Home Explore Help
Register Sign In
LiohMoeller
/
LinuxKurs
Watch 1
Star 0
Fork 0
Files Issues 0 Pull Requests 0 Wiki
Branch: master
Branches Tags
LinuxKurs
/
Kernel.html

Kernel.html 14 KB
Permalink History Raw

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125 
  1. <!doctype html>
    2. 

  2. <html>
    3. 

  3.   <head>
    4. 

  4.     <meta charset="utf-8">
    5. 

  5.     <meta name="viewport" content="width=device-width, initial-scale=1, minimal-ui">
    6. 

  6.     <title>Linux-Kurs - Kernel</title>
    7. 

  7.     <link type="text/css" rel="stylesheet" href="assets/css/github-markdown.css">
    8. 

  8.     <link type="text/css" rel="stylesheet" href="assets/css/pilcrow.css">
    9. 

  9.     <link rel="shortcut icon" href="assets/favicon.ico">
    10. 

  10.   </head>
    11. 

  11.   <body>
    12. 

  12.     <article class="markdown-body"><h1 id="linux-kurs---kernel"><a class="header-link" href="#linux-kurs---kernel"></a>Linux-Kurs - Kernel</h1>
    13. 

  13. <p><a href="https://linuxkurs.ch">https://linuxkurs.ch</a></p>
    14. 

  14. <p>Wahlweise konntest Du dein System auf Slackware -current aktualisieren oder die stabile Version beibehalten. Nun ist es an der Zeit, dass wir uns das Herzstück deines Linux-Systems etwas genauer anschauen, dem Kernel.</p>
    15. 

  15. <p><strong>Hinweis</strong>: Sofern nicht anders erwähnt, müssen alle folgenden Kommandos mit Root-Rechten ausgeführt werden.</p>
    16. 

  16. <h2 id="initrd"><a class="header-link" href="#initrd"></a>initrd</h2>
    17. 

  17. <p>Bisher verwenden wir den monolithischen <em>huge</em> Kernel. Dabei handelt es sich um eine grosse Datei, die alle wichtigen Treiber bereits enthält. Eine Alternative ist die Nutzung des sogenannten <em>generic</em> Kernels. Dieser enthält im Kernel-Image nur einen Bruchteil der Treiber. Um das System dennoch erfolgreich starten zu können, benötigst Du zusätzlich eine sogenannte <em>initrd</em>, was für <em>initial ramdisk</em> steht.</p>
    18. 

  18. <p>Diese initrd ist dynamisch und wird auf dein System angepasst. Beim Startvorgang lädt der Kernel die initrd nach und fährt dann mit dem init Prozess fort.</p>
    19. 

  19. <p>Slackware enthält ein Script mit dem Namen <em>mkinitrd_command_generator.sh</em>, welches dich bei der Erstellung der initrd unterstützt. Es überprüft welche Kernel-Module auf deinem System benötigt werden und gibt dir einen Befehl aus der zur Erstellung der Ramdisk ausgeführt werden kann:</p>
    20. 

  20. <p><code>/usr/share/mkinitrd/mkinitrd_command_generator.sh</code></p>
    21. 

  21. <p class="img-container"><img src="./slackware_mkinitrd.png" alt=""></p>
    22. 

  22. <p>Ohne weitere Parameter bezieht sich das Script auf den aktuell laufenden Kernel. Es wird standardmässig keine Ramdisk erstellt sondern nur der Befehl ausgegeben, mit dem diese generiert werden kann.</p>
    23. 

  23. <p>Markiere und kopiere die letzte Zeile und füge Sie in der Shell ein. Mit Enter kannst Du den Befehl auslösen. Dadurch wird eine Ramdisk im Verzeichnis /boot mit dem Namen initrd.gz erstellt.</p>
    24. 

  24. <p>Um den Kernel mit dieser initrd zu starten, müssen entsprechende Einträge in der Bootloader-Konfiguration hinterlegt werden. </p>
    25. 

  25. <div style="page-break-after: always;"></div> 
    26. 

  26. 

  27. <p>Füge dazu folgende Zeilen am Ende der <em>/etc/lilo.conf</em> vor dem Hinweis <em># Linux bootable partition config ends</em> hinzu:</p>
    28. 

