Noyau/Guide de configuration du noyau de Gentoo

This page is a translated version of the page Kernel/Gentoo Kernel Configuration Guide and the translation is 49% complete.

Outdated translations are marked like this.

Other languages:

Ce document vise à introduire les concepts d’une configuration manuelle du noyau, et à en détailler les pièges les plus courants.

Introduction

Gentoo met à la disposition des utilisateurs deux méthodes d'installation, de configuration, et de mise à jour du noyau : automatique (comme avec genkernel ou Dracut) et manuelle. Bien que la méthode automatique puisse être considérée comme plus facile pour la plupart des utilisateurs, il y a plusieurs raisons pour lesquelles un grand nombre d'utilisateurs de Gentoo choisissent de configurer le noyau à la main :

Plus grande flexibilité et un contrôle sur la configuration
Noyau plus léger
Temps de compilation plus courts
Expérience didactique

Remarque
Bien que Distribution Kernel va produire un noyau plus gros que celui configuré par vous-même. Il est à noter que Linux chargera seulement les modules dont il a besoin, donc la différence n’est pas si importante.

Ce guide n'a pas l'ambition de documenter la configuration manuelle de A à Z — le processus de configuration s'appuie sur un large degré de bon sens, et un niveau de connaissance technique relativement élevé du système utilisé. Au lieu de cela, il vous présente les concepts de la configuration manuelle et détaille les pièges les plus courants que les utilisateurs se doivent d'éviter.

Remarque
Ce guide est écrit avec les noyaux récents à l'esprit pour les architectures les plus courantes. Quelques détails peuvent différer pour les noyaux plus anciens et les architectures plus exotiques; cependant la majeure partie du contenu reste pertinente.

À ce stade, l'utilisateur est supposé avoir décompressé les sources du noyau Linux sur le disque dur (de façon générale sous /usr/src), et doit savoir comment lancer l'utilitaire de configuration menuconfig or nconfig ainsi que comment se déplacer dans le système de menus basé sur la bibliothèque ncurse. Si l'utilisateur n'en est pas encore là, d'autres documentations sont disponibles. Lire les articles suivant puis revenir sur ce guide :

L'article Noyau / Vue d'ensemble contient des informations sur les différents noyaux disponibles dans l'arbre Portage.
L'article Template:Kernel/Upgrade/fr explique comment mettre à jour un noyau ou comment commuter vers un autre noyau.

Concepts de la configuration

Les bases

Le processus général est plutôt simple : une série d'options, sous forme de menus et sous-menus, sont présentées et le support matériel et les fonctionnalités du noyau pertinentes pour le système sont sélectionnées.

Le noyau comprend une configuration par défaut, qui est présentée la première fois que menuconfig est exécuté sur une collection de sources particulière. Les choix par défaut sont en général à large portée et raisonnables, ce qui veut dire qu'une majorité d'utilisateurs n'auront que peu de changements à faire à cette configuration de base. Quand le choix est fait de désactiver une option qui été activée dans la configuration par défaut du noyau, il est important de s'assurer qu'une bonne compréhension de ce que cette option fait exactement est obtenue, et des conséquences de sa désactivation.

Lors d'une première configuration d'un noyau Linux, rester conservateur est judicieux; ne pas être trop aventurier, et se contenter de faire aussi peu de modification aux réglages par défaut que possible. En même temps, garder à l'esprit qu’une partie de la configuration se doit absolument d'être adaptée au système pour que ce dernier ne démarre !

Compilé en dur ou compilé en module

Majoritairement, les options de configuration sont à trois état : elles peuvent être non compilées du tout (N), compilées en dur dans le noyau (Y) ou compilées sous forme de module (M). Les modules sont stockés en externe sur le système de fichiers, alors que les options compilées en dur sont incluses dans l'image du noyau elle-même.

Il y a une différence importante entre compilé en dur et sous forme de modules : sauf quelques exceptions, le noyau n'essaye pas de charger un module externe quand le système pourrait en avoir besoin ; cela est laissé à l'initiative de l'utilisateur. Alors que certaines autres parties du système peuvent disposer de mécanismes de chargement à la demande, et qu'il y ait quelques mécanismes de chargement automatique de module, il est recommandé de compiler la prise en charge du matériel et les fonctionnalités du noyau directement dans le noyau. Le noyau est ainsi assuré de disposer des fonctionnalités et de la prise en charge du matériel quand il en a besoin. Cela se fait en configurant chaque fonctionnalité du noyau à (Y). Pour que cette configuration soit cohérente, il est également nécessaire d'inclure le support des micrologiciels directement dans le noyau. Pour plus de détails, voir l'article Micrologiciel Linux.

Pour d'autres parties de la configuration, compiler en dur est une absolue nécessité. Par exemple, si la partition racine (ou root /) comporte un système de fichiers btrfs, le système ne pourra pas démarrer si la prise en charge de brtfs a été compilée en tant que module. Le système devrait alors regarder dans la partition racine pour trouver le module btrfs (vu que les modules sont stockés dans la partition racine), mais il ne peut pas la lire à moins d'avoir déjà chargé le support pour btrfs ! Si btrfs n'a pas été compilé en dur, le processus de démarrage n'arrivera pas à trouver la partition racine.

Pour plus d'informations, voir l'article sur les modules du noyau, et les instructions sur l'utilisation de menuconfig pour configurer le noyau.

