5.3 - Pacotes compilados

Em alguns casos, a versão desejada de um determinado software não está disponível na distribuição que se usa ou o software em si não foi empacotado pelo distribuidor. Nesses casos, é muito comum o administrador baixar o código-fonte do software e compilá-lo no próprio servidor. Alguns usuários mais avançados baixam inclusive o núcleo do sistema (kernel), para compilar e instalar um kernel customizado.

Deve-se tomar cuidado com a instalação de software compilado, pois eles podem se confundir com os pacotes instalados no sistema, tornando difícil a desinstalação depois. Deve-se sempre instalar software compilado em diretórios distintos, como o /usr/local ou /opt. Deve-se ainda fazer um controle dos arquivos instalados pelo software, para facilitar a desinstalação.

As ferramentas de compilação (gcc, g++ e outras) podem ser usadas por um atacante para compilar seu próprio software malicioso, então devem ser removidas após o uso.

Por fim, a instalação de um kernel customizado é uma tarefa complexa, mas que possui a vantagem de gerar um kernel mais leve e com menos recursos (princípio do menor privilégio), de modo que uma vulnerabilidade encontrada em um recurso do kernel, que não esteja sendo utilizado pelo seu servidor, pode não afetar um kernel customizado sem esse recurso. O problema é que, a cada atualização do kernel, o administrador terá de recompilá-lo, o que leva tempo e pode sobrecarregar a administração no caso de um ambiente com diversos servidores. Recomenda-se examinar a página “The Linux Kernel HOWTO”, pois lá existem muitas informações úteis a respeito.