# [SOLVED] Ktory kernel dla Desktopa

## Mroofka

mam pytanie ktore wybrac i jakie sa roznice... mam desktopa PIII i nie robie nic poza ogladaniem filmow no i czasem ktos skorzysta proftp, ssh, apache, postfix, i takie tam bzdurki :p... 

Ktore jest najlepsze dla mojego desktopa... nie uzywam reiser4, za to chcialbym zobaczyc roznice w dzialanu systemu... wiem sa tez inne sposoby ale chodzi mi teraz konkretnie o kernell czy ktos moze cos doradzic bo :

vanilla vivid love usermod nitro morph mm gvivid ck cko 

w kazdym z nich jest napisane ze poprawia wydajnosc... niestety nie znam sie na tym i lista latek ktore sa zamieszczone nic mi nie mowi... potrzebuje tlumaczenia prostego czy ktos moze mi wyjasnic roznice i cos doradzic

pozatym chyba love sa najpopularniejsze ale podobno wychodza z uzycia :p

Pozdrawiam

----------

## BeteNoire

Wypróbuj wszystkie, a znajdziesz swoją odpowiedź  :Very Happy: 

Osobiście mam gentoo-sources, a że nie jestem "geek'iem linuksowej wydajności"  ani testerem toteż specjalnie nie zabiegam o wyszukane jajka i łatki do nich.

Wychodź z założenia: "jeśli nie wiesz czy coś Ci jest potrzebne to nie jest Ci potrzebne", a będzie dobrze.

Acha, zobacz co znalazłem na ten temat w google - pierwszy wynik szukania, nawet nie trzeba "przekopywać" się przez dokumentację...Last edited by BeteNoire on Tue Oct 04, 2005 4:46 pm; edited 1 time in total

----------

## univac^

gentoo/vanilla

----------

## nbvcxz

na nienajnowszym sprzęcie mam nitro-sources (2.6.13.2-nitro1) i sprawują się najlepiej ze wszystkich dotąd testowanych

----------

## morgir

ja też słyszałem że vanilla ... ale tylko słyszałem

----------

## blazeu

Vanilla to czysty kernel tzn. bez zadnych latek. Inne kernele wybiera sie przewaznie ze wzgledu na latki ktore cie interesuja (softsuspend 2, rozne IOSchedulery, reiser4). Ja uzywalem nitro, ck, mm, love i duzej roznicy nie widzialem... Moze jest widoczna w testach, ale dla normalnego usera roznicy raczej nie ma...

----------

## Mroofka

ja od poczatku swej dzialanosci jade na gentoo-sources ale wlasnie to kolejkowanie mnie zaciekawilo bo tego nie ma w tych wydaniach... 

Czyli jednak nie warto sobie glowy zawracac i zostac przy standardzie :>

Pozdrawiam

----------

## n3rd

 *Mroofka wrote:*   

> mam pytanie ktore wybrac i jakie sa roznice... mam desktopa PIII i nie robie nic poza ogladaniem filmow no i czasem ktos skorzysta proftp, ssh, apache, postfix, i takie tam bzdurki :p...

 

Pomyśl trochę nad tym co napisałeś! Apache, ssh, proftp... to jest oprogramowanie desktopowe?? Raczej czysto serwerowe... a instalując to wszystko na desktopie, do tego nawet nie wiedząc jak właściwie to skonfigurować (a takie odnoszę wrażenie, że nie bardzo wiesz jak to poustawiać skoro o rodzaj jaja pytasz).. sam prosisz się o kłopoty.

 *Mroofka wrote:*   

> Ktore jest najlepsze dla mojego desktopa... nie uzywam reiser4, za to chcialbym zobaczyc roznice w dzialanu systemu... wiem sa tez inne sposoby ale chodzi mi teraz konkretnie o kernell czy ktos moze cos doradzic bo :
> 
> vanilla vivid love usermod nitro morph mm gvivid ck cko 
> 
> w kazdym z nich jest napisane ze poprawia wydajnosc... niestety nie znam sie na tym i lista latek ktore sa zamieszczone nic mi nie mowi... potrzebuje tlumaczenia prostego czy ktos moze mi wyjasnic roznice i cos doradzic

 

Im więcej łat na jaju tym większe prawdopodobieństwo niestabilności i problemów. Nie ma znaczenia jakie jajo wsadzisz na desktopa ale jak je skonfigurujesz. Nawet jeżeli posadził byś speed-sources i nie skonfigurowałbyś go właściwie, nic by Ci ono nie dało.

Osobiście stosuję rsbac-sources ale Tobie bardzo je odradzam. mm-sources też raczej nie powineneś stosować - to jest jajo rozwojowe i nie zawsze stabilne (powinno być chyba zamaskowane). ck-sources są bardzo dobre. vanilla to orginalny linux - ze względu na możliwość dystrybucji do krajów gdzie są różne restrykcje (np. co do kryptografii) nie posiadają one wielu fajnych opcji... ale filmy oglądać będziesz mógł bez problemu  :Wink:  usermod <- dziwne że jeszcze trzymają to jajo  :Wink:  gdyż obecnie UML chyba został oficjalnie włączony do jądra.

pozdrawiam

daniel cegielka

----------

## dylon

Na moim duronie 700 najlepiej/szybiej dziala love ale okazjonalnie (srednio raz na tydzien (nitro podobnie) potrafi mi zawiesic kompa).