Prise en charge du matériel

Au delà de détecter le type d'architecture du système, l'utilitaire de configuration ne cherche en aucun cas à identifier quel matériel est réellement présent sur le système. Bien qu'il existe des réglages par défaut pour la prise en charge de quelques matériels, il revient aux utilisateurs de trouver et sélectionner les options pertinentes pour chaque configuration matérielle.

Sélectionner les options de configuration correctes nécessite une connaissance des composants à l'intérieur de, et connectés à, l'ordinateur. La plupart du temps, ces composants peuvent être identifiés sans avoir besoin d'ouvrir la machine. Pour la plupart des composants internes, les utilisateurs doivent identifier le chipset (jeu de composants) utilisé par chacun d'entre-eux, plutôt que leur nom commercial. Beaucoup de cartes d'extension sont commercialisées avec une certaine marque, mais utilisent le chipset d'un autre fabricant.

Quelques utilitaires sont là pour aider les utilisateurs à déterminer quelles configurations du noyau utiliser. lspci (du paquet sys-apps/pciutils ) permet d'identifier le matériel PCI et AGP, ce qui inclut les composants construits sur la carte mère elle-même. lsusb (du paquet sys-apps/usbutils ) permet d'identifier divers périphériques raccordés aux ports USB du système.

La situation est quelque peu confuse à cause des degrés variables de normalisation dans le monde des fabricants de matériel. A moins que l'utilisateur ne s'écarte réellement des paramétrages par défaut, les disques IDE, le clavier PS/2 ou USB et la souris devraient simplement fonctionner. Une prise en charge VGA de base pour l'écran est également incluse. Néanmoins, certains périphériques tels que les adaptateurs Ethernet sont à peine normalisés ; pour ces périphériques les utilisateurs devront identifier le chipset et sélectionner la prise en charge matérielle appropriée pour la carte spécifique afin de disposer d'un accès au réseau.

De plus, alors que certains matériels fonctionnent tout simplement avec les réglages par défaut, des options plus spécialisées peuvent être sélectionnées pour tirer le meilleur du système. Par exemple, si le support pour le chipset IDE approprié n'a pas été activé, le disque sera très lent en accès.

Il est recommandé que les pilotes qui nécessitent un micrologiciel soient configurés en tant que modules afin de charger plus facilement le micrologiciel à partir du disque. Les groupes courants qui devraient être inclus ici sont les pilotes de GPU et de réseau (lorsqu'ils n'utilisent pas un rootfs réseau comme NFS).

Fonctionnalités du noyau

En plus de la prise en charge du matériel, les utilisateurs doivent penser aux fonctionnalités logicielles qui seront requises dans le noyau. Un exemple important d'une telle fonctionnalité est la prise en charge des systèmes de fichiers : les utilisateurs doivent sélectionner la prise en charge des systèmes de fichiers utilisés sur leurs disques durs, ainsi que pour chaque système de fichiers qu'ils pourraient avoir à utiliser sur des supports amovibles (par exemple, VFAT pour des disques USB flash).

Un autre exemple courant est la fonctionnalité de réseau avancé. Pour effectuer du routage ou du pare-feu, les items pertinents de la configuration doivent être inclus dans la configuration du noyau.

Prêt ?

Maintenant que les concepts ont été présentés, il devrait être facile d'identifier le matériel du système, de naviguer dans l'interface de menuconfig, et de sélectionner les options requises du noyau pour le système.

La suite de ce guide vise à éclaircir certaines zones de confusion fréquentes, et à fournir des conseils sur la manière d'éviter les problèmes les plus couramment rencontrés par les utilisateurs.

Configurer le noyau

Activer les options nécessaires

Lors de l’utilisation de sys-kernel/gentoo-sources , il est fortement recommandé que les options spécifiques de Gentoo soient activées. Elles permettent d’activer les fonctionnalités minimun nécessaire pour que le noyau fonctionne correctement :

KERNEL Activer les options spécifiques de Gentoo

Gentoo Linux --->
 [*] Gentoo Linux support
 [*] Linux dynamic and persistent device naming (userspace devfs) support
 [*] Select options required by Portage features
 Support for init systems, system and service managers --->
 [*] OpenRC, runit and other script based systems and managers
 [*] systemd

Évidemment, le choix entre les deux dernières lignes dépend du système d’initialisation choisi (OpenRC ou systemd). Cela n’est pas gênant d’avoir les deux supports activés.

Lors de l’utilisation de sys-kernel/vanilla-sources , ces options supplémentaires ne sont pas disponibles. Les activer est possible.

Enabling support for typical system components

Make sure that every driver that is vital to the booting of the system (such as SATA controllers, NVMe block device support, filesystem support, etc.) is compiled in the kernel and not as a module, otherwise the system may not be able to boot completely.

Next select the exact processor type. It is also recommended to enable MCE features (if available) so that users are able to be notified of any hardware problems. On some architectures (such as x86_64), these errors are not printed to dmesg, but to /dev/mcelog. This requires the app-admin/mcelog package.

Also select Maintain a devtmpfs file system to mount at /dev so that critical device files are already available early in the boot process (CONFIG_DEVTMPFS and CONFIG_DEVTMPFS_MOUNT):

KERNEL Enabling devtmpfs support (CONFIG_DEVTMPFS)

Device Drivers --->
 Generic Driver Options --->
 [*] Maintain a devtmpfs filesystem to mount at /dev
 [*] Automount devtmpfs at /dev, after the kernel mounted the rootfs

Les disques SATA sont SCSI

La plupart des ordinateurs de bureau modernes sont livrés avec des unités de stockage (disques durs et lecteurs de CD/DVD) sur un bus Serial ATA, plutôt que sur l'ancien bus Parallel_ATA (câble en ruban).

