A kako bi to uopšte toolchain mogao da pomogne napadaču? Uvek mu je lakše da ti ubaci prekompajliran binary.
Vidi ovako, potreba da se vozi "savremen" sistem moze se, ugrubo, razbiti na dvije komponente:
a) Hocu novije pakete, jer u njima su popravljeni problemi koji su u medjuvremenu pronadjeni
b) Hocu novije pakete, jer mi treba funkcionalnost koje u starim paketima nema.
Obicno je rijesenje da se vozi MJESAVINA stabilnog sistema i novih paketa. Odaberes, primjera radi, stabilan Debian kao bazu. Onda na njemu odlucis da vozis naj-naj-najnoviji Apache i PHP, sprijecis apt-get da ih instalira, patch-uje i uopste dira a time preuzmes na sebe testiranje/odrzavanje/krpljenje ta dva paketa. Za sve ostalo, uzdas se u napore koje Debian-stable ekipa ulaze da odrzava cio sistem. Dakle, pokriven si onim pod a), a ono pod b) forsiras na ogranicenom broju paketa koji su ti kriticni i od interesa.
Ne vidim prednosti ganjanja novog kernela, a za servere. Ako je sav hardver podrzan na starom kernelu, sva sistemska poboljsanja koje 2.6 donosi se kompenzuju grubom silom i prinudom, jer su serveri, po definiciji, ionako "jake" masine, kojima par procenata na performansama nista ne znaci u poredjenju sa stabilnoscu.
Za razliku od Gentoo-a, na Debian-u nisam baš imao lepog iskustva sa tim mešanjem. Hteo sam da nadogradim samo xfree -> xorg, ali posle toga sam imao problema pri svakom korišćenju apt-get. Na kraju sam uradio "apt-get dist-upgrade" i ti problemi su nestali, ali sad je ceo sistem na "testing".