|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Yuriy Kaminskiy 2:5020/517.21 31 May 2001 19:16:14
To : Michael Shigorin
Subject : Re: маскарадинг & ftp
--------------------------------------------------------------------------------
Hello, Michael!
>>>>> On 08:01 29/5/2001, mike@lic145.kiev.ua writes:
MS> Hе все их любят -- "секьюрити, перформанс"...
VB> красивые слова я и сам заню.
MS> Ммм...
MS> ~> /sbin/lsmod
MS> Module Size Used by
Hу и к чему это?
VB> Аргументы хоть у одного "нелюбителя" есть?
MS> Есть -- начиная от разборов на securityfocus и в кернельных рассылках
MS> (если я правильно прочел lwn несколькинедельной давности).
Да? Только просмотрел lwn до марта включительно - ничего не нашел :-|
Только упоминание о том, что запрет модулей не спасает от /dev/mem. А
/dev/mem - хрен запретишь, слишком многие его хотят (начиная от
XServer; а ведь, казалось бы, что мешало аналогичное устройство, только
с доступом к ограниченному диапазону адресов - от вандализма это не
спасло бы, а вот от "незаметного" влезания куда не надо - запросто).
VB> Если машину проломили до того уровня, что могут загрузить свой модуль, то
VB> наверняка смогут что-то сделать с ней нехорошо даже если там модулей
VB> совсем нет.
MS> Hасколько я понимаю, добавление еще одной потенциальной возможности для
MS> этого не всем нравится. Этот вопрос поднимали достаточно серьезно.
Hу и? В чем проблема? Загружаем модули, и плюемся в /proc/sys/kernel/cap-bound.
Только даже на монолитном ядре ничто не мешает загнать какой угодно
код через этот самый /dev/{k,}mem :-|
VB> Про перфоманс это вообщесмешно. Два тика процессора?
MS> Да, но у кого-то они нужны слишком часто.
Так в чем проблема загрузить такие "слишком часто нужные" модули без
флажка autoclean? Или вообще выкинуть rmmod -a из crontab?
MS> При мне упоминался аргумент, состоящий в том, что те же syscall'ы в ядре
MS> с модулями поддерживаются через _динамическую_ таблицу, а в безмодульном
MS> -- нет.
Разве? Только что посмотрел (2.2.19) единственное изменение, связанное
с модулями - это то, что при отсутствии модулей при обработке
исключений в коде ядра просматривается только одна таблица, а в случае
наличия модулей - еще и таблицы исключений от модулей.
Код этот вызывается раз в три года :), поиск по таблицам - бинарный, и
никакого влияния на производительность он оказать не может.
MS> Тут я не спец, поэтому от комментариев воздержусь -- опять-таки,
MS> это скорее нюансы, вылазящие в разницу при действительно дикой нагрузке.
MS> А так, _меня_ мой modular Linux kernel более чем устраивает =)
--
Yuriy Kaminskiy.
--- Gnus v5.2.25/XEmacs 19.14
* Origin: none (2:5020/517.21@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: маскарадинг & ftp |
Yuriy Kaminskiy |
31 May 2001 19:16:14 |
|
|
