Ni som kör Linux - kompilerar ni kerneln själva?

Jag har inte implementerat min egna C kompilator vilket är nödvändigt för att skydda mot poisoned bootstrap kompilator. Men det är mycket mer troligt att något av de tusentals packet i en distribution har modifierats än att den bootstrap kompilatorn jag använde för många år sedan hade modifierats. Att kompilera från source är inget 100 procentvigt skydd men det betyder inte att det är slöseri med tid. Man måste alltid försöka balansera säkerhet mot användbarhet. Snowden avslöjandena bekräftade igen vad som redan var känt. Om en motiverad hacker vill in i ett system finns det inga säkerhetslösningar som hjälper. Det bästa man kan göra är att sätta upp bromsklossar och hoppas på att hackern tröttnar innan han kommer in. Eftersom jag kör gentoo är det inget problem för mig att kompilera nästan allt från source.

Om man använder binärpaket måste man blint lita på både utvecklarna och packeterarna men man måste bara lita på utvecklarna om man kompilerar från source utan att titta över koden. Så även utan att kolla igen koden har man något att vinna på att kompilera själv.

För att svara på din fråga så ja, jag har som vana att kolla över koden för program jag anser vara säkerhetskritiska. Jag kollar inte varje rad för om det mot förmodan finns avsiktliga bakdörrar i den open source koden jag kör är den troligen så väl dold att jag inte hittar den ändå. Jag kollar bara för vanliga buggar och kodkvalitet för att få en bild över hur många oavsiktliga bakdörrar i form av buggar det troligen finns.

För 12 år sedan körde jag Slackware och då kompilerade jag min egen kärna.
Det var kul och man lärde sig en del och fick en djupare förståelse för Linux.
Det kändes geekigt att man kunde kompilera egen kärna specifik för sin dator med bara dom sakerna man behövde och för i686 istället för i386 och få den arkitekturoptimerad.

Men nu orkar jag inte med det, är inte lika geekig längre, inte lika nyfiken.
Bryr mig inte om prestanda, datorn är så snabb ändå.
Orkar inte lägga tid på sånt längre.

Det är nog bäst att köra vanliga stock kernel som kommer med disten då får man uppdateringar.

Har kompilerat egen kärna under Redhat, Debian och Slackware.. Men det är ju snart 15år sen!
Kompilerade en kärna i höstas för att försöka få stöd för ett tv-kort, men slutade med att jag gick över på Sid istället för att den vägen få tag på en nyare kärna..
Och jo, tv-kortet fungerade efter det, fast nu strular det med mottagningen istället (Måste ha tag på en ny antenn)
Fast oandra sidan så tittar jag bara på simpsons och family guy på sexan ändå, så igentligen kan det kvitta

I övrigt kompilerar jag så lite som möjligt..

Nu kompilerar jag ju iofs inte om specifikt för prestanda, inte heller har jag någon graf. Men jag kan intyga att min laptop bootar bra mycket långsammare med en standardkärna än den jag själv kompilerat (där jag har kommenterat bort laddningen av firmware som tydligen inte passar nätverkskortet, från drivrutinen). För att behålla mitt förstånd krävs också att jag hårdkodar om tröskelvärdena för när fläkten ska gå igång, så att den inte snurrar på fullvarv så fort jag ens funderar på att skrolla i webbläsaren.

På min stationära dator kompilerar jag också om kärnan, men utan att bråka med källkoden, utan för att bocka av CONFIG_DEVTMPFS_MOUNT och CONFIG_SND_DYNAMIC_MINORS, så att systemet går att använda utan udev. Så att jag inte behöver vänta i "~30 sekunder" på udevs firmware-deadlock ska släppa (gäller iofs inte sedan linux-3.4, där kärnan själv (framgångsfullt (iaf på stationära)) laddar firmware, i stället för att låta udev misslyckas med det). Och så att jag inte ska få kernel panic, när udev tycker att ingen /dev/sda finns. Och så att udev inte ska tycka att min midi-kontroller är det primära ljudkortet. Och så att jag i största allmänhet ska slippa försöka överlista udev, vars huvudsakliga uppgift verkar vara att ställa till med oreda när det allra minst lämpar sig. ;/

Min senaste omkompilering var Thu Feb 6 23:47:28 CET 2014, för att åtgärda root-exploiten CVE-2014-0038 som fixats i 3.10.29. Vi får väl hoppas att Pat anser det som allvarligt nog. Det här är nog min enda invändning mot slackware, att allt underhåll måste passera en enskild individ.

CONFIG_X86_X32_ABI är avaktiverad i Slackwares offciella kernel 3.10.17. Enligt Pat:

"Ah, but CONFIG_X86_X32_ABI is not set. Apparently ld isn't handling x86_32 properly, so the kernel didn't enable that option. Accidentally not vulnerable.

Since I'm here, in cases like the pixman/X server trapazoid bug which can lead to a crash but not privilege escalation, I'm inclined to look at it as a bug rather than a security issue even though it was assigned a CVE. It's not in the same realm as something like the libXfont overflow."

Han verkar klara det väldigt bra som enmans-härskare. Sluta hacka på Slackware nu.

Om något fungerar - Ta genast sönder det och kontrollera varför