Problem s udrzovanim programu v base
Tyman Vladimir
Vladimir.Tyman at i.cz
Wed Feb 19 12:13:26 CET 2003
Dan Lukes wrote:
>
> To vite - openssl je pomerne dobre a rozsahle kryptograficke dilo,
> takze pokud v jadre potrebujete nejakou kryptografii (napriklad IPSEC)
> tak si muzete prislusnou kryptografii bud' vyvinou separatne sam, nebo
> pouzit openssl. Prvni je mozna zbytecne casove narocne, to druhe zase
> znamena zavislost na kodu onoho ciziho baliku - ktery se tim de-facto
> stava zakladni soucasti systemu (a tedy nikoliv jen externim third-party
> programem - portem).
Ono se v IPSEC (obecne jadre) pouziva openssl? Rad se necham poucit.
Vzdycky jsem se domnival, ze openssl se pouziva pro userland procesy.
Koneckoncu leccos nasvedcuje pritomnost direktivy NO_OPENSSL v /etc/make.conf.
BTW pokud by se direktivy, kterymi jde zapnout v /etc/make.conf daly vybrat
pri instalaci z CD tak by to uplne stacilo. Takhle vam zbyva:
- nainstalovat z CD vypnout openssl, openssh, bind, sendmail v /etc/make.conf
- po instalaci vymazat vse starsi nez prave instalovane (sam si musite rict kde vsude hledat).
- pak nainstalovat z portu to openssl, openssh, bind (to lze pokud port nabizi neco jako OVERWRITE_BASE).
A uz nesmite pouzit pro upgrade CD. Jsme v roce 2003 ne 1993 proboha.
> V pripade perlu se nakonec takove zavisloti zbavit podari, proste tim,
> ze se prestane pouzivat, v priopade openssl ale muze byt stejny postup
> natolik neefektivni, ze se to proste nevyplati.
"Proste se prestane pouzivat" asi neni ten spravny vyraz stalo to dost usili jak psal
Rudolf Cejka, ale zrejme mene nez pracovat vice na libh. Priznam se, ze jsem deni
okolo odstraneni perlu nesledoval, ale jaky byl duvod jeho odstraneni?
>
> Mimochodem, rad bych zminil, ze me nemoznost upgrade na aktualni verzi
> vetsinou nepripada jako nijak zvlastni omezeni, a to se povazuji za
> pomerne intenzivniho uzivatele vcetne nekterych pomerne kritickych
> komercnich nasazeni tohoto systemu - opravy bezpecnostnich chyb jsou
> obvykle k dispozici formou patchu (nebo pres cvsup) tak jako tak a co se
> tyce nejakych novych funkci, ty jen velice vyjimecne byvaji natolik
> nepostradatelne, aby se kvuli nim vyplatilo provadet nejake harakiry a
> ohrozovat stabilitu vysledneho systemu, i kdyz nevylucuji, ze ve
> vyjimecnych pripadech to muze byt jinak (napriklad pokud jste vlastnikem
> hardwaroveho kryptografickeho zarizeni, pak patrne budete chtit provest
> upgrade na posleni openssl). Co nejrychlejsi zahrnovani nejnovejsich
> verzi cehokoliv do stabilniho systemu je spis hrozba nez vyhoda ...
Vam napr. pripada, ze by pouziti bind9 nejak znestabilnilo system?
Prectete si jakou verzi bindu ISC doporucuje a procpak je uzivateli v base vnucena
verze 8? Dal opakuji, co ma chyba v openssh spolecneho se systemem jako takovym?
Obecne chyba v userland programech by preci nemela vest k rekompilaci celeho systemu
a k restartu to je ospravedlnitelne v pripade chyby v jadre a libc.
>
> Celkove bych skoro rekl, ze nahrazovat klicove komponenty systemu (a
> zrovna openssl je pomerne dost klicova komponenta) je vhodne jen z
Abychom se nebavili jen vagne, muzete dolozit proc je openssl klicova komponenta
systemu (pominu-li sendmail a zrejme openssh, ktere lze urcite instalovat z pkg)
viz. vyse direktiva NO_OPENSSL?
> Protoze tato knihovna muze byt staticky prilinkovana k nekterym castem
> systemu - nahrazeni zdrojovych kodu bez rekompilace systemu tedy problem
> neodstrani. I dynamicky linkovanych komponent neni upgrade bez
> rekompilace bezpecna "automaticky" - jen kdyz se rozhrani a logika kodu
> nezmenila prilis (coz obvykle nehrozi, pokud se jen opravovala chyba -
> takze se to tyka zejmena skutecnych upgrade)...
Ale prece to by presunuti z base resilo, protoze by byly by videt zavislosti, ktere jsou
za soucasneho stavu velmi tezko odhalitelne. Zkuste treba zjistit co v base pouziva
openssl a o ten postup se s nami podelit.
> No, a z ceho usuzujete, ze vas nazor, ze by si problem zasluhoval vetsi
> pozornost neni mensinovy, kdyz jak sam rikate, venuje se mu jen malo
> lidi a jeste ne prilis aktivne ... ? ;-)
To ja prave nevim proc je "mensinovy", ale pokud jste si precetl popis Jordana K. Hubbarda
tak je vam jasne, ze soucasny stav v teto veci neni vyhovujici a ze se s nim nekdy
bude muset neco udelat, tak proc to odkladat.
Zatim v teto diskuzi nikdo nepoprel, ze libh/package_ng je spatna vec a hlavne resi
zalezitosti, ktere jsou v tuto chvili neresitelne tak jak je to udelano.
Chapu, ze postoj bud si to udelej sam nebo mas smulu je take mozny, ale ja jsem se
domnival, ze lidem z komunity FreeBSD jde o to aby se FreeBSD zdokonalovalo.
VT
--
Vladimir Tyman
ICZ a.s.
More information about the Users-l
mailing list