La prise en charge de SATA dans Linux est mise en œuvre dans une couche connue sous le nom de libata, qui siège en dessous du sous-système SCSI. Pour cette raison, les pilotes SATA sont trouvés dans la section des pilotes SCSI de la configuration. De plus, les périphériques de stockage sont traités comme des périphériques SCSI, ce qui veut dire que la prise en charge des disques/CDROM SCSI sera également requise. Le premier disque SATA sera nommé /dev/sda et le premier lecteur CD/DVD SATA sera nommé /dev/sr0.

Bien que la majorité de ces pilotes soit pour les contrôleurs SATA, libata n'a pas été conçue pour être spécifique à SATA. Tous les pilotes courants IDE seront aussi portés dans libata dans un futur proche, et après cela, les considérations évoquées plus haut, s'appliqueront aussi aux utilisateurs d'IDE.

KERNEL Options de configuration pour libata

Device Drivers --->
 SCSI device support --->
 <*> SCSI device support
 <*> SCSI disk support
 <*> SCSI CDROM support
 
 [ ] SCSI low-level drivers --->
 
 <*> Serial ATA and Parallel ATA drivers (libata) --->

Remarque
Les chipsets non standards sont listés sous SCSI low-level drivers dans le menu Serial ATA and Parallel ATA drivers (libata) de la configuration du noyau ci-dessus.

KERNEL Enable basic NVMe support for Linux 5.x.x (CONFIG_BLK_DEV_NVME)

Device Drivers --->
 NVME Support --->
 <*> NVM Express block device

It does not hurt to enable the following additional NVMe support:

KERNEL Enabling additional NVMe support (CONFIG_NVME_MULTIPATH, CONFIG_NVME_MULTIPATH, CONFIG_NVME_HWMON, CONFIG_NVME_FC, CONFIG_NVME_TCP, CONFIG_NVME_TARGET, CONFIG_NVME_TARGET_PASSTHRU, CONFIG_NVME_TARGET_LOOP, CONFIG_NVME_TARGET_FC, CONFIG_NVME_TARGET_FCLOOP, CONFIG_NVME_TARGET_TCP)

[*] NVMe multipath support
[*] NVMe hardware monitoring
<M> NVM Express over Fabrics FC host driver
<M> NVM Express over Fabrics TCP host driver
<M> NVMe Target support
 [*] NVMe Target Passthrough support
 <M> NVMe loopback device support
 <M> NVMe over Fabrics FC target driver
 < > NVMe over Fabrics FC Transport Loopback Test driver (NEW)
 <M> NVMe over Fabrics TCP target support

Now go to File Systems and select support for the filesystems that will be used by the system. Do not compile the file system that is used for the root filesystem as module, otherwise the system may not be able to mount the partition. Also select Virtual memory and /proc file system. Select one or more of the following options as needed by the system:

File system support

KERNEL Enable file system support (CONFIG_EXT2_FS, CONFIG_EXT3_FS, CONFIG_EXT4_FS, CONFIG_BTRFS_FS, CONFIG_XFS_FS, CONFIG_MSDOS_FS, CONFIG_VFAT_FS, CONFIG_PROC_FS, and CONFIG_TMPFS)

File systems --->
 < > Second extended fs support
 < > The Extended 3 (ext3) filesystem
 <*> The Extended 4 (ext4) filesystem
 <*> Btrfs filesystem support
 <*> XFS filesystem support
 DOS/FAT/NT Filesystems --->
 <*> MSDOS fs support
 <*> VFAT (Windows-95) fs support
 Pseudo Filesystems --->
 [*] /proc file system support
 [*] Tmpfs virtual memory file system support (former shm fs)

Note that ext2 and ext3 are redundant since the ext4 driver already supports all ext versions.

Contrôleurs des hôtes USB

USB est un bus largement utilisé pour la connexion de périphériques externes à un ordinateur. Une des raisons du succès de USB est qu'il s'agit d'un protocole standard. Néanmoins, les périphériques de contrôle des hôtes (host contrôleur devices ou HCD) USB mis en œuvre sur l'ordinateur hôte varient un peu. Il y en a quatre types :

UHCI, le Universal Host Controller Interface (Interface de contrôleur d'hôte USB universel). Il prend en charge l'USB 1.1, et se trouve ordinairement sur les cartes mères basées sur un chipset VIA ou Intel.
OHCI , l'Open Host Controller Interface (l'interface de contrôleur d'hôte ouverte) . Il prend en charge l'USB 1.1 et se trouve ordinairement sur les cartes mères basées sur un chipset NVIDIA ou SiS.
EHCI, l'Extended Host Controller Interface (interface de contrôleur d'hôte étendue). C'est le seul contrôleur d'hôte courant à prendre en charge l'USB 2.0. Il se trouve ordinairement sur tous les ordinateurs disposant de ports USB 2.0.
XHCI l'eXtensible Host Controller Interface (Inferace de contrôleur d'hôte extensible). C'est le contrôleur hôte pour USB 3.0 et il est compatible avec USB 1.0, 1.1, 2.0, 3.0 et les vitesses futures. Activer cette fonctionnalité si la carte mère supporte USB 3.0.