  28. <pre class="hljs"><code>image = /boot/vmlinuz-<span class="hljs-keyword">generic</span>
    29. 

  29.   initrd = /boot/initrd.gz
    30. 

  30.   root = /dev/sda2
    31. 

  31.   <span class="hljs-keyword">label</span> = Linux-<span class="hljs-keyword">Generic</span>
    32. 

  32.   <span class="hljs-keyword">read</span>-only
    33. 

  33. </code></pre><p>Führe <code>lilo</code> aus und versuche die Kernel-Versionen mit der Ramdisk zu starten. Der Startvorgang sollte ein wenig schneller gehen als mit dem <em>huge</em> Kernel.</p>
    34. 

  34. <p>Die initrd muss nach jedem Kernel-Update neu erstellt werden und der Bootloader lilo muss ausgeführt werden damit die Änderungen aktiv werden. Um diesen Prozess zu vereinfachen hat der Slackware-Benutzer <em>zerouno</em> ein Script erstellt, welches nach einem Kernel-Upgrade mittels slackpkg die Möglichkeit bietet die initrd neu zu erstellen und lilo auszuführen. Du kannst es wie folgt herunterladen und aktivieren:</p>
    35. 

  35. <pre class="hljs"><code>wget <span class="hljs-symbol">https:</span>/<span class="hljs-regexp">/linuxkurs.ch/kurs</span><span class="hljs-regexp">/zlookkernel.sh -O /usr</span><span class="hljs-regexp">/libexec/slackpkg</span><span class="hljs-regexp">/functions.d/zlookkernel</span>.sh
    36. 

  36. chmod +x /usr/libexec/slackpkg/functions.d/zlookkernel.sh</code></pre><p>Beim nächsten Kernel-Update mittels slackpkg wirst Du abschliessend gefragt ob die initrd neu erstellt werden soll und lilo ausgeführt werden soll. Sofern Du dies mit <strong>Y</strong> beantwortest erfolgt der Prozess automatisch.</p>
    37. 

  37. <h2 id="eigenen-kernel-erstellen"><a class="header-link" href="#eigenen-kernel-erstellen"></a>Eigenen Kernel erstellen</h2>
    38. 

  38. <p>Wir konnten die Kernel Varianten <em>huge</em> und <em>generic</em> der Distribution kennenlernen. Es kann allerdings vorkommen, dass eine neuere Kernelversion benötigt wird. Grund dafür kann zum Beispiel fehlende Hardwareunterstützung in der Distributions-Version sein. In solchen Fällen kann es sinnvoll sein einen einen eigenen Kernel zu compilieren.</p>
    39. 

  39. <p>Wir gehen davon aus das Du den <em>generic</em> Kernel gestartet hast. Sollte dies nicht der Fall sein, starte dein System neu und wähle im lilo Bootmenü den Punkt: <em>Linux-Generic</em>.</p>
    40. 

  40. <p>Um einen eigenen Kernel compilieren zu können, benötigen wir die entsprechenden Quellen. Die offiziellen Kernel-Quellen findest du auf: <a href="https://www.kernel.org">https://www.kernel.org</a></p>
    41. 

  41. <p>Kopiere dir beispielsweise im Firefox den Link auf die aktuelle stabile Kernelversion indem du mit der rechten Maustaste auf <em>[tarball]</em> klickst und <strong>Link-Adresse kopieren</strong> wählst. Öffne daraufhin ein Terminal und wechsle in das Verzeichnis <em>/usr/src</em> in dem sich üblicherweise die Kernel-Quellen befinden:</p>
    42. 

  42. <p><code>cd /usr/src</code></p>
    43. 

  43. <p>Mit Hilfe des <strong>wget</strong> Befehls kannst Du das Kernel-Archiv herunterladen. Gebe dazu <code>wget</code> gefolgt von einem Leerzeichen ein und füge den zuvor kopierten Link mit <code>Ctrl + Shift + V</code> ein.</p>
    44. 

  44. <p>Zum Beispiel:</p>
    45. 