Oczywiscie duzej roznicy w szybkosci nie ma ale przy moich szpokach z wydajnoscia dysku (transfer ok 4MB/s)  juz sa zauwazalne (ale jakichkolwiek testow nie chcialo mi sie robic).

Kernel z galezi gentoo-sources dziala bez zarzutu.

p.s. wersje kerneli mam: 2.6.11-gentoo-r6, 2.6.12-love1, 2.6.12-nitro5

p.s.2 podejrzewam ze przy szybkich kompach decydujaca o wyborze moze byc chyba tylko obsluga reiser4

Pozdrawiam

----------

## qermit

ja jadę na mm-sources i jakoś zwiechy nie mam. No może jak mam załadowany moduł do mojej egzotycznej karty graficznej (unichrome)  włączony i zadługo gram w unreala/quake

----------

## rudyyy

od zawsze vanilla sources z wyszukanymi latkami (za wiele ich nie jest narazie, bo tylko do bootsplasha i resierfs)

----------

## MaRkOS

Witam,

Właśnie zrezygnowałem z nitro-sources. Nic złego nie mogę o nim powiedzieć po prostu była mała przycinka przy starcie managera logowania i jednak zbyt dużo ramo zjadalo po starcie. Jakoś mnie to irytować zaczęło  :Smile:  W odwodzie trzymam love-sources. A w tej chwili jadę na vivid-sources. Jako, że znawcą linuxa nie jestem przetestowałem kilka patrząc jak się system bootuje i jakie zużycie mam ramu po odpaleniu systemu, przy każdym z jaj było różne. Wybrałem takie, ktore mi najmniej żarło i przy którym system najplynnej startował.  A love-sources lubię za to serducho co się pojawia przy bootowaniu  :Very Happy:  (taka drobna miła przyjemność :Smile:  Bardzo dobre wrażenie zrobiło na mnie morph-sources, ale jeden feler nie pozwala mi używać tego jajka (brak mojej sieciówki) a nie chce mi się ręcznie męczyć z dokładaniem. Ale to jak się szybko system i płynnie odpalał to byłem w szoku. Może to mało profesjonalne podejście, ale warto potestować i dobrać coś do swoich potrzeb i upodobań. W pracy mam mm-sources i o dziwo przy moim poziomie zieloności nic się nie dzieje  :Smile: 

----------

## Mroofka

n3rd dziekuje slicznie za najlepsze jak do tej pory wyjasnienia odnosnie roznic... szkoda tylko ze na podstawie mojego pytania o rodzaj kernela doszedles do wniosku ze mam zle skonfigurowane demony... mozesz mi przedstawic swoj tok myslenia bo wydaje mi sie ze spora czesc jesli nie wiekszosc powaznych serwerow z dobrze skonfigurowanymi programami chodzi wlasnie na podstawowych jadrach. Pozatym znajomosc configa apacha czy postfixa (które chodzą dobrze jak dla mnie) chyba niewiele ma wspolnego ze znajomoscia kazdej latki w niemal "praywatnych" wersjach kernela. Dlatego tez prosil bym na przyszlosc bys jednak jesli to bedzie mozliwe to odpowiadal na moje pytania a nie wyciagal wnioski odnosnie moich ustawien. Moze tez sprobojesz wywnioskowac ile mam wzrostu . Zgodzil bym sie gdybys stwierdzil ze jestem dysortografem bo to widac jak sie czyta moje wypowiedzi... ale to chyba tyle.... pozatym gdybys sie i do ortografi przyczepil to z koleii bylo by to naruszeniem ogulnie znanej netykiety...

Pozdrawiam

----------

## n3rd

Mroofko!

Przepraszam jeżeli poczułeś się urażony.. Naprawdę nie miałem zamiaru robić Ci złośliwych uwag i przykro mi, że tak wyszło. Na przyszłość postaram się nie wyciągać tak dalece idących wniosków, jak to je wyciągnąłem w swojej poprzedniej wypowiedzi. Zwyczajnie zaskoczyło mnie to, że pytasz o jądro na desktopa, który de facto jest pełnowartościowym serwerem... na moje odczucia coś tu jest chyba nie tak? Chwalisz się zainstalowanym oprogramowaniem serwerowym, które to raczej wymaga do prawidłowego skonfigurowania, troszeczkę szerszej znajomości systemu a jednocześnie pytasz o rodzaje jąder, które w wiekszości posiadają lepszą czy gorszą dokumentację o nałożonych łatach oraz ich profilu i przeznaczeniu. W moim odczuciu jest w tym wszystkim jakaś sprzeczność... ale nie chcę wyciągać kolejnych wniosków.. bo znów mi się od Ciebie dostanie  :Wink:  a nie o to chyba chodzi, aby sobie złośliwie docinać, ale pomóc komuś rozwiązać jego problem.

Gdyby chodziło Ci o jajo raczej serwerowe, to od razu doradziłbym rsbac-sources - przy czym, gdyby Cię ono zainteresowało, to juz mówię, że jest trochę więcej zabawy z ustawieniami oraz musisz wywalić nptlonly z make.conf, bo Ci sie rsbac-admin nie skompilują  :Wink: 

Pozdrawiam i życzę owocnego make menuconigurowania  :Wink: 

daniel cegielka

----------

## Mroofka

Heh... no coz moze trche zaszybko sie zezloscilem, ale przyznam ze stwierdzenie iz nie umiem ustawic demonow na podstawie tego ze sie pytam o kernell mnie wkurzylo  :Razz: . 

