Problem s udrzovanim programu v base
Dan Lukes
dan at obluda.cz
Wed Feb 19 14:48:32 CET 2003
Tyman Vladimir napsal/wrote:
>> To vite - openssl je pomerne dobre a rozsahle kryptograficke dilo,
>>takze pokud v jadre potrebujete nejakou kryptografii (napriklad IPSEC)
>>tak si muzete prislusnou kryptografii bud' vyvinou separatne sam, nebo
>>pouzit openssl. Prvni je mozna zbytecne casove narocne, to druhe zase
> Ono se v IPSEC (obecne jadre) pouziva openssl? Rad se necham poucit.
No, vase sebevedoma odpoved me zvyklala a overil jsem si to znovu. Mat
epravdu, nepouziva se. Troufam si trvat na konstatovani "uz se
nepouziva", protoze se opravdu pouzivalo. Zrejme ta zmena bude nejak
souviset s objevenim se noveho adresare sys/opencrypto.
Zrejme proces exkomunikace nekterych veci z jadra uz zapocal ...
> BTW pokud by se direktivy, kterymi jde zapnout v /etc/make.conf daly vybrat
> pri instalaci z CD tak by to uplne stacilo. Takhle vam zbyva:
> - nainstalovat z CD vypnout openssl, openssh, bind, sendmail v /etc/make.conf
> - po instalaci vymazat vse starsi nez prave instalovane (sam si musite rict kde vsude hledat).
> - pak nainstalovat z portu to openssl, openssh, bind (to lze pokud port nabizi neco jako OVERWRITE_BASE).
> A uz nesmite pouzit pro upgrade CD. Jsme v roce 2003 ne 1993 proboha.
Zrejme se opravdu jedna o problem, ktery zrejme pali mene lidi, nez by
se libilo vam. Jinak by to patrne uz nekdo vyresil. Popravde receno, ja
si myslim, ze je to tim, ze vetsina lidi odstranuje nalezene chybi tim,
ze aplikuje patch, nikoliv tim, ze instaluje novou verzi chybne komponenty.
> Rudolf Cejka, ale zrejme mene nez pracovat vice na libh. Priznam se, ze jsem deni
> okolo odstraneni perlu nesledoval, ale jaky byl duvod jeho odstraneni?
Prilisne komplikace s jeho udrzovanim vzhledem k tomu, ze nove verze
nejsou vzdy plne kompatibilni se starymi.
>> Mimochodem, rad bych zminil, ze me nemoznost upgrade na aktualni verzi
>>vetsinou nepripada jako nijak zvlastni omezeni, a to se povazuji za
>>pomerne intenzivniho uzivatele vcetne nekterych pomerne kritickych
>>komercnich nasazeni tohoto systemu - opravy bezpecnostnich chyb jsou
...
>>upgrade na posleni openssl). Co nejrychlejsi zahrnovani nejnovejsich
>>verzi cehokoliv do stabilniho systemu je spis hrozba nez vyhoda ...
>
>
> Vam napr. pripada, ze by pouziti bind9 nejak znestabilnilo system?
> Prectete si jakou verzi bindu ISC doporucuje a procpak je uzivateli v base vnucena
> verze 8? Dal opakuji, co ma chyba v openssh spolecneho se systemem jako takovym?
Proc ten utocny ton (pokud se da hovori o tonu emailu) ?
Mam nejak dojem, ze se asi mijime v diskusi, Zrejme nevim, o co vam
presne jde, ac jsem si myslel, ze ano. Mel jsem dojem, ze se ptate, jak
snadno opravit zname chyby v komponentach, kdyz se zjisti, ze komponenta
obsazena v systemu obsahuje chybu. Vam ale zrejme jde o to, aby system
vzdy obsahoval posledni verzi dane komponenty. To ja od systemu
nepozaduji, dokonce to nepovazuji ani za optimalni postup a tak patrne
nebudu tim, kdo bude hledat postupy, jak tohoto stavu dosahnout.
> Obecne chyba v userland programech by preci nemela vest k rekompilaci
> celeho systemu a k restartu to je ospravedlnitelne v pripade chyby v
> jadre a libc.
Vsak kernel take vetsinou prekompilovavat nemusite - vetsinou musite
rekompilovat world - coz je ale cely system bez kernelu a samozrejme
dotcene third-party aplikace ...
Pokud ona komponenta do systemu dodava knihovnu, pak je nutne
relinkovat vsechny programy, ktere tuto knihovnu maji staticky
prilinkovanou. Dale je nutne prekompilovat vsechny programu, ktere
pouzivaji nejaky header dane komponenty pri sve kompilaci. To znamena,
zrovna na prikladu jiz zmineneho BINDu, jehoz headery se pomerne
intenzivne pouzivaji a jehoz funkce jsou soucasti libc, ktera je
prilinkovana ke kde-cemu, opravdu rekompilaci prakticky celeho systemu.
Presunutim BINDu z BASE do portu se tohoto problemu nijak nezbavite.
Nicmene, opravdu jsem ztratil jistotu, ze rozumim tomu, jaky problem
resime, takze se omlouvam, pokud zdrzuji nemluvenim k veci a radeji toho
necham.
>> No, a z ceho usuzujete, ze vas nazor, ze by si problem zasluhoval vetsi
>>pozornost neni mensinovy, kdyz jak sam rikate, venuje se mu jen malo
>>lidi a jeste ne prilis aktivne ... ? ;-)
>
>
> To ja prave nevim proc je "mensinovy", ale pokud jste si precetl popis Jordana K. Hubbarda
> tak je vam jasne, ze soucasny stav v teto veci neni vyhovujici a ze se s nim nekdy
> bude muset neco udelat, tak proc to odkladat.
>
> Zatim v teto diskuzi nikdo nepoprel, ze libh/package_ng je spatna vec a hlavne resi
> zalezitosti, ktere jsou v tuto chvili neresitelne tak jak je to udelano.
> Chapu, ze postoj bud si to udelej sam nebo mas smulu je take mozny, ale ja jsem se
> domnival, ze lidem z komunity FreeBSD jde o to aby se FreeBSD zdokonalovalo.
Jde. Zrejme se ale zda, ze jim jine problemy pripadaji zasadnejsi a tak
svuj cas a energii venuji zadoucimu zdokonalovani tam, misto tady.
To neni spor mezi nami. Ja pouze konstatuji rozpor mezi tvrzenim, ze
stav je zavazny a tim, jak se k problemu stavi komunita vyvojaru, jejiz
postoj toto tvrzeni prilis nepotvrzuje. Ano, nezastiram, ze ani ja si
nemyslim, ze jde o problem zavazny a nijak neodporuji tomu, ze to je
jiny nazor nez zastavate vy spolecne s JKH. Netrvam ani na tom, abyste
muj nazor prijal jako jediny spravny. Jen jsem se odvazil prezentovat
nazor svuj, stejne tak, jako jste to udelal vy ...
Zdravi
Dan
--
Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list