  45. <p><code>wget https://cdn.kernel.org/pub/linux/kernel/v5.x/linux-5.4.1.tar.xz</code></p>
    46. 

  46. <div style="page-break-after: always;"></div> 
    47. 

  47. 

  48. <p>Entpacken kannst Du das Archiv mit folgendem Kommando:</p>
    49. 

  49. <p><code>tar -xvpf linux-5.4.1.tar.xz</code></p>
    50. 

  50. <p>Passe dabei den Dateinamen entsprechend an und wechsle daraufhin in den neu erstellten Pfad, in unserem Beispiel mit Hilfe von:</p>
    51. 

  51. <p><code>cd linux-5.4.1</code></p>
    52. 

  52. <p>Als Basis für den neuen Kernel kannst Du die Konfiguration des aktiven <em>Generic</em> Kernels verwenden. Mit folgendem Befehl kannst Du die bisherige Konfiguration übernehmen:</p>
    53. 

  53. <p><code>zcat /proc/config.gz &gt; .config</code></p>
    54. 

  54. <p>Der Befehl <code>zcat</code> verhält sich ähnlich wie der bereits bekannte <code>cat</code> Befehl, ermöglicht aber auch das Anzeigen von gzip-komprimierten Dateien. Das <code>&gt;</code> Zeichen leitet die Ausgabe um, in diesem Falle in die Datei <em>.config</em> im aktuellen Verzeichnis.</p>
    55. 

  55. <p>Mit Hilfe von <code>make olddefconfig</code> kann daraufhin die alte Konfiguration adaptiert werden:</p>
    56. 

  56. <p><code>make olddefconfig</code></p>
    57. 

  57. <p>Nun ist es möglich Anpassungen an der Kernelkonfiguration vorzunehmen. Dabei hilft dir der Befehl <code>make menuconfig</code>. Alternativ gibt es eine grafische Konfigurationsoberfläche die Du mit <code>make xconfig</code> aufrufen kannst.</p>
    58. 

  58. <p>Anpassungen am Kernel sind optional. Als Beispiel möchten wir die Unterstützung für das Sicherheitsframework AppArmor aktivieren. Dieses bietet zusätzlichen Schutz auch vor noch nicht öffentlich bekannten Sicherheitslücken, sogenannten Zero-Day-Exploits.</p>
    59. 

  59. <p>Starte im Verzeichnis in dem sich die Kernel-Sourcen befinden den folgenden Befehl:</p>
    60. 

  60. <p><code>make menuconfig</code></p>
    61. 

  61. <p>Es begrüsst dich eine TUI-Oberfläche in der Du wie gewohnt navigieren kannst. Wenn Du ein Untermenü öffnest, kannst Du über den <strong>Exit</strong> Befehl eine Ebene zurückspringen. </p>
    62. 

  62. <p><strong>Hinweis:</strong> Im Hauptmenü beendet <strong>Exit</strong> die Anwendung.</p>
    63. 

  63. <div style="page-break-after: always;"></div> 
    64. 

  64. 

  65. <p>Navigiere mit den Cursortasten oder durch Aufruf des Kurzbefehls zum Punkt <em>Security Options</em> und öffne das Untermenü durch Eingabe von Enter, sofern der Punkt <strong>Select</strong> aktiviert ist.</p>
    66. 

  66. <p class="img-container"><img src="./slackware_kernel_security_options.png" alt=""></p>
    67. 

  67. <p>Scrolle in der sich öffnenden Parameterliste bis zu den Punkt AppArmor Support und aktiviere diesen mit der Space-Taste.</p>
    68. 

  68. <p class="img-container"><img src="./slackware_kernel_apparmor.png" alt=""></p>
    69. 

  69. <p>Des weiteren muss das AppArmor <em>lockdown</em> Modul zur Liste der <em>LSMs</em> (Linux Security Modules) hinzugefügt werden. Wähle dazu weiter unten den Punkt <strong>Ordered list of enabled LMSs</strong> aus:</p>
    70. 

  70. <p class="img-container"><img src="./slackware_kernel_lockdown.png" alt=""></p>
    71. 

  71. <p>Es öffnet sich eine Liste der aktivierten Security Module. Füge dort <strong>,apparmor</strong> hinzu:</p>
    72. 