Mysle ze jednak jest w tym troche mojej winy bo moglem to lepiej wyjasnic a nie liczyc ze ";p" zalatwi sprawe i wszyscy sie domysla co mam na mysli.

Dla Ciebie n3rd i dla innych ktorzy sie zaciekawili  :Smile: ;

mam desktopa ktorego glownym zastosowaniej jest zaspokojenie mojich codzinnych potrzeb., www, gg, filmy, muzyka jednak poniewaz nie chcialem by sie marnowaly mozliwosci linuxa to postawilem na nim kilka drobiazgow (dlatego ";p") jak wlasny serwer poczty (bo po co wp jak mam w domu wlasna domene) ssh (dla znajomych ktorzy sie ucza linuxa i potrzebuja dostep do shela, oraz czasem mi sie przyda by cos kliknac gdy mnie nie ma w domu) no i ftpik bo ludzie czasem prosza o zdjecia z imprez czy inne pliczki a mi latwiej to udostepnic na ftp niz kazdemu wyslac mailem czy na gg... to chyba tyle..

Zalezy mi na zastosowaniach desktopowych bo to glownie na nim robie... a o serwerach wspomnialem tylko dla informacji innych "bo moglo miec to znaczenie w doborze kernella"

Pozatym zdecydowalem sie na nitro a gvivid sprawdze w 2 kolejnosci  :Razz: 

Pozdrawiam

----------

## n3rd

Ja znowu z takim serwerowym oprogramowaniem nie spałbym po nocach  :Wink:  z obawy, że ktoś mi na kompie zagości. Mam neo i szczęka opada jak się popatrzy w logach ile pakietów w kompa stuka.. czy np. snorta zapuścisz, to już zupełnie zalewają Cię alarmy o potencjalnym ataku.. że w końcu masz dość tej neo  :Wink:  Firewalla ustawiłem, że wszystko mam na DROP - firefox przez to siada okropnie ale przynajmniej nie widać mnie tak bardzo  :Wink:  Do tego jądro-rsbac - ale tu jeszcze nie ustawiłem do końca wszystkiego i czasami zwyczajnie ładuję jajo bez rsbaca.. No i na koniec PaX  :Wink:  Ten to potrafi program z killować w najlepszym momencie.. ale jestem zadowolony z tej łaty i bardzo ją wszystkim polecam.

Więc jak napisałeś, że masz soft serwerowy na desktopie, to zwyczajnie szczęka mi opadła, bo ja bym z nerwów jednego dnia spokojnie nie przesiedział... i pewnie nigdy nie odważyłbym się na zainstalowanie na desktopie takiego softu.

Pozdrawiam i jeszcze raz sorry za moje błędne założenia..  :Wink: 

daniel cegielka

----------

## Mroofka

hehe a ja myslalem ze to ja jestem przewrazliwiony na punkcie bezpieczenstwa... :p

Jak do tej pory jedyne co notuje to pruby uruchomienia jakiegos skryptu cgi na apachu choc ich nie uzywam. ftp i ssh sa na wyskich portach wiec nikt nawet nie wie o ich istnieniu a postfix ma zabronione przekazywanie i nie pozwalam tylko na lokalne obieranie poczty tak wiec ja jedynie o co sie martwie to oppendchub bo o nim niewiele wiem ale w logach nic specjalniego nie znalazlem  :Smile: 

Pozdrawiam

----------

## n3rd

Wywal apacha i tym podobne badziewia i postaw publicfile. 

* nie będziesz miał problemów z cgi... itp,

* serwer będziesz miał na chroocie a nie z uprawnieniami roota,

* nie będziesz miał udostępnianych plików do których systemowi userzy nie będą mieć prawa odczytu (właściciel i grupa),

* za jednym zamachem będziesz miał względnie bezpieczny serwer www i ftp.

Autorem jest Bernstein, autor qmaila  :Wink: 

Do tego wszystkiego programik jest bardzo lekki i nie będzie zjadał Ci zasobów systemowych. Myślę, że publicfile będzie idealny do Twoich zastosowań.

Pozdrawiam

daniel cegielka

----------

## argasek

Polecam gentoo-sources, stabilność (dla mnie) 100%, problemów wydajnościowych nie zauważyłem. Przez pewien czas używałem cko, całkiem miły patchset.

----------

## Mroofka

 *Quote:*   

> Unsupported features
> 
> ftpd does not support file modification requests such as STOR.

 

niestety odpada w moim przypdaku ... ale wielkie dzięki za zainteresowanie, zastanawiam sie czy nie zmienic choc serwera www na cos lzejszego jak apache

Pozdrawiam

----------

## mr00wka

Ja uzywam hardened-sources mimo iz jest to maszyna desktopowa to posiadam publiczne IP i bawie sie troche apache, ponadto powoli zaczynam sie interesowac troche bezpieczenstwem.

Nie zauwazylem zadnych problemow ze stabilnoscia, ponadto szybkosc dzialania rowniez jest swietna, ut2k4 dziala bez najmniejszych problemow ;-)

----------

## szolek

No to ja dopiszę.

Po przeczytaniu postów w tym temacie stwierdziłem że muszę co najmniej spróbować morph-sources. Wcześniej zmieniłem gentoo-sources na ck-sources i brakowało mi vesa-tng. Dźwięku niby nie zacina co czasem dawało się usłyszeć na gentoo-sources, a poza tym większej różnicy nie widzę w tych 3 jądrach. Mam ochotę jeszcze spróbować reiserfs4. Trochu mnie powstrzymuje napis "experimental" i to że będę potrzebował jakiegoś live CD z obsługą tego systemu plików.