La plupart des systèmes arrivent avec deux des types d'interface cités ci-dessus : XHCI (USB 3.0) et EHCI (USB 2.0). Pour utiliser des périphériques USB, il n'est plus nécessaire de sélectionner les deux options étant donné que XHCI est compatible avec les versions antérieures. Les utilisateurs peuvent cependant activer EHCI pour etre vraiment surs mais cela ne pose aucun problème si les contrôleurs USB 2.0 ne sont pas disponibles.

Si les options pertinentes correspondant aux types de ports USB présents sur le système ne sont pas sélectionnées, des cas de ports USB morts peuvent être rencontrés. Ces cas peuvent être déterminés quand un périphérique fonctionnel est connecté, mais n'est pas alimenté ou ne répond pas.

L'utilisation de la commande lspci (du paquet sys-apps/pciutils ) fait qu'il est relativement facile de détecter quels HCDs sont présents sur le système. Ignorant le contrôleur SATA qui est aussi détecté, il est facile d'identifier si le système nécessite la prise en charge de EHCI et de XHCI :

root #lspci -v | grep HCI

00:14.0 USB controller: Intel Corporation 8 Series/C220 Series Chipset Family USB xHCI (rev 04) (prog-if 30 [XHCI])
00:1a.0 USB controller: Intel Corporation 8 Series/C220 Series Chipset Family USB EHCI #2 (rev 04) (prog-if 20 [EHCI])
00:1d.0 USB controller: Intel Corporation 8 Series/C220 Series Chipset Family USB EHCI #1 (rev 04) (prog-if 20 [EHCI])
00:1f.2 SATA controller: Intel Corporation 8 Series/C220 Series Chipset Family 6-port SATA Controller 1 [AHCI mode] (rev 04) (prog-if 01 [AHCI 1.0])

Sélectionner les HCDs présents sur le système. En général, sélectionner les trois options pour un support maximal, ou si la configuration correcte est incertaine :

KERNEL Configuration des HCDs USB

Device Drivers --->
 USB support --->
 <*> Support for Host-side USB
 --- USB Host Controller Drivers
 <*> xHCI HCD (USB 3.0) support
 <*> EHCI HCD (USB 2.0) support
 < > OHCI HCD (USB 1.1) support
 < > UHCI HCD (most Intel and VIA) support

Dans le noyau Linux 3.12.13 et suivants, la prise en charge de OHCI pour les contrôleurs USB du bus PCI (CONFIG_USB_OHCI_HCD_PCI) doit être activée si le contrôleur USB est OHCI et qu'une souris ou un clavier USB est utilisé.

Systèmes multiprocesseurs, à hyper-threading, et multi-cœurs

Beaucoup d'ordinateurs ont recours à des processeurs multiples mais pas toujours d'une manière immédiatement évidente.

Beaucoup des CPUs d'Intel prennent en charge une technologie appelée hyper-threading. Cette technologie autorise un seul CPU à être vu par le système comme deux processeurs logiques.
La plupart des CPUs Intel/AMD consistent réellement en des processeurs physiques multiples dans un boîtier unique, ils sont connus sous le nom de processeurs multi-cœurs.
Quelques ordinateurs haut de gamme ont réellement plusieurs processeurs physiques installés sur des cartes mères spécialisées pour procurer une augmentation de performance significative par rapport à un système à processeur unique. Les utilisateurs savent probablement si ils utilisent un tel système car ils ne sont pas bon marché.

Dans tous les cas, les options du noyau appropriées doivent être sélectionnées pour tirer une performance optimale de ces réglages.

KERNEL Configuration du noyau pour le multi-processing

Processor type and features --->
 [*] Symmetric multi-processing support
 [*] SMT (Hyperthreading) aware nice priority and policy support
 [*] Multi-core scheduler support (NEW)

La prochaine option n'active pas seulement les fonctionnalités de gestion d'énergie, mais peut également être nécessaire pour que tous les processeurs soit accessible au système :

KERNEL Gestion d'énergie pour les sytèmes à multiples processeurs

Power management and ACPI options --->
 [*] ACPI (Advanced Configuration and Power Interface) Support

Modules du noyau compressés

À partir de la version du noyau 3.18.x, la compression des modules du noyau est possible. Les formats de compression gzip et xz sont disponibles. Il est important d'installer le paquet sys-apps/kmod avec les bonnes options de la variable USE avant de compiler un noyau avec des modules compressés.

FILE /etc/portage/package.use/kmodActiver le support de la compression pour kmod

sys-apps/kmod lzma zlib

Ré-installer sys-apps/kmod :

root #emerge --ask --oneshot --changed-use sys-apps/kmod

Activer la compression des modules et sélectionner une méthode de compression favorite :

KERNEL Activer la compression des modules

Enable loadable module support --->
 [*] Compress modules on installation
 Compression algorithm () --->
 <X> GZIP
 XZ

KERNEL Enable module compression

[*] Enable loadable module support Search for <code>CONFIG_MODULES</code> to find this item. --->
 Module compression mode () --->
 ( ) None
 (X) GZIP
 ( ) XZ
 ( ) ZSTD

PPPoE

If PPPoE is used to connect to the Internet, or a dial-up modem, then enable the following options (CONFIG_PPP, CONFIG_PPP_ASYNC, and CONFIG_PPP_SYNC_TTY):

KERNEL Enabling PPPoE support (PPPoE, CONFIG_PPPOE, CONFIG_PPP_ASYNC, CONFIG_PPP_SYNC_TTY)

Device Drivers --->
 Network device support --->
 <*> PPP (point-to-point protocol) support
 <*> PPP over Ethernet
 <*> PPP support for async serial ports
 <*> PPP support for sync tty ports

Normalement make modules_install exécute depmod. Si sys-apps/kmod n'a pas les options de la variable USE correctement configurées (voir l'étape package.use ci-dessus) la première fois qu'elle sera exécutée, la liste des dépendances sera vide. Le système ne sera alors pas en mesure de charger les modules qui avaient été compressés.

