Auteur Sujet: Inflation de la taille du noyau Linux et de ses pilotes (Lu 1345 fois)

MoXxXoM · « **Réponse #12 le:** 12 septembre 2024 à 12:26:38 »

Ça bouge quand même régulièrement https://git.kernel.org/pub/scm/linux/kernel/git/firmware/linux-firmware.git/log/
C'est aussi pour ça que garder un noyaux fourni avec la distribution qui fourni aussi les firmware c'est quand même préférable hors cas très spécifique.

vivien · « **Réponse #13 le:** 24 septembre 2024 à 16:57:38 »

Citation de: ppn_sd le 12 septembre 2024 à 10:32:37

A part les microcodes de processeurs qui ont des paquets à part, les mises à jours ne sont pas courantes non plus.

14 jours plus tard, on passe de la version 2.3 à la version 2.4, avec de nouveau 484 Mo de firmware à télécharger sur tous les postes (la taille a augmenté de 500 Ko).

ppn_sd · « **Réponse #14 le:** 24 septembre 2024 à 17:07:59 »

Cela mériterait quand même une gestion plus fine franchement.
Ubuntu n'a pas un système de delta entre les versions de paquets comme opensuse ? (EDIT : oups https://fedoraproject.org/wiki/Changes/Drop_Delta_RPMs)

Free_me · « **Réponse #15 le:** 24 septembre 2024 à 17:35:15 »

j'ai du mal a voir en quoi c'est un probleme
500Mo ou 2go franchement, osef non ? Ou ca change quelque chose pour quelqu'un ?

vivien · « **Réponse #16 le:** 24 septembre 2024 à 18:27:37 »

Les mises à jour représentent un poids non négligeable.

Imagine que tu as 500 postes, cela fait du volume.

C'est également le cas de Windows.

Je viens de changer de PC préinstallé Windows 11 (il va bientôt passer sous Ubuntu), j'ai regardé : Le démarrage et les mises à jour de toutes les applications ont pris 10 Go sur ma connexion.

Free_me · « **Réponse #17 le:** 24 septembre 2024 à 18:53:48 »

d'où ma question : qu'est ce que ca change ?

J'ai aussi quelques dizaines de linux en prod et la consommation de bande passante pour telecharger les mise a jour...... heu, comment te dire que c'est le dernier de mes soucis ?

qu'on me reponde "moi je dors mieux la nuit si le kernel fait 10mo de moins", ok je peux comprendre, mais a part ca ?

basilix · « **Réponse #18 le:** 25 septembre 2024 à 10:27:13 »

Les aficionados du logiciel libre ont souvent fait référence aux blobs propriétaires (notamment les micrologiciels, alias firmwares) dans leur système d'exploitation.
En fait, c'est assez drôle en y pensant, car blob signifie « objet binaire large » (binary large object).

Gnubyte · « **Réponse #19 le:** 25 septembre 2024 à 12:16:36 »

Le support des pilotes des périphériques sous Windows est assuré par le fabriquant. Une fois le matériel en fin de vie, le support finit par ne plus être assuré. Il peut y avoir des traces sur le net, mais on finit un jour par devoir croiser les doigts pour espérer faire fonctionner un périphérique sur un Windows récent. Je pense par exemple à certains périphériques à longue durée de vie sur Windows serveur. Je ne peux manquer de sourire en écrivant ces 2 mots collés l'un à l'autre, mais nombreuses sont les sociétés prisonnières (in)volontaires de cet écosystème toxique.

Sous linux, par contre, les pilotes disposent de sources, dans la très très grande majorité des cas. Il se peut que, parfois, pour pouvoir utiliser un équipement aux performances particulièrement brillantes, suivez mon regard sur la carte vidéo RTX de nos rêves, on sacrifie au rite pour compiler un très très gros binaire propriétaire linké dans un pseudo pilote interface aux sources ouvertes. Dans la très grande majorité des cas, les pilotes sont open source, et peuvent se compiler depuis un noyau vétuste jusqu'aux plus récents.

Le noyau linux, qui embarque les sources de tous ces pilotes de périphériques, et dieu sait qu'ils sont nombreux, voit donc sa taille enfler sans arrêt.

Les firmware, qui sont des pilotes de plus bas niveau injectés par le pilote noyau dans le périphérique pour en assurer le démarrage et le fonctionnement, voilà encore un blob propriétaire. Plus les périphériques sont nombreux, plus on compte de firmware. Un firmware de périphérique entre dans le noyau pour, pour ainsi dire, n'en plus jamais sortir.

Je ne trouve absolument pas hors de propos de compiler son noyau, même sur une Debian. Nombreux sont les outils qui permettent de le faire de façon remarquablement automatique. La gymnastique consiste fondamentalement à garder une vision globale des différents composants du noyau, et à, une fois l'effort de compiler une fois un noyau adapté à une configuration matérielle donnée, lire attentivement les indications d'aide d'un "make oldconfig" pour évaluer rapidement si la nouveauté mérite d'être intégrée ou pas.

Pour ma modeste part, tant que je ne vole pas sur MSFS, je reste sous linux, distribution Gentoo, avec un noyau très récent, compilé en statique sauf le pilote nvidia.

J'ai eu jusqu'à récemment des bases de données relativement volumineuses et à trafic soutenu, sur un système Debian auquel j'avais ajouté un noyau minimaliste aux options sélectionnées à la main. Les performances s'en ressentaient.