----------

## szpil

Mam pytanie, czy mógłby ktoś wystawić swój config np. gentoo-sources? Mam kilka problemów z 2.6.13 (wcześniej development-sources 2.6.10). 

Problem z framebuffer oraz z nvidią (moduł glx). 

Zastanawiam się też nad wkompilowaniem na stałe sieciówki, dźwiękówki bt8XX. Czy jest sens? Nie będzie z tym problemów?

Pozdrawiam

----------

## qermit

 *szpil wrote:*   

> Mam kilka problemów z 2.6.13

  Odrazu wiadomo o co chodzi @#$^#@#$%. Złóż nowy temat.

----------

## Raku

 *szolek wrote:*   

> Wcześniej zmieniłem gentoo-sources na ck-sources i brakowało mi vesa-tng. 
> 
> 

 

łątkę z vesa-tng można ściągnąć ze strony Spocka (autora) i samodzielnie zaaplikować na ck-sources. Łata nakłada się bez żadnych problemów

 *Quote:*   

> Mam ochotę jeszcze spróbować reiserfs4.
> 
> 

 

nie ma sensu. Przyrostu prędkości nie ma żadnego (mówię o subiektywnym odczuciu pracy w systemie, a nie o testach, gdzie rozpakowanie jakiegoś tara trwa sekundę szybciej), a responsywność systemu spada. Przy kopiowaniu na resier4 dopiero mi rwało dźwięk - to było co prawda już daaawno temu, może do tego czasu coś się poprawiło, ale ja dziękuję.

----------

## nbvcxz

 *Quote:*   

> nie ma sensu. Przyrostu prędkości nie ma żadnego (mówię o subiektywnym odczuciu pracy w systemie, a nie o testach, gdzie rozpakowanie jakiegoś tara trwa sekundę szybciej), a responsywność systemu spada. Przy kopiowaniu na resier4 dopiero mi rwało dźwięk - to było co prawda już daaawno temu, może do tego czasu coś się poprawiło, ale ja dziękuję.

 

Ja  z kolei mam całkowicie odwrotne odczucia - reiser4 poprawił działanie systemu (zwłaszcza pracę z portage) a spadek responsivness prawie niezauważalny. Teoretyczne problemy i błędy sa jak dotąd dla mnie 'czystą teorią' - nawet po przerwie z zasilaniem system wstaje bez problemu. Ale co do kernela - stąd mój wybór nirto-sources (właśnie zainstalowałem 2.6.14-cr3-nitro1).

Osobiście próbowałem różnych wersji 'jajek' i jeżeli chodzi o optymalne osiągi to nie tylko ważny jest wybór kernela (czy raczej patchsetu), a przede wszystkim wlaściwy dobór opcji. Od razu pytanko do innych forumowiczów - czy jest jakaś w miarę dobra stronka z opisami opcji kernela poza oczywiście standartową dokumentacją?

----------

## BeteNoire

 *szpil wrote:*   

> Mam pytanie, czy mógłby ktoś wystawić swój config np. gentoo-sources? Mam kilka problemów z 2.6.13 (wcześniej development-sources 2.6.10). 
> 
> Problem z framebuffer oraz z nvidią (moduł glx). 

 

Pewnie dałeś nvidia framebuffer. Wyrzuć to a zostaw Vesa.

 *szpil wrote:*   

> Zastanawiam się też nad wkompilowaniem na stałe sieciówki, dźwiękówki bt8XX. Czy jest sens? Nie będzie z tym problemów?

 

Jakich znów problemów? I jaki sens jest modularyzować coś z czego korzystasz na codzień? Oczywiście, że trzeba dawać to monolitycznie. No, chyba, że sprawia jakieś dzikie problemy...

----------

## n3rd

 *mr00wka wrote:*   

> Ja uzywam hardened-sources mimo iz jest to maszyna desktopowa to posiadam publiczne IP i bawie sie troche apache, ponadto powoli zaczynam sie interesowac troche bezpieczenstwem.
> 
> Nie zauwazylem zadnych problemow ze stabilnoscia, ponadto szybkosc dzialania rowniez jest swietna, ut2k4 dziala bez najmniejszych problemow 

 

Odradzałbym hardened-sources na rzecz rsbac-sources. Oba te jądra posiadają łatę PaX i są częścią projektu hardened-gentoo a różnica sprowadza się do SELinux i RSBAC. Selinux daje Ci w zasadzie tylko model oparty na rolach a koszty tego są takie, że system zwalnia niemiłosiernie. RSBAC nie jest tak destrukcyjny dla wydajności systemu (na stronie domowej rsbaca są nawet testy pokazujące jak niewielkie ma on wymagania) a oferuje znacznie więcej niz selinux. RSBAC zawiera wiele modeli bezpieczeństwa i możesz w bardzo wielkim stopniu dostosowac go własnych oczekiwań... i nie ma problemów aby stosowac RSBAC na desktopie.

Co innego jeżeli chodzi o selinux. W gentoo jest on wspierany tylko na serwery więc jak będziesz chciał odpalić go na desctopie to możesz mieć wiele problemów.

Polecam zobaczyć: https://forums.gentoo.org/viewtopic-t-381077-highlight-.html

oraz http://rsbac.org/

Do tego wszystkiego SELinux jest opatentowany a RSBAC jest całkowicie wolny od wszelkiech tego typu ograniczeń - takie są jedne z głównych założeń projektu.

