Hi@all,

was für Vor- oder Nachteile hate es die Netfilter-Optionen im Kernel (2.4.18) fest zu integrieren bzw. as Modul. Was ändert sich später in der Anwendung?

Gruss Pixel

Hallo,

der Vorteil von Modulen:
- Du mußt sie nur dann laden, wenn Du sie auch wirklich benötigst -> effizienter Umgang mit dem Speicher.
- Du kannst die Modul-Quellen neuerer Versionen im laufenden Betrieb übersetzen und dann ohne Neustart direkt aktivieren.
- Der Kernel wird nicht übermäßig groß und paßt alleine vielleicht gerade noch auf eine Bootdisk :D

Der Vorteil der festen Integration in den Kernel:
- Kernel als eierlegende Wollmilchsau :D

Harry

Hi@all,

und wie sieht das mit der Sicherheit aus z.B. bei Verwendung in einer Firewall (klar wenn's um Netfilter geht)? Muss das Modul nicht über ein Socket mit dem Kernel kommunizieren was zusätzlich Angriffsfläche bietet?
Wie gesagt, es handelt sich um eine Firewall d.h. da ist sowieso nur das allernötigste drin und was ich schon über Firewalls gelesen habe kann diese Vorgensweise einen Sicherheitszugewinn bringen. Würde mich einfach mal interessieren :p

Letzendlich heist das für mich, egal ob die Netfillterfunktionen fest eingebaut oder als Modul nachgeladen sind; Für meine Filterregeln ändert sich nichts:cool:

Gruss Pixel

Hi

Wenn es wirklich sicher sein muss, würde ich Netfilter fest in den Kernel kompilieren und den Modulsupport im Kernel gänzlich ausschalten, so bietest du keine Angrifsfläche für Rootkits;)

MFG: Linuxexplorer

Solange es im Linux-Kernel die Möglichkeit gibt, direkt im Speicher rumzuschreiben ist der Sicherhetisgewinn beim fest einkompilierten nicht gegeben.

Einen kleinen Geschwindigkeitsvorteil könnte ich mir noch vorstellen.

HTH