Eigener Kernel für Server

[mrserious]

Hallo zusammen,

nutze bei einem Kunden sehr neue Server-Hardware (leider nicht von mir ausgesucht) und muss mit etwas Pech einen neueren Kernel als den 3.16 drunter setzen, damit alles unterstützt wird.

Mal ne Grundsatzfrage: Jetzt werden wieder alle sagen "kein Problem, musst du dich halt selbst um die Patches kümmern".
Ok, sei erstmal so abgenickt.
Aber wie viel gefährlicher leb ich mit einem eigenen Kernel? Würde nämlich letztlich nur den aktuellen herunterladen, meine jetztige config drunter legen und das Ding dann kompilieren.
Kann man das so machen oder ist es ein großes Risiko?
Klar, hängt davon ab, wie sehr das System generell von Angriffen betroffen ist etc.
Aber abseits zu detaillierter Analysen interessiert mich das mal generell.

Denn was macht das Debian-Team mehr, als die Patches für mich einpflegen?
Das kann ich ja auch dadurch tun, dass ich in regelmäßigen Abständen den jeweils aktuellen Kernel für das System kompiliere und den älteren damit ersetze.

[KBDCALLS]

Etwas mehr Infos wären angebracht. Welche Hardware und Distri ?

[mrserious]

Nen 8er Debian,64bit.
Ein i7 mit nem sehr modernen Board (weiß die genauen Spezis grad nicht).
Die besondere Hardware sind Video-Karten. Alles andere müsste auch so schon unterstützt werden.

[pferdefreund]

Ich würde mir die aktuelle .config in das Stammverzeichnis deiner Kernel-Quellen kopieren und einen make oldconfig machen. Was neu ist, entsprechend beantworten und ggf Festplatten- SCSI und Dateisystemtreiber fest einkompilieren. Das erspart den Streß mit der initrd. Hab ich schon sehr oft so gemacht. scsi wegen libata - das braucht sowas fest. Ich glaube, da war auch noch was mit Chipsatz - seit meiner neueren Maschine mache ich die Kernel nicht mehr selbst aber damals hat das immer mit Performancevorteil von ca 20 % gefruchtet (alles entsorgt, was nicht notwendig war usw... - genaue Prozessorarchitektur usw) - war bei nem 200Mhz-Aptiva wirklich sinnvoll. Alternative - gibt es eventuell einen entsprechenden Backport-Kernel oder in Testing was passendes ? Eventuell einfacher.

[mrserious]

Ok, das würde ja bedeuten, dass es bei moderner Hardware zumindest keinen Performance-Vorteil mehr bringt.
Gut, ist heutzutage sicherlich zu verkraften.

Wie ist das denn in Sachen Sicherheit?
Die jeweiligen Patches sollte ich einspielen, oder ist es nicht vllt. einfacher, in regelmäßigen Abständen einfach den jeweils aktuellen Kernel zu kompilieren?

[DeletedUserReAsG]

Nicht „in regelmäßigen Abständen“ sondern „sobald ein relevanter Bug gefixt wurde”. Dazu Mailingliste und/oder Newsletter beobachten.

FMI: welche Aufgabe haben bei einem Server eigentlich „Videokarten“, für die man sich solchen Aufwand antun mag? Und um welche Karten handelt es sich, die ein 3.16 nicht unterstützen würde?

[mrserious]

Ok, aber theoretisch genügt es dann ja auch, die jeweils aktuelle Kernel-Version zu nehmen?
Denn: Für einen Patch muss ich den Kernel ja genauso neu kompilieren.

Oder ist so ein Custom-Kernel generell als unsicherer anzusehen als ein Standard-Debian-Kernel?