Pozdrawiam

daniel cegielkaLast edited by n3rd on Mon Oct 10, 2005 12:39 pm; edited 2 times in total

----------

## szolek

 *nbvcxz wrote:*   

> (właśnie zainstalowałem 2.6.14-cr3-nitro1).

 

Odrazu moje pytanie: 

Skąd to ziołeś?

Ja osobiście za sparwą opisu z gentoo-wiki.com, za pomocą gensync próbowałem zemergować najświeższe jakie było. Czyli jakieś na 2.6.12. Macie jakiś przepis na nitro?

Na morph co do reiser4 już się nie cieszę bo nie idzie tego wkompilować. Sypie błędami podczas budowania obrazu. Jako moduł przechodzi.

----------

## nbvcxz

całość opisana na https://forums.gentoo.org/viewtopic-t-388992.html

pobierasz kernel http://www.kernel.org/pub/linux/kernel/v2.6/testing/linux-2.6.14-rc3.tar.bz2

i patchujesz go http://www.stud.uni-karlsruhe.de/~uyavl/public/nitro-sources/2.6.14-rc3-nitro1/patch-2.6.14-rc3-nitro1.bz2

i działa   :Wink: 

BTW co do opisu kernela to chodziło mi o coś bardziej rozbudowanego w stylu

https://forums.gentoo.org/viewtopic-t-139455.html

----------

## Bako

 *nbvcxz wrote:*   

> całość opisana na https://forums.gentoo.org/viewtopic-t-388992.html
> 
> pobierasz kernel http://www.kernel.org/pub/linux/kernel/v2.6/testing/linux-2.6.14-rc3.tar.bz2
> 
> i patchujesz go http://www.stud.uni-karlsruhe.de/~uyavl/public/nitro-sources/2.6.14-rc3-nitro1/patch-2.6.14-rc3-nitro1.bz2
> ...

 

a po co recznie sciagac kernel i go "paczowac"  :Wink:  skoro jest ebuild

ps. stabilne fglrx nie chca dzialac pod tym kernelem - tyle udalo mi sie wywnioskowac zaraz po kompilacji

ps2. jakby mniejsze zuzycie ramu w porownaniu z nitro 2.6.13.2

----------

## mr00wka

 *n3rd wrote:*   

> Odradzałbym hardened-sources na rzecz rsbac-sources. Oba te jądra posiadają łatę PaX i są częścią projektu hardened-gentoo a różnica sprowadza się do SELinux i RSBAC.
> 
> Co innego jeżel chodzi o selinux. W gentoo jest on wspierany tylko na serwery więc jak będziesz chciał odpalić go na desctopie to możesz mieć wiele problemów.

 

Dzieki za info :D w sumie to stosuje jedynie PaX oraz GrSecurity plus troche roznego rodzaje rozszerzenia iptables. Zaraz zrobie emereg kernela rsbac i sie troche pobawie :>

SELinuxa nigdy jednakze nie uzywalem.

----------

## n3rd

 *mr00wka wrote:*   

> Dzieki za info  w sumie to stosuje jedynie PaX oraz GrSecurity plus troche roznego rodzaje rozszerzenia iptables. Zaraz zrobie emereg kernela rsbac i sie troche pobawie :>
> 
> SELinuxa nigdy jednakze nie uzywalem.

 

Jeżeli emergujesz rsbac-sources to już Ci mówię co będziesz musiał zrobić. Potrzebne będzie Ci narzędzie do zarządzania rcbac-iem, czyli rsbac-admin. Jednak aby móc bezbolesnie zainstalować rsbac-admin będziesz musiał:

1). Usunąć flagę nptlonly z make.conf i przekomilować glibc. Jeżeli będziesz miał glibc skompilowane z nptlonly, wtedy kompilacja rsbac-admin zakończy się błędem z powodu braku kilku plików nagłówkowych.

2) Będziesz musiał kompilować rsbac-admin na jądrze bez łaty PaX. Nie wiem dlaczego, ale PaX zabija mi proces kompilacji rsbac-admin i chyba będzie trzeba odezwać się do ludzi od rsbaca aby poprawili ten błąd.

3) Będziesz musiał stworzyć nowego użytkownika w systemie (secoff) i nadać mu uprawnienia do powłoki basha oraz ustawić hasło. MAŁA AKTUALIZACJA - Sprawdziłem ebuild rsbac-admin i user secoff jest tworzony automatycznie podczas emergowanie rsbac-admin, więc punkt ten jest nieaktualny i nie trzeba samodzielnie dodawać użytkownika secoff  :Wink: 

4) Będziesz musiał podać dodatkowy parametr w bootloaderze aby ustawić tryb miękki, który umożliwi Ci stopniową konfigurację rsbaca. Przykład z mojego grub.conf:

```
title=RSBAC-SOFTMODE

root (hd0,0)

kernel /rsbac root=/dev/hda3 vga=0x318 rsbac_softmode

```

5) Jak już skonfigurujesz rsbaca zrób jeszcze jedną domyślną opcję jądra w grub.conf ale już bez trybu rsbac_softmode - opcję z jądrem w trybie miękkim jednak pozostaw, wrazie jak będziesz miał jakieś problemy.

