратится больше времени, на прогонку
> компилятором по отлизанному .config, или на возню вот с такими
> проблемами?

На решение проблемы в апстриме время по определению тратится
более эффективно.  ПОтому что потом достаточно взять то, что
считаешь good enough, и не парить репу.

Hint: что Вы делали с последним local root?  Правильно, тратили
время.  А шансов огрести грабли при этом что -- не было?

> > А я сейчас вообще зачастую склонен зачислять собирателей ядер
> > в пионеры, если они не могут внятно мотивировать
> > _необходимость_ использования рабочего времени на это.  
> Необходимость? Запросто. Например, безопасность. Я _абсолютно_
> уверен, что никто и никогда, ни на какой машине, не подгрузит
> какой-нибудь модуль, который я там не хочу видеть, и не
> запустит какой-нибудь сервис, которого быть не должно.

А я бы не был так уверен, пока есть возможность писать в
/dev/kmem; даже не читая bugtraq.  А админ, который в чем-то
_абсолютно_ уверен -- тоже, кстати, вызывает подозрения в
профпригодности, Вы уж не обессудьте. (сам такое прошел)

Это раз.

Два -- посмотрите пакет kernel-fix-security и убедитесь, что
_все_ патчи (в эквиваленте) у Вас приложены.  Иначе все эти
разговоры про секурити самосбора -- самодур.

И это ведь еще не все моменты, из-за которых building custom
kernels considered harmful в общем случае.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/