  72. <p class="img-container"><img src="./slackware_kernel_lockdown_list.png" alt=""></p>
    73. 

  73. <p>Du kannst bei Bedarf weiter Änderungen vornehmen. Speichere deine Änderungen ab, indem Du mit der Tab-Taste den Punkt <strong>Save</strong> anwählst und mit Enter bestätigst.</p>
    74. 

  74. <p>Du wirst nach einem Dateinamen für die Kernel-Konfigurationsdatei gefragt. Standardmässig lautet dieser <em>.config</em>. Wir gehen davon aus, dass Du die Einstellung unverändert beibehältst.</p>
    75. 

  75. <p>Als nächstes kannst Du die Anwendung mit Hilfe des <strong>Exit</strong> Befehls beenden. Du musst ihn möglicherweise mehrmals anwählen, falls Du dich in einem Untermenü befindest.</p>
    76. 

  76. <p>Mit folgendem Befehl startest Du den Compiliervorgang:</p>
    77. 

  77. <p><code>make bzImage modules</code></p>
    78. 

  78. <p>Es werden das Kernel-Image (<em>bzImage</em>) sowie die Kernelmodule (<em>modules</em>) compiliert. Dieser Vorgang kann einige Zeit in Anspruch nehmen. Du kannst den Compiliervorgang beschleunigen indem du den make-Parameter <code>-j</code> gefolgt von der Anzahl der CPU-Kerne deines Computers angibst.</p>
    79. 

  79. <p>Bei vier CPU-Kernen wäre dies:</p>
    80. 

  80. <p><code>make -j 4 bzImage modules</code></p>
    81. 

  81. <p>Um die Anzahl der CPU-Kerne zu ermitteln, kannst Du den Konsolenbefehl <code>nproc</code> nutzen.</p>
    82. 

  82. <p>Die compilierten Kernelmodule müssen daraufhin in den entsprechenden Pfad kopiert werden. Standardmässig wäre dies <em>/lib/modules/</em> gefolgt von der Kernelversion. Dabei hilft dir das folgende Kommando:</p>
    83. 

  83. <p><code>make modules_install</code></p>
    84. 

  84. <p>Der Befehl kopiert nicht nur die Kernelmodule an den richtigen Ort sondern führt abschliessend auch das <code>depmod</code> Kommando aus. Einige Kernelmodule haben Abhängigkeiten, die mit Hilfe von <strong>depmod</strong> aufgelöst und in der Datei <em>/lib/modules/KERNELVERSION/modules.dep</em> hinterlegt werden.</p>
    85. 

  85. <div style="page-break-after: always;"></div> 
    86. 

  86. 

  87. <p>Das erstellte Kernel-Image muss nun in den <em>/boot</em> Pfad kopiert werden:</p>
    88. 

  88. <p><code>cp arch/x86/boot/bzImage /boot/vmlinuz-5.4.1</code></p>
    89. 

  89. <p>Ersetze die Kernel-Version (in diesem Beispiel <em>5.4.1</em>) durch diejenige des Kernels den Du compiliert hast.</p>
    90. 

  90. <p>Es ist sinnvoll auch die <em>System.map</em> sowie die Kernel-Konfiguration in den <em>/boot</em> Pfad zu kopieren:</p>
    91. 

  91. <pre class="hljs"><code>cp System<span class="hljs-selector-class">.map</span> /boot/System<span class="hljs-selector-class">.map-5</span>.<span class="hljs-number">4.1</span>
    92. 

  92. cp <span class="hljs-selector-class">.config</span> /boot/config-<span class="hljs-number">5.4</span>.<span class="hljs-number">1</span></code></pre><p>Auch hier muss der Dateiname entsprechend angepasst werden, so dass er der compilierten Kernelversion entspricht. Die <em>System.map</em> wird im Fehlerfalle zum Debugging genutzt. Ausführliche Informationen dazu findest du auf folgender Webseite: <a href="https://rlworkman.net/system.map/">https://rlworkman.net/system.map/</a></p>
    93. 