6) Zanim cokolwiek zrobisz z tego, co tu opiesałem.. przeczytaj dokumentację gentoo o rsbac...  :Wink: 

RSBAC jest bardzo poteżnym narzędziem i nie przejmuj się jak nie uda Ci się go od razu oragnąć. Ja skupiłem się na najłatwiejszych modelach... - do tych bardziej zaawansowanych zwyczajnie jeszcze nie dorastam   :Laughing: 

Najpiękniejsze w RSBAC jest to, że o ile SELinux jest rozwiązaniem właściwie zamkniętym, skończonym i ograniczonym przez swoje pierwotne założenia tylko do zarządzania rolami, o tyle RSBAC dzięki swojej modularnej budowie i oparciu się na definiowanych modelach bezpieczeństwa, daje Ci wprost nieograniczone możliwości - Twoim jedynym ograniczeniem stajesz się TY SAM!!!

Pozdrawiam

daniel cegielka

MAŁA DOPISKA. Tryb softmode (miekki) jest po to aby móc skonfigurować rsbaca - nie są w nim egzekwowane restrykcje wybranych modeli bezpieczeństwa. Gdy już skonfigurujemy RSBAC koniecznie powinniśmy przejść w tryb produkcyjny - dopiero wtedy wszelkie zabezpieczenia RSBAC zostaną w pełni aktywowane. W tryb produkcyjny przechodzimy poprzez usunięcie parametru jądra rsbac_softmode w pliku konfiguracyjnym bootloadera.

Jeszcze jedna ważna uwaga odnośnie rsbac-admin. Kompilację rsbac-admin będzie można zacząc dopiero po skonfigurowaniu jądra rsbac i zapisaniu pliku .config. Jeżeli tego nie zrobimy dostaniemy komunikat o błędzie:

```
cannot make RSBAC Admin tools: Did you really already compiled a RSBAC-enabled kernel ? Please check the documentation at:      http://hardened.gentoo.org/rsbac
```

Last edited by n3rd on Mon Oct 10, 2005 12:52 pm; edited 4 times in total

----------

## joi_

n3rd: może jakiś większy artykuł napiszesz?  :Wink: 

----------

## n3rd

 *':.joi.:' wrote:*   

> n3rd: może jakiś większy artykuł napiszesz? 

 

Dzięki za propozycję  :Wink:  Do tego jednak trzeba bardzo dobrze znać się na rzeczy... a mi jeszcze baaardzo wiele brakuje aby pisać pełnowartościowe arty. Jak zapewniał na formum gentoo (link podałem wcześniej) Michał Purzyński - jeden z czołowych developerów RSBAC-a, niedługo powinien ukazać się po polsku artykuł na temat rsbaca. Trwają tez prace nad RSBAC Handbook - są jednak jeszcze we wczesnej fazie. Można by jednak postarać się o przygotowanie polskiej wersji RSBAC Handbook.

http://rsbac.org/documentation/rsbac_handbook

Pozdrawiam

daniel cegielka

----------

## mr00wka

hehe no coz skompilowalem zrodla i rsbac-admina zanim jeszcze przeczytalem twoj post-how-to :P i poszlo nawet bez problemowo :)

Co do trybu miekkiego to bede musial sobie jeszcze poczytac jak to zrobic dla lilo - gdyz uzywam lilo 

PS: dla kernela produkcyjnego trzeba tez chyba usunac kilka rzeczy z samego kernela (tak mi sie wydaje gdyz widzialem w guidzie na gentoo.org ze niektore rzeczy sa niepotrzebne dla kernela produkcyjnego)

PS2: samego kernela z rsbac jeszcze nie odpalalem bo jeszcze od tego czasu nie restartowalem systemu :P

Pozdrawiam i wielkie dzieki za rady n3rd, pewnie zostawie jeszcze jakis feedback jak mi poszlo / idzie z pracami nad nowa zabawka :>

PS3: Jak to jakos powoli w miare wolnego czasu obejme i mi sie spodoba, to z checia przylacze sie do tlumaczen handbooka :)

heh chyba troche zaczelismy odbiegac od oryginalnego tematu :P

----------

## n3rd

 *mr00wka wrote:*   

> Co do trybu miekkiego to bede musial sobie jeszcze poczytac jak to zrobic dla lilo - gdyz uzywam lilo

 

Opcje jądra w lilo podajesz za pomocą polecania append w pliku konfiguracyjnym /etc/lilo.conf - w naszym przypadku będzie to wyglądało mniej więcej tak:

```
image=/boot/rsbac-kernel

  label=gentoo-rsbac

  read-only

  root=/dev/hda3

  append="rsbac_softmode"
```

Następnie wydajesz jako root polecenie lilo. Możesz też podawać paramatry jądra wprost do lilo - masz podczas uruchamiania lilo na dole ekranu możliwość wpisywania dodatkowych parametrów - jak mnie pamięć nie myli, gdyż nie mam lilo tylko gruba   :Laughing:  .

Przeczytaj RSBAC - Szybki start: http://www.gentoo.org/proj/pl/hardened/rsbac/quickstart.xml Szczególnie opis tego co należy zrobić podczas pierwszego uruchomienia - czyli zalogować się jako secoff i umożliwienić logowanie się do systemu userom poleceniem: attr_set_fd AUTH FILE auth_may_setuid 1 /bin/login  :Wink: 

Bardzo odsyłam też na stronę http://rsbac.org. Co prawda dokumenctacja nie jest jeszcze całościowo opracowana... ale można bardzo wiele się dowiedzieć na temat konfiguracji RSBAC.