Après avoir recompilé sys-apps/kmod , relancer depmod pour résoudre le problème :

root #

depmod -a

root #

modprobe <nom_du_module>

Signed kernel modules and SecureBoot

To automatically sign the kernel modules enable CONFIG_MODULE_SIG_ALL:

KERNEL Sign kernel modules (CONFIG_MODULE_SIG_ALL)

[*] Enable loadable module support 
 -*- Module signature verification 
 [*] Automatically sign all modules 
 Which hash algorithm should modules be signed with? (Sign modules with SHA-512) --->

Optionally change the hash algorithm if desired.

To enforce that all modules are signed with a valid signature, enable CONFIG_MODULE_SIG_FORCE as well:

KERNEL Enforce signed kernel modules (CONFIG_MODULE_SIG_FORCE)

[*] Enable loadable module support 
 -*- Module signature verification 
 [*] Require modules to be validly signed
 [*] Automatically sign all modules
 Which hash algorithm should modules be signed with? (Sign modules with SHA-512) --->

To use a custom key, specify the location of this key in CONFIG_MODULE_SIG_KEY. If unspecified, the kernel build system will generate a key. It is recommended to generate one manually instead. This can be done with:

root #openssl req -new -nodes -utf8 -sha256 -x509 -outform PEM -out kernel_key.pem -keyout kernel_key.pem

OpenSSL will ask some questions about the user generating the key, it is recommended to fill in these questions as detailed as possible.

Store the key in a safe location, at the very least the key should be readable only by the root user. Verify this with:

root #ls -l kernel_key.pem

 -r-------- 1 root root 3164 Jan 4 10:38 kernel_key.pem

If this outputs anything other then the above, correct the permissions with:

root #

chown root:root kernel_key.pem

root #

chmod 400 kernel_key.pem

KERNEL Specify signing key (CONFIG_MODULE_SIG_KEY)

-*- Cryptographic API ---> 
 Certificates for signature checking ---> 
 (/path/to/kernel_key.pem) File name or PKCS#11 URI of module signing key

To also sign external kernel modules installed by other packages via linux-mod-r1.eclass, enable the modules-sign USE flag globally:

FILE /etc/portage/make.confEnable module signing

USE="modules-sign"
</div>
<divlang="en"dir="ltr"class="mw-content-ltr">
# Optionally, when using custom signing keys.
MODULES_SIGN_KEY="/path/to/kernel_key.pem"
MODULES_SIGN_CERT="/path/to/kernel_key.pem"# Only required if the MODULES_SIGN_KEY does not also contain the certificate
MODULES_SIGN_HASH="sha512"# Defaults to sha512

Remarque
MODULES_SIGN_KEY and MODULES_SIGN_CERT may point to different files. For this example, the pem file generated by OpenSSL includes both the key and the accompanying certificate, and thus both variables are set to the same value.

Signing the kernel image (Secure Boot)

When signing the kernel image (for use on systems with Secure Boot enabled) it is recommended to set the following kernel config options:

KERNEL Lockdown for secureboot

General setup --->
 Kexec and crash features ---> 
 [*] Enable kexec system call 
 [*] Enable kexec file based system call 
 [*] Verify kernel signature during kexec_file_load() syscall 
 [*] Require a valid signature in kexec_file_load() syscall 
 [*] Enable ""image"" signature verification support
</div> 
<div lang="en" dir="ltr" class="mw-content-ltr">
[*] Enable loadable module support 
 -*- Module signature verification 
 [*] Require modules to be validly signed
 [*] Automatically sign all modules
 Which hash algorithm should modules be signed with? (Sign modules with SHA-512) --->
</div> 
<div lang="en" dir="ltr" class="mw-content-ltr">
Security options ---> 
[*] Integrity subsystem 
 [*] Basic module for enforcing kernel lockdown 
 [*] Enable lockdown LSM early in init 
 Kernel default lockdown mode (Integrity) --->
</div> 
<div lang="en" dir="ltr" class="mw-content-ltr">
[*] Digital signature verification using multiple keyrings 
 [*] Enable asymmetric keys support 
 -*- Require all keys on the integrity keyrings be signed 
 [*] Provide keyring for platform/firmware trusted keys 
 [*] Provide a keyring to which Machine Owner Keys may be added 
 [ ] Enforce Machine Keyring CA Restrictions

Where ""image"" is a placeholder for the architecture specific image name. These options, from the top to the bottom: enforces that the kernel image in a kexec call must be signed (kexec allows replacing the kernel in-place), enforces that kernel modules are signed, enables lockdown integrity mode (prevents modifying the kernel at runtime), and enables various keychains.

On arches that do not natively support decompressing the kernel (e.g. arm64 and riscv), the kernel must be built with its own decompressor (zboot):

KERNEL zboot (CONFIG_EFI_ZBOOT)

Device Drivers ---> 
 Firmware Drivers ---> 
 EFI (Extensible Firmware Interface) Support ---> 
 [*] Enable the generic EFI decompressor

After compilation of the kernel, as explained in the next section, the kernel image must be signed. First install app-crypt/sbsigntools and then sign the kernel image:

root #emerge --ask app-crypt/sbsigntools

root #

sbsign /usr/src/linux-x.y.z/path/to/kernel-image --cert /path/to/kernel_key.pem --key /path/to/kernel_key.pem --output /usr/src/linux-x.y.z/path/to/kernel-image

Remarque
For this example, the same key that was generated to sign the modules is used to sign the kernel image. It is also possible to generate and use a second separate key for signing the kernel image. The same OpenSSL command as in the previous section may be used again.