La compilation du noyau Linux de sa station, il ne faut pas en avoir peur. Une machine récente 16C/32T boucle l'affaire en moins de 1'30''.

Si on a pas fait ça depuis très longtemps, au début, ça pique, mais pour aider à produire une configuration utilisant juste les pilotes adaptés à une configuration matérielle, sans support des chargement de module dynamique, des pistes sont prévues dans le noyau standard.

Prenez une machine linux, lancée, téléchargez les sources du noyau identique au noyau actif, branchez tous vos périphériques, tous, et rendez vous à

Citer

#cd /usr/src/linux

Lancez un

Citer

# lsmod > /tmp/mylsmod
# make LSMOD=/tmp/mylsmod localmodconfig
# make localmodconfig

Cette option :

Analyse les modules actuellement chargés sur le système (via la commande lsmod).
Crée une nouvelle configuration du noyau qui n'active que les options nécessaires pour ces modules chargés.
Désactive toutes les options de modules qui ne sont pas nécessaires pour les modules actuellement chargés.
Conserve les paramètres des modules (compilés en tant que modules ou intégrés) tels qu'ils sont dans la configuration actuelle.

L'objectif principal est de créer une configuration minimale du noyau adaptée au matériel et aux fonctionnalités actuellement utilisés sur le système.

Déjà, avec ça, on a juste le nécessaire.

On peut pousser plus loin:

Citer

# make localyesconfig

Cette option fonctionne de manière similaire à localmodconfig, mais avec une différence clé :

Elle configure tous les modules actuellement chargés pour être compilés directement dans le noyau (built-in) plutôt que comme modules chargeables.
Cela peut permettre de se passer d'un initramfs dans certains cas

Là, on a juste géré ses pilotes de périphériques. On peut choisir spécifiquement de nombreuses options dans d'autres parties, comme:

Options générales

Configuration générale du système - Osons rentrer dedans
Support des architectures matérielles - générer un binaire non générique, plus adapté à son processeur top sexy
Options de débogage et de profilage - parfois utiles quand ça plante. On remonte un bug upstream

Gestion du matériel

Pilotes de périphériques (disques, cartes réseau, cartes graphiques, etc.)
Support des bus et interfaces (PCI, USB, SCSI, etc.) - ATA, souvent encore présent, SCSI, à évincer
Gestion de l'énergie (ACPI, APM) - Indispensable sur un laptop, éventuellement une station, moins utiles sur un serveur à charge constante

Systèmes de fichiers

Systèmes de fichiers natifs (ext4, XFS, Btrfs, etc.) - Autant j'en mets un paquet sur mon laptop qui sert de couteau suisse, autant on peut se passer de reiserfs ou d'autres
Systèmes de fichiers réseau (NFS, CIFS, etc.) - idem
Systèmes de fichiers virtuels (procfs, sysfs) - attention avec ceux là

Réseau

Protocoles réseau (IPv4, IPv6, etc.)
Pare-feu et filtrage de paquets (Netfilter)
Support des technologies réseau sans fil - désactivé sur ma station connectée en 10Gbps, par exemple

Sécurité

Contrôle d'accès (SELinux, AppArmor) - vade retro la NSA. En aucun cas je ne prête la moindre confiance dans le moindre bout de code fournit par eux. Déjà qu'ils ont la Trusted Platform...
Chiffrement et cryptographie - beaucoup moins inutile qu'on ne pense.
Audit de sécurité - diminuer l'exposition aux attaques par canaux auxiliaires, durcissement de pile, etc

Virtualisation et conteneurisation

Support des hyperviseurs (KVM, Xen)
Conteneurisation (cgroups, namespaces)

Multimédia et son

Pilotes audio
Support des codecs et frameworks multimédias

Optimisation des performances

Ordonnanceurs CPU et I/O - haaa, l'ordonnanceur Brain Fuck Scheduler de Con Kolivas...
Gestion de la mémoire et du swap

Bref, il n'y a que du bon à gratter à compiler son noyau Linux.
Il faut se lancer.

rooot · « **Réponse #20 le:** **Hier** à 19:19:09 »

a mon avis le noyau va encore gonfler dans pas longtemps

avec cette grosse faille qui vient d'être découverte. Va falloir mettre du mastic pour patcher

https://korben.info/faille-rce-critique-linux-cauchemar-admins.html

Citer

Cette vulnérabilité a d’ailleurs été évaluée avec un score CVSS de 9.9 sur 10.
...
Malheureusement, à l’heure où j’écris ces lignes, il n’y a toujours pas de correctif disponible. Les développeurs sont en plein branle-bas de combat pour trouver une solution, mais ça prend du temps. Et pendant ce temps-là, nos systèmes restent vulnérables, même si rassurez-vous, ce n’est pas le genre de faille si facile à exploiter. Ça demande beaucoup d’expertise donc pour le moment, ce n’est pas encore à portée du premier script kiddy qui passe.

zoc · « **Réponse #21 le:** **Hier** à 20:57:24 »

Ouais enfin vu le score CVSS global et en particulier la complexité d'exploitation évaluée à low, je doute du bien fondé de "rassurez-vous, ce n’est pas le genre de faille si facile à exploiter. Ça demande beaucoup d’expertise donc pour le moment, ce n’est pas encore à portée du premier script kiddy qui passe."