Promjene u kernel-2.6-cn paketu

Jedan od najpopularnijih CARNetovih programskih paketa, kernel-2.6-cn, uskoro će doživjeti promjene.

Kao što znate, kernel-2.6-cn je modificirani kernel koji sadržava, najčešće sigurnosne, dodatke koje smo odabirali, implementirali i testirali za vas. Nažalost, ovakav pristup je značio određeno vremensko kašnjenje naših kernela u odnosu na službene Debianove zbog dodatnog kompleksnog testiranja i provjera.

Dodatno, s vremenom su Debianovi kerneli postajali sve bolji, a neke zaštite su postale standardno implementirane u hardveru (poput zaštite od buffer overflow napada uporabom NX - No eXecute, tehnologije). Više informacija
možete naći na http://en.wikipedia.org/wiki/NX_bit.

Svi poslužitelji isporučeni ustanovama članicama u zadnjih 5 godina su ovog tipa (AMD64), a zaštićeni su čak i u 32-bitnom načinu rada (pod uvjetom da rabite BIGMEM kernel).

Odvagnuvši s jedne strane sve prednosti i mane modificiranog, a s druge službenog Debianovog kernela, odlučili smo napustiti izradu vlastitog kernela u korist uporabe Debianovog.

Za veliku većinu korisnika vidljivih promjena ne bi trebalo biti. Kernel-cn će i dalje postojati kao paket, jer on radi određene modifikacije sustava i trebao bi ostati na sustavu.

Od razlika između CARNetovog i Debianovog kernela, spomenut ćemo najbitnije:

- ExecShield - zamjenjuje ga hardverska zastita (NX-bit) unutar procesora (Athlon 64 i noviji, Pentium 4 i noviji).

- Layer 7 filtering - nije ugrađen u Debianove kernele. Novi paket kernel-2.6-cn ce detektirati ukoliko rabite L7 filtering i odbit će se instalirati. Svega nekolicina kolega rabi ovu tehnologiju, pa smatramo da ovo neće biti problem. Ukoliko ipak trebate imati ovakav kernel, a ne znate sami komplirati kernel, pomoći ćemo vam da sami napravite svoj kernel koji uključuje ovaj dodatak.

- druge razlike su male, i u većini slučajeva se jednak rezultat može dobiti podešavanjem sustava putem /etc/sysctl.conf konfiguracijske datoteke (što će raditi paket kernel-2.6-cn).

Vjerujemo da će navedena promjena, zbog brzog odziva Debianovog sigurnosnog tima, značiti i povećanu sigurnost vaših poslužitelja.