Then proceed with the installation.

To automatically sign EFI executables installed by other packages, enable the secureboot USE flag globally:

FILE /etc/portage/make.confEnable Secure Boot

USE="modules-sign secureboot"
</div>
<divlang="en"dir="ltr"class="mw-content-ltr">
# Optionally, to use custom signing keys.
MODULES_SIGN_KEY="/path/to/kernel_key.pem"
MODULES_SIGN_CERT="/path/to/kernel_key.pem"# Only required if the MODULES_SIGN_KEY does not also contain the certificate.
MODULES_SIGN_HASH="sha512"# Defaults to sha512
</div>
<divlang="en"dir="ltr"class="mw-content-ltr">
# Optionally, to boot with secureboot enabled, may be the same or different signing key.
SECUREBOOT_SIGN_KEY="/path/to/kernel_key.pem"
SECUREBOOT_SIGN_CERT="/path/to/kernel_key.pem"

Remarque
SECUREBOOT_SIGN_KEY and SECUREBOOT_SIGN_CERT may point to different files. For this example, the pem file generated by OpenSSL includes both the key and the accompanying certificate, and thus both variables are set to the same value.

Remarque
When generating an Unified Kernel Image with systemd's ukify the kernel image will be signed automatically before inclusion in the unified kernel image and it is not necessary to sign it manually.

Architecture specific kernel configuration

amd64

Make sure to select IA32 Emulation and 32-bit time_t if 32-bit programs should be supported (CONFIG_IA32_EMULATION and CONFIG_COMPAT_32BIT_TIME). Gentoo installs a multilib system (mixed 32-bit/64-bit computing) by default, so unless a no-multilib profile is used, these options are required.

KERNEL Selecting processor types and features

Processor type and features --->
 [ ] Machine Check / overheating reporting 
 [ ] Intel MCE Features
 [ ] AMD MCE Features
 Processor family (AMD-Opteron/Athlon64) --->
 ( ) Opteron/Athlon64/Hammer/K8
 ( ) Intel P4 / older Netburst based Xeon
 ( ) Core 2/newer Xeon
 ( ) Intel Atom
 ( ) Generic-x86-64
Binary Emulations --->
 [*] IA32 Emulation
General architecture-dependent options --->
 [*] Provide system calls for 32-bit time_t

Enable GPT partition label support if that was used previously when partitioning the disk (CONFIG_PARTITION_ADVANCED and CONFIG_EFI_PARTITION):

KERNEL Enable support for GPT

-*- Enable the block layer --->
 Partition Types --->
 [*] Advanced partition selection
 [*] EFI GUID Partition support

Enable EFI stub support, EFI variables and EFI Framebuffer in the Linux kernel if UEFI is used to boot the system (CONFIG_EFI, CONFIG_EFI_STUB, CONFIG_EFI_MIXED, CONFIG_EFI_VARS, and CONFIG_FB_EFI):

KERNEL Enable support for UEFI

Processor type and features --->
 [*] EFI runtime service support 
 [*] EFI stub support
 [*] EFI mixed-mode support
 
Device Drivers
 Graphics support --->
 Frame buffer Devices --->
 <*> Support for frame buffer devices --->
 [*] EFI-based Framebuffer Support
</div>
<div lang="en" dir="ltr" class="mw-content-ltr">
File Systems
 Pseudo filesystems --->
 <*> EFI Variable filesystem

To enable the Kernel options for the use of SOF Firmware covered earlier:

KERNEL Enabling SOF Firmware support (CONFIG_SND_SOC_SOF_TOPLEVEL, CONFIG_SND_SOC_SOF_PCI, CONFIG_SND_SOC_SOF_ACPI, CONFIG_SND_SOC_SOF_AMD_TOPLEVEL, CONFIG_SND_SOC_SOF_INTEL_TOPLEVEL)

Device Drivers --->
 Sound card support --->
 Advanced Linux Sound Architecture --->
 <M> ALSA for SoC audio support --->
 [*] Sound Open Firmware Support --->
 <M> SOF PCI enumeration support
 <M> SOF ACPI enumeration support
 <M> SOF support for AMD audio DSPs
 [*] SOF support for Intel audio DSPs

Prise en charge de la mémoire haute sur x86

À cause des limitations de l'adressage sur 32 bits des architectures x86 , un noyau compilé avec les options par défaut ne prendra en charge que 896 MO de mémoire RAM. Si le système dispose de plus de mémoire, seuls les premiers 896 MO seront visibles, sauf si la prise en charge de la mémoire haute est activée.

Remarque
Cette limitation est spécifique à l'architecture x86 (IA32). Les autres architectures prennent naturellement en charge de grande quantités de mémoire, sans configuration particulière.

La prise en charge de la mémoire haute n'est pas activée par défaut, parce qu'elle introduit une légère surcharge. Cela ne doit pas être une distraction, la surcharge est insignifiante comparée au gain de performance procuré par une augmentation de la taille de la mémoire !