Pozdrawiam

daniel cegielka

----------

## mr00wka

 *n3rd wrote:*   

> Następnie wydajesz jako root polecenie lilo

 

hehehe wiem :P

a mialem na mysli podanie parametru podczas uruchamiania

 *n3rd wrote:*   

> http://www.gentoo.org/proj/pl/hardened/rsbac/quickstart.xml Szczególnie opis tego co należy zrobić podczas pierwszego uruchomienia

 

uhum czytalem ;-) rowniez overview (czy cos w tym stylu. Przy pierwszym uruchomieniu myslalem o odpaleniu globalnego uczenia sie ;-)

 *n3rd wrote:*   

> Bardzo odsyłam też na stronę http://rsbac.org

 

Najpierw quickstart potem eksperymenty (heh jakos zawsze lubilem najpierw ekxperymentowac :P) a potem pewnie wnikliwsze spojrzenie na doki z rsbac.

PS: zastanawiam sie jeszcze czy nie polatac jeszcze tego kernela - GrSecurity

----------

## n3rd

 *mr00wka wrote:*   

> PS: zastanawiam sie jeszcze czy nie polatac jeszcze tego kernela - GrSecurity

 

Tu musisz być bardzo ostrożny dlatego, że jest bardzo niezalecane stosowanie dwóch różnych systemów kontroli dostępu. Niektóre opcje grsecurity mogą być w konflikcie z RSBAC (podobie jak zachodzi konflikt między selinux a rsbac). RSBAC jest rozwiązaniem bardzo zaawansowanym i elastycznym i to jego polecam jako system kontroli dostępu.

Pozdrawiam

daniel cegielka

----------

## arsen

@n3rd, to co podajesz tu na forum czyli dane o  dokumentacji rsbac z projektu gentoo hardaned jest powoli mało aktualne, np. nptlonly..... można śmiało mieć przy rsbac 1.2.5, rsbac-admin w wersji 1.2.5 także nie wymaga skompilowanego kernela z obsługą rsbac. Jest kilka też innych drobniejszych i większych zmian.

----------

## n3rd

 *arsen wrote:*   

> @n3rd, to co podajesz tu na forum czyli dane o  dokumentacji rsbac z projektu gentoo hardaned jest powoli mało aktualne, np. nptlonly..... można śmiało mieć przy rsbac 1.2.5, rsbac-admin w wersji 1.2.5 także nie wymaga skompilowanego kernela z obsługą rsbac. Jest kilka też innych drobniejszych i większych zmian.

 

To bardzo bobra wiadomość!   :Wink:  Akurat o nptlonly to pisałem z własnego doświadczenia... a faktem jest, że kiedy instalowałem rsbac-admin, nptlonly trochę mi zamieszało. Gdy instalowałem RSBAC bez zapisania .config kernela, rsbac-admin nie chciał się zainstalować. Miło słyszeć że nie ma już z tym przysztkim problemu.

Podobnie sprawa ma się ze stosami 4KB. W dokumentacji gentoo jest napisane, że RSBAC ma z tym problemy, a tymczasem od wersji 1.2.4 problem juz nie istnieje  :Wink:  Pisałem w tej sprawie do rane aby poinformował kogo trzeba i zaktualizowali dokumentację... ale jak widać nic się nie zmieniło: http://www.gentoo.org/proj/pl/hardened/hardenedfaq.xml#rsbac4kstack

Dzięki za zwrócenie uwagi  :Wink: 

Pozdrawiam

daniel cegielka

----------

## BeteNoire

Przyszedł czas na mnie. Próbowałem ck-sources i jakoś mnie nie zachwycił (gdzie ten vesafb-tng?). Zapodałem nitro (z niemal tym samym konfigiem) i... większą wydajność zauważyłem na przykładzie X/KDE i Firefoxa  :Smile: . Firefox prostu jest szybszy a KDE bardziej responsywne. Jednak mam pewien problem z framebufferem. Na nitro-sources jest on przesunięty o parę cm w lewo tak, że nie widzę części liter, a po prawej widzę czarny pasek. Na gentoo-sources jest ok, więc nie czaję o co tu biega.

Acha, niekiedy, przy dużym obciążeniu proca wszystko się zacina na 1-2 sekundy - widać to naprzykład bo chwilowym zamrożeniu kursora myszy - też nie wiem co jest tego przyczyną...

----------

## Raku

 *BeteNoire wrote:*   

> Przyszedł czas na mnie. Próbowałem ck-sources i jakoś mnie nie zachwycił (gdzie ten vesafb-tng?). Zapodałem nitro (z niemal tym samym konfigiem) i... większą wydajność zauważyłem na przykładzie X/KDE i Firefoxa . Firefox prostu jest szybszy a KDE bardziej responsywne.
> 
> 

 

Z tego co pamiętam, ostatnie nitro (2.6.13) to ck-sources +kilka dodatkowych łatek (vesafb, fbsplash, reiser4 + jakieś tam dodatkowe drivery, które mi akurat nie są potrzebne).

a brak vesafb? - to tylko jedna łatka - ja nakładam ją ręcznie.

----------

## Gabrys

Przepraszam za odgruzowywanie tematu, ale właśnie sobie rozmyślam nad upgradem kernela, w końcu 2.6.15 to taki staroć. Myślę właśnie (zupełnie niezobowiązująco nad mm-sources-2.6.16-rc-cośtam. Z tego co przeczytałem (jakieś 80%) nikt nie odradzał mm. Czy ktoś mi odradzi? Bo nitro komuś zwieszało system. Inna sprawa, czy ktoś się w ogóle bawił 2.6.16? Jakoś mam nieodpartą ochotę spróbować (tak, zwłaszcza tej kombinacji aby tym bardziej odczuć te pare procent przyśpieszenia  :Wink: ).

