Forum Debian Users Gang

Jajo ovh ma wyłączne ładowanie modułów, i konfigu z niego normalnie nie wytargasz.

Jak potrzebujesz przekompilować, to config do takiego jajka jest dostępny na serweze ftp ovh, na forum.ovh są sznurki na ten temat, w razie czego też lepiej tam pytać.

Tu masz info od  pracownika ovh - który pisze, skąd wziąść defaultowy konfig:
http://forum.ovh.pl/showthread.php?t=15248

Jest też pomoc techniczna, jakby forum nie pomogło.
Jak się płaci, to się też wymaga.

Jak chcesz sam zrobić konfig kernela, to targasz moduły z

lspci -k

i

lspci -n

Tutaj masz gotowe narzędzie do tego:
http://kmuto.jp/debian/hcl/
Do tych sterowników musisz zaznaczyć opcje, które potrzebujesz, może nie za pierwszym, ale z trzecim razem jajo już powinno śmigać bez problemu.

Kiedyś, ze dwa latka temu, kompilowałem jajo na serwerze ovh, ( wtedy był dostępny oficjalnie przez http - wersja 2.6.26 chyba), i pamiętam, że ich konfig mnie mocno zdziwił  np był tam kompletny grsecurity, ale nie nie było modułów netfiltera do normalnego iptables.

Potem zajarzyłem, ze przecież do każdego serwera proponują firewall Cisco ASA za 79/mies.

W każdym razie albo pomoc techniczna ovh (gdzie jest config) , albo na piechotkę od allnoconfig (to wbrew pozorom wcale nie jest jakiś horror na serwerze, który potrzebuje 6 sterowników na krzyż, i wszystkie można wytargać z  lspci.)

I nie musisz 3 raz zakładać wątku, bo o tym pisałem już tutaj:
http://forum.dug.net.pl/viewtopic.php?pid=223987#p223987 i dzisiaj piszę drugi raz.

Tu masz konfigi do starszych jajek, ja chyba z tego adresu kiedyś sciągnąłem:
http://www.mmnt.net/db/0/0/ftp.ovh.net/made-in-ovh/bzImage/old/


Edyta:
Tu jest jakieś 3.2:
http://www.mmnt.net/db/0/0/ftp.ovh.net/made-in-ovh/bzImage/
Względnie świeże.
W tym wątku też są sznurki:
http://forum.ovh.pl/showthread.php?t=6698

Ja mam tylko taki kłopot, że z mojego kompa nie mogę się wbić na serwer ftp ovh, a nie chce mi się wynajmować serwera po to, żeby zobaczyć, czy ten ftp jest dostępny w intranecie ovh.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2013-02-12 18:27:57)

mati75 napisał(-a):

Dystrybucyjne normalnie pracują na serwerach ovh przynajmniej w Debianie.

Każde rozwiązanie ma zalety i wady.
Dystrybucyjny może sobie działać, ale każda możliwość ładowania modułów daje możliwość podrzucenia lewego modułu z backdorem.
O wiele lepiej zrobić kernel zbudowany na sztywno ze wszystkimi potrzebnymi modułami i sterownikami,  i wyłączyć ładowanie modułów zewnętrznych.

Wtedy niemożliwe jest załadowanie obcego kodu do kernela nawet, gdy atakujący zdobędzie uprawnienia roota.

Wyjątek zrobiłbym ewentualnie  dla xtables-addons a konkretnie modułu xt_SYSRQ, który pozwala odpalić polecenie Magic_SYSRQ przez zaszyfrowany pakiet UDP, to akurat może się przydać w razie ciężkich problemów.

W dodatku taki serwer, jeśli ma własne dyski, to potrzebuje zaledwie kilku sterowników, kontroler dysku i chipsetu, pamięci, karty sieciowej, systemy plików, sieć i firewall.
Trochę więcej zabawy jest z iscsi czy drbd.
Nie używa się na nim natomiast  kart muzycznych, ani kamerek video i nie podłącza fonów z Androidem, bluetootha i podobnych śmieci.
Więc nie czaję, dlaczego nie starcza allnoconfig i lspci.
Jak ktoś potrafi kompilować kernele, to nie powinien mieć żadnego problemu z takim jajem.

Na takim serwerze też warto wywalić udev, postawić statyczny dev albo mdev, systemy plików ustawić w fstab, i wszystko pójdzie stabilnie i szybko.
I dzięki takiej konfiguracji system ma  możliwie najmniejszą liczbę punktów SPOF.

Pozdrawiam
;-)

Żeby jajo wstało na raidzie, trzeba mu to ustawić w parametrach startowych - w cmdline.
i oczywiście musi mieć moduły do raida i kontrolery wbudowane.

Poza tym jajo ovh - jak na nim odpalisz - to co jest w /proc/cmdline?

Ciąg dalszy w dmesg....
I nie czaję, czemu on woła o root-NFS - jeśli ma swoje dyski.

Udało mi się wczoraj jakimś cudem wytargać z ovh ftpa jakiś konfig.
Moduły do sprzętu ma zaznaczone, przyda się na pewno:
http://jacekalex.sh.dug.net.pl//config-ovh-x86-64

W tym jaju nie ma ani Grseca, ani Paxa, ani Ipseta.
Na serwer się nadaje jak kozia dupa na torbę podróżną, dawno nie widziałem takiej tandety.
Zabezpieczenia musisz zrobić sam, ale grunt, że sterowniki sprzętu  ma zaznaczone.

Hej.

Dostaje juz ktorys raz z rzedu taki blad:

grsec: protected kernel image paths
  GEN     .version
  CHK     include/generated/compile.h
  UPD     include/generated/compile.h
  CC      init/version.o
  LD      init/built-in.o
  LD      .tmp_vmlinux1
kernel/built-in.o: In function `ns_capable_nolog':
(.text+0x1ccfc): undefined reference to `security_capable_noaudit'
make[2]: *** [.tmp_vmlinux1] Error 1
make[1]: *** [deb-pkg] Error 2
make: *** [deb-pkg] Error 2

W google pusciutko.

Ale ja nigdy nie uzywalem testowych latek. Tylko "stable". Zrodelka sa z kernel.org. Wczesniej kompilowalem jajo 3.2.38+grsex a teraz 2.6.38.60 i to samo wywala.

@Jacek

Jedynie co sie nie wywala to jajko gentoo-sources po kompilacji. Jeszcze nigdy sie nie wywalilo a kompilowalem je tutaj chyba z nascie razy. Tylko, ze tam jest jajo 3.5.7 ! Wedlug grsec to nie jest stable, ale pewnie team hardened zadbal o to, zeby dzialalo jak ma dzialac, wiec juz nic nie wiem.

No i dziala.

Podziekowac Ci @Jaceklex za b.dobry support !