Choisir l'option 4GB, à moins que le système ne dispose de plus de 4GB de RAM :

KERNEL Activer le support de mémoire haute sur l'architecture x86

Processor type and features --->
 High Memory Support --->
 (X) 4GB
 ( ) 64GB

Compiling and installing

With the configuration now done, it is time to compile and install the kernel. Exit the configuration and start the compilation process:

root #make && make modules_install

Remarque
It is possible to enable parallel builds using make -jX with X being an integer number of parallel tasks that the build process is allowed to launch. This is similar to the instructions about /etc/portage/make.conf earlier, with the MAKEOPTS variable.

When the kernel has finished compiling, copy the kernel image to /boot/. This is handled by the make install command:

root #make install

This command will copy the kernel image to /boot. If sys-kernel/installkernel is installed it will call /sbin/installkernel instead and delegate the kernel installation. Instead of simply copying the kernel to /boot, Installkernel installs each kernel with its version number in the file name. Additionally, installkernel provides a framework for automatically accomplishing various tasks relating to kernel installation, such as: generating an initramfs, building an Unified Kernel Image, and updating the bootloader configuration.

Configuration du noyau et notation abrégée

Introduction

En lisant à propos de la configuration du noyau, souvent, les paramètres sont notés CONFIG_<quelque-chose>. Cette notation abrégée est ce que la configuration du noyau utilise réellement en interne, et est aussi ce qui sera retrouvé dans le fichier de configuration du noyau (soit /usr/src/linux/.config ou dans le fichier auto-généré /proc/config.gz ). Bien sûr, l'utilisation de cette notation abrégée ne servirait pas à grand chose s'il était impossible de la traduire en son emplacement réel dans les menus de configuration du noyau. Heureusement, l'outil lancé par make menuconfig rend cela possible.

Traduire CONFIG_FOO en un emplacement réel dans les menus de configuration

Supposons que la variable CONFIG_TMPFS_XATTR doit être activée. Lancer le menu de configuration du noyau (make menuconfig) et taper /. Une boîte de recherche s'ouvre. Dans la boîte de recherche, taper CONFIG_TMPFS_XATTR.

Ce qui suit est le résultat de cette recherche :

KERNEL Résultat de la recherche de CONFIG_TMPFS_XATTR dans menuconfig

Symbol: TMPFS_XATTR [=n]
Type : boolean
Prompt: Tmpfs extended attributes
 Defined at fs/Kconfig:138
 Depends on: TMPFS [=y]
 Location:
 -> File systems
 -> Pseudo filesystems
(1) -> Virtual memory file system support (former shm fs) (TMPFS [=y])
 Selected by: TMPFS_POSIX_ACL [=n] && TMPFS [=y]

Cette sortie nous fournit une multitude d'informations intéressantes.

Entry	Description
Symbol: TMPFS_XATTR [=n]	This identifies the kernel configuration entry being searched for. It also shows that this setting is currently not enabled ([=n]).
Type: boolean	The setting searched for is a boolean (which means it can be one of two options: enabled or disabled). Some settings are numbers or strings.
Prompt: Tmpfs extended attributes	This is the text found in the make menuconfig entry that controls the variable (`TMPFS_XATTR`) in the .config file. It is essentially the variable name in a more human readable format.
Depends on: TMPFS [=y]	Before this entry can be seen `CONFIG_TMPFS` must be enabled. In this case it is already done (hence the [=y]) but if this is not the case, first look for (and enable) `CONFIG_TMPFS`.
Location: ...	This is the location in the make menuconfig structure where the setting can be found. Remember, the setting to look for is Tmpfs extended attributes.
Selected by: TMPFS_POSIX_ACL [=n] && TMPFS [=y]	If the settings described here are both enabled (in this case the first one is not), then `CONFIG_TMPFS_XATTR` will be automatically enabled and will not be possible to be disabled until one of these settings is de-selected.

Grâce à ces informations, il est possible de traduire toutes les variables CONFIG_* nécessaires assez facilement. En bref, cela signifie que l'utilisateur doit :

Activer les paramètres décrits dans le champ Depends on (dépend de)
Naviguer là où le champ Location: dirige
Basculer la valeur référencée par 'Prompt:

Conseil
Noter le nombre entre parenthèses ; Les utilisateurs peuvent accéder à cette option, ou le plus près possible, en appuyant sur le numéro pendant la recherche. Dans l'exemple ci-dessus, appuyer sur la touche 1 du clavier entraînera le saut sur ou près de cette option

Autres documentations sur la configuration du noyau

Jusqu'à maintenant, seuls les concepts généraux et les problèmes spécifiques relatifs à la configuration du noyau ont été introduits ; l'utilisateur se chargera lui-même d'en découvrir les détails. Néanmoins, d'autres parties de la documentation de Gentoo fournissent des détails spécialisés selon le thème abordé.

Ces documents peuvent être fort utiles lors de la configuration de domaines spécifiques du noyau. Même si cet avertissement a déjà été mentionné, les utilisateurs qui débutent avec la configuration du noyau ne devraient pas être trop téméraires. Toujours commencer par un système de base qui fonctionne. La prise en charge audio, de l'impression, etc pourra toujours être ajoutée par la suite.

Obtenir les bases d'un noyau opérationnel aidera les utilisateurs dans les étapes de configuration ultérieures, car l'utilisateur saura ce qui casse le système et ce qui fonctionne. Il est toujours judicieux d'enregistrer la configuration du noyau de base (qui marche) dans un dossier autre que le dossier des sources du noyau avant d'essayer d'ajouter de nouvelles fonctionnalités ou le support de nouveau matériel.