----------

## mbar

nie sądzę, żeby to było aż parę procent

----------

## BeteNoire

Też nie sądzę, ale są paczsety, że widzi się "gładsze" działanie systemu.

Gabrys, co się boisz, zostaw awaryjnie stary kernel w bootloaderze i próbuj nowości.

----------

## Gabrys

Inaczej nie zrobię  :Laughing: . BTW juz mam problemy, alsa-driver nie działa z tym kernelem  :Neutral: , dałem moduły z jądra. Do zobaczenia po reboocie.

----------- EDIT -----------

Żyję  :Smile: . Ale śmiga  :Laughing: . Nie, tak serio, to fajnie, że w ogóle działa. Fakt, że mam taki fajny kernel mnie bardzo emocjonuje.

----------

## keman

Ja juz sie żadnych patchsetów nie dotykam, po pewnych 'wybrykach' komputera, jakie mnie spotkały za czasów nitro, w wersji ~ 2.6.14...

Cały czas jade na vanilla + vasa-tng, i nigdy mi sie tak dobrze nie pracowało...

Śmieszy mnie postawa ludzi, którzy w zyciu nie uzywali vanillowego kernela, i nawet nie wiedząc co im nie pasuje, rzucaja sie na patchsety  :Wink:  - sam kiedys sie babrałem w patchsetach, aczkolwiek nie było warto - a i nie chce wywoływać żadnego flame, nie czynie też zadnych aluzji do forumowiczów, ot wyraziłem swoje zdanie  :Smile:  tak troche z  :Wink: 

Pozdrawiam, waluigi  :Smile: 

----------

## Gabrys

A ja za to nie lubię framebuffera, też po tym jak mi kiedyś spłatał figla. Stwierdziłem, że do ****** mi jest potrzebny i od tamtego momentu nawet nie próbuję się tego tykać.

----------

## tzencz

Witam, chcialem sie spytac jakie wartosci ustawiacie w trzech opcjach ktore na oko chyba najbardziej wplywaja na zachowanie kernela, chodzi mi o:

- Block layer / IO schedulers

- Processor type and features / Preemption Model

- Processor type and features / Timer frequency.

Szczegolnie grzebanie przy dwoch ostatnich opcjach powodowalo zmiany w dzialaniu systemy, ale nie wiedzac co takiego dokladnie robia trudno mi sie na ten temat wypowiedziec.

Po drugie, patchsety dodaja do kernela funkcjonalnosc (reiser4 itd...) ale tez "zwiekszaja wydajnosc". Czy dzieje sie tak dlatego ze jakies nitro czy ck-sources patchuje algorytmy schedulera, inne preemption modele czy jak?

Wybaczcie za takie nubowskie pytania, pozdrawiam.

----------

## keman

 *Gabrys wrote:*   

> A ja za to nie lubię framebuffera, też po tym jak mi kiedyś spłatał figla. Stwierdziłem, że do ****** mi jest potrzebny i od tamtego momentu nawet nie próbuję się tego tykać.

 

Też bym pewnie wolał czysta vanille, gdyby nie lcd...

Bo tak, ogladanie konsoli w rozdziałce 640x480, jest nie do zniesienia  :Wink: 

Pozdrawiam, waluigi  :Wink: 

----------

## Gabrys

Nie wyłączaj kompa, to nie będziesz musiał (albo nie włączaj)  :Wink: .

----------

## BeteNoire

 *tzencz wrote:*   

> Witam, chcialem sie spytac jakie wartosci ustawiacie w trzech opcjach ktore na oko chyba najbardziej wplywaja na zachowanie kernela, chodzi mi o:
> 
> - Block layer / IO schedulers
> 
> - Processor type and features / Preemption Model
> ...

 

Kolejno: - 

Anticipatory + CFQ, ostatnio defaultowy CFQ

Preemption Model (Preemptible Kernel (Low-Latency Desktop))

Timer frequency (1000 HZ)

 *tzencz wrote:*   

> Po drugie, patchsety dodaja do kernela funkcjonalnosc (reiser4 itd...) ale tez "zwiekszaja wydajnosc". Czy dzieje sie tak dlatego ze jakies nitro czy ck-sources patchuje algorytmy schedulera, inne preemption modele czy jak?.

 

O to właśnie chodzi. Na niebotyczne wzrosty wydajności bym nie liczył, ale miłe są niektóre nowe funcje w patchsetach nitro, gentoo etc.

 *keman wrote:*   

> Śmieszy mnie postawa ludzi, którzy w zyciu nie uzywali vanillowego kernela, i nawet nie wiedząc co im nie pasuje, rzucaja sie na patchsety  - sam kiedys sie babrałem w patchsetach, aczkolwiek nie było warto

 

Dlaczego zakładasz, że nie używali wanilli? Może używali i czegoś im zabrakło? Powiem Ci, że bardzo przyjemnie mi się przesiadło ze spartańskiego Slacka na wypaśnie Gentoo, gdzie sobie mogę poprzebierać w różnych ficzerach, które ktoś dla mnie przygotował i nie muszę sam się w tym babrać.

 *Gabrys wrote:*   

> A ja za to nie lubię framebuffera, też po tym jak mi kiedyś spłatał figla.

 

Heh, gdybym ja miał tak nie lubić wszystkiego co mi kiedyś spłatało jednego  figla...

----------