  93. <h3 id="ramdisk"><a class="header-link" href="#ramdisk"></a>Ramdisk</h3>
    94. 

  94. <p>Da wir den neuen Kernel auf der Basis des <em>generic</em> Kernels erstellt haben, ist eine Ramdisk zwingend notwendig. Zur Erstellung kannst Du das <em>mkinitrd_command_generator.sh</em> Script zur Hilfe nehmen.</p>
    95. 

  95. <p><code>$(/usr/share/mkinitrd/mkinitrd_command_generator.sh -k 5.4.1 -a &quot;-o /boot/initrd-5.4.1.gz&quot; --run)</code></p>
    96. 

  96. <p>Ersetze hierbei die Kernelversion durch die deines Kernels. Der Parameter <em>--run</em> gibt nur das Kommando zur Erstellung der initrd ohne weitere Bemerkungen aus. Da wir die gesamte Zeichenkette in <em>$()</em> stellen, wird diese von der BASH als Befehl interpretiert, also direkt ausgeführt und die initrd erzeugt. </p>
    97. 

  97. <p>Jedes Mal wenn Du einen neuen Kernel compilierst und verwenden möchtest musst Du initrd erneut erzeugen.</p>
    98. 

  98. <h3 id="bootloader"><a class="header-link" href="#bootloader"></a>Bootloader</h3>
    99. 

  99. <p>Abschliessend wird der Bootloader angepasst, so dass Du in der Lage bist deinen neuen Kernel zu starten.</p>
    100. 

  100. <p>Füge dazu einen entsprechenden Eintrag vor dem Hinweis <em># Linux bootable partition config ends</em> zu der <em>/etc/lilo.conf</em> Konfigurationsdatei hinzu:</p>
    101. 

  101. <pre class="hljs"><code>image = /boot/vmlinuz<span class="hljs-number">-5.4</span><span class="hljs-number">.1</span>
    102. 

  102.   initrd = /boot/initrd<span class="hljs-number">-5.4</span><span class="hljs-number">.1</span>.gz
    103. 

  103.   root = /dev/sda2
    104. 

  104.   label = Linux<span class="hljs-number">-5.4</span><span class="hljs-number">.1</span>
    105. 

  105.   read-only</code></pre><p>Wobei die Versionsnummer entsprechend angepasst werden muss, so dass sie deinem Kernel entspricht.</p>
    106. 

  106. <p>Führe <code>lilo</code> aus und versuche deine erste selbstcompilierte Kernel-Versionen zu starten.</p>
    107. 

  107. <div style="page-break-after: always;"></div> 
    108. 

  108. 

  109. <h2 id="apparmor"><a class="header-link" href="#apparmor"></a>AppArmor</h2>
    110. 

  110. <p>Wir haben den Kernel nun um AppArmor-Unterstützung erweitert. Nun fehlt nur noch die passende Anwendung. Diese lässt sich mit Hilfe des SlackBuild-Scriptes erstellen:</p>
    111. 

  111. <p><code>sbopkg -i apparmor</code></p>
    112. 

  112. <p>Damit AppArmor beim Systemstart automatisch geladen wird, kann ein entsprechender Eintrag zur Datei <em>/etc/rc.d/rc.local</em> hinzugefügt werden:</p>
    113. 

  113. <p><code>vi /etc/rc.d/rc.local</code></p>
    114. 

  114. <pre class="hljs"><code><span class="hljs-comment"># Start apparmor</span>
    115. 

  115. <span class="hljs-keyword">if</span> [ -x /etc/rc.d/rc.apparmor ]; <span class="hljs-keyword">then</span>
    116. 

  116.   /etc/rc.d/rc.apparmor start
    117. 

  117. <span class="hljs-keyword">fi</span></code></pre><p>Starte dein System neu und untersuche ob AppArmor aktiv ist:</p>
    118. 

  118. <p><code>aa-status</code></p>
    119. 

  119. <p>Damit hast du erfolgreich deinen eigenen Kernel compiliert.</p>
    120. 

  120. <hr>
    121. 

  121. <p>© Lioh Moeller</p>
    122. 

  122.     </article>
    123. 

  123.   </body>
    124. 

  124. </html>
    125. 

  125.