L'article ALSA fournit des détails sur les options de configuration requises pour la prise en charge des cartes son. Noter qu'ALSA est une exception au schéma suggéré de ne pas construire les choses en tant que modules : ALSA est réellement plus facile à configurer lorsque les composants sont modulaires.

L'article Bluetooth fournit les détails sur les options requises pour l'utilisation des périphériques Bluetooth.

Le Guide du routage IPV6 explique comment configurer le noyau pour le routage qui utilise le schéma d'adressage réseau de la nouvelle génération.

Si les pilotes graphiques propriétaires NVIDIA sont utilisés pour une performance graphique 3D améliorée, le guide NVIDIA présente les options qui doivent et ne doivent pas être activées sur un tel système.

Également, le Guide de gestion de l'énergie explique comment configurer le noyau pour l'adaptation des fréquences du CPU, et pour les fonctionnalités de mise en veille et d'hibernation.

Si un système PowerPC est utilisé, la FAQ PPC dispose de quelques sections relatives à la configuration d'un noyau PPC.

Le Guide d'impression présente les options du noyau requises pour la prise en charge de l'impression dans Linux.

Le Guide USB détaille les options de configuration requises pour utiliser les périphériques USB courants tels que clavier, souris, périphériques de stockage, et imprimantes USB.

Dépannage

Les changements apportés à la configuration restent sans effet

Il est très courant pour les utilisateurs d'effectuer un changement dans la configuration du noyau, mais de faire une petite erreur dans le processus de redémarrage sur le nouveau noyau. Ils redémarrent sur une image qui n'est pas celle qu'ils viennent de reconfigurer, se rendent compte que le problème qu'ils voulaient résoudre est toujours présent, et en concluent que le changement n'est pas en mesure de résoudre leur problème.

Le processus de compilation et d'installation du noyau est en dehors du champ de ce document; reportez vous au Guide de mise à jour du noyau pour des instructions générales. En bref, le processus est :

configurer
compiler
monter /boot (s'il ne l'est déjà pas)
copier la nouvelle image du noyau dans /boot
s'assurer que le gestionnaire de démarrage prend en compte le nouveau noyau
redémarrer

Si l'une de ces étapes finales a été oubliée, les changements resteront sans effet.

configure
compile
mount /boot (if not already mounted)
copy new kernel image to /boot
make sure the bootloader will reference the new kernel
reboot

If one of those final stages has been missed, then the changes will not properly take effect.

Il est possible de vérifier si le noyau qui a démarré correspond au nouveau noyau compilé sur le disque dur. Pour ce faire, examiner la date et l'heure de compilation du noyau. En supposant que l'architecture du système est x86 et que les sources du noyau sont installées dans /usr/src/linux, la commande suivante peut être utilisée :

root #uname -v

#4 SMP PREEMPT Sat Jul 15 08:49:26 BST 2006

La commande ci-dessus affiche la date et l'heure de compilation du noyau qui a été démarré.

root #ls -l /usr/src/linux/arch/i386/boot/bzImage

La commande ci-dessus affiche la date et l'heure de la dernière compilation de l'image du noyau sur le disque dur.

Si les deux horodatages issus des commandes précédentes sont différents de plus de 2 minutes, cela indique qu'une erreur a été faite lors de la réinstallation du noyau et que le système n'a pas démarré sur l'image du noyau nouvellement modifiée.

Les modules ne sont pas chargés automatiquement

Comme mentionné précédemment, le système de configuration du noyau cache un grand changement de comportement lorsque un composant du noyau est choisit pour une compilation en tant que module (M) plutôt que pour une compilation en dur dans le noyau (Y). Cela mérite d'être répété car de nombreux utilisateurs tombent dans ce piège.

Lorsque un composant est sélectionné pour une compilation en dur dans le noyau, le code est inclus dans l'image du noyau (bzImage). Lorsque le noyau a besoin de ce composant, il peut l'initialiser et le charger automatiquement, sans intervention de l'utilisateur.

Lorsque un composant est sélectionné pour une compilation en tant que module, le code est placé dans un module du noyau et installé sur le système de fichiers. En général, lorsque le noyau a besoin de ce composant, il ne pourra pas le trouver. Sauf quelques exceptions, le noyau ne fait aucun effort pour charger les modules — cette tâche est dévolue à l'utilisateur.

Si la prise en charge du réseau est construite en tant que module, et que le réseau n'est pas accessible, c'est probablement parce que le module n'est pas chargé — cela doit être fait soit à la main ou soit en configurant le système pour charger automatiquement le module au démarrage.

Sauf si un utilisateur a des raisons de faire autrement, du temps peut être gagné en construisant ces composants en dur dans le noyau, de manière à ce que le noyau puisse configurer tous ces petits détails lui-même.

Voir aussi

Genkernel — un outil créé par Gentoo et utilisé pour automatiser le processus de compilation du noyau et du système de fichiers virtuel de démarrage (initramfs).
proc filesystem (Security Handbook) - Changer les variables et paramètres du noyau à la volée (En anglais).
User:Egberts/Drafts/Gentoo_Kernel_Configuration_Guide - Modifier la configuration kernel.

Authorship information

This page is based on a document formerly found on gentoo.org.
The following people contributed to the original document: Daniel Drake, Curtis Napier, Justin Robinson, Lukasz Damentko, Jonathan Smith, nightmorph

Editors: please do not add yourself here. Contributions are recorded on each article's associated history page, this list is only present to preserve authorship information, as wiki history does not allow for any external attribution.