Bonjour,
je me suis acharné à compiler un 2.6.19.2 issu des dépôts vanilla (us.kernel), truffé d’erreur de compilation (2000 lignes de variables ou fonctions non correctement initialisées).
Raison: Appliquer le patch de securité grsecurity (incluant PaX) afin d’obtenir un noyau hardened. Comme rien n’est jamais simple, grsecurity pour 2.6 n’est disponible que pour le 2.6.19.2, et comme par hasard, c’est un noyau que les depôts debian semblent avoir tout bonnement ignoré.
Comme c’était encore trop simple, j’ai aussi patch-o-matisé les sources, pas moins de 10 compiles avant d’obtenir un noyau exempt de patchs incompilables issus de patch-o-matic et updater les sources d’iptables de 1.3.5 à 1.3.7 (un patch qui m’a semblé crucial de grsecurity pour iptables n’est disponible que pour iptables-1.3.5, d’où la manip).
J’ai mon noyau hardened 2.6.19.2 et réduit à sa plus simple expression: 1240 ko pour bZimage, et je suis content.
Mais ça me #+&%£$ d’avoir un noyau qui, certes il va comme un gant à mon matos, qui n’est pas estampillé DEBIAN. Je veux donc appliquer les linux-patch-debian à ce ¹=&%* de kernel…
Comment faire ? Où les trouver ?
ps: Il semblerait que la difficulté à patcher un noyau avec grsecurity s’explique par l’orientation SELinux de debian, versus grsecurity. Est-ce que je dois abandonner grsecurity en faveur de selinux ? pourquoi n’a-t’on pas le choix ?