Problem s udrzovanim programu v base

[Dan Lukes]

Tyman Vladimir napsal/wrote:
>>        To vite - openssl je pomerne dobre a rozsahle kryptograficke dilo,
>>takze pokud v jadre potrebujete nejakou kryptografii (napriklad IPSEC)
>>tak si muzete prislusnou  kryptografii bud' vyvinou separatne sam, nebo
>>pouzit openssl. Prvni je mozna zbytecne casove narocne, to druhe zase

> Ono se v IPSEC (obecne jadre) pouziva openssl? Rad se necham poucit.

	No, vase sebevedoma odpoved me zvyklala a overil jsem si to znovu. Mat 
epravdu, nepouziva se. Troufam si trvat na konstatovani "uz se 
nepouziva", protoze se opravdu pouzivalo. Zrejme ta zmena bude nejak 
souviset s objevenim se noveho adresare sys/opencrypto.

	Zrejme proces exkomunikace nekterych veci z jadra uz zapocal ...

> BTW pokud by se direktivy, kterymi jde zapnout v /etc/make.conf daly vybrat 
> pri instalaci z CD tak by to uplne stacilo.  Takhle vam zbyva:
> - nainstalovat z CD vypnout openssl, openssh, bind, sendmail v /etc/make.conf 
> - po instalaci vymazat vse starsi nez prave instalovane (sam si musite rict kde vsude hledat). 
> - pak nainstalovat z portu to openssl, openssh, bind (to lze pokud port nabizi neco jako OVERWRITE_BASE).
> A uz nesmite pouzit pro upgrade CD. Jsme v roce 2003 ne 1993 proboha.

	Zrejme se opravdu jedna o problem, ktery zrejme pali mene lidi, nez by 
se libilo vam. Jinak by to patrne uz nekdo vyresil. Popravde receno, ja 
si myslim, ze je to tim, ze vetsina lidi odstranuje nalezene chybi tim, 
ze aplikuje patch, nikoliv tim, ze instaluje novou verzi chybne komponenty.

> Rudolf Cejka, ale zrejme mene nez pracovat vice na libh. Priznam se, ze jsem deni 
> okolo odstraneni perlu nesledoval, ale jaky byl duvod jeho odstraneni? 

	Prilisne komplikace s jeho udrzovanim vzhledem k tomu, ze nove verze 
nejsou vzdy plne kompatibilni se starymi.

>>        Mimochodem, rad bych zminil, ze me nemoznost upgrade na aktualni verzi
>>vetsinou nepripada jako nijak zvlastni omezeni, a to se povazuji za
>>pomerne intenzivniho uzivatele vcetne nekterych pomerne kritickych
>>komercnich nasazeni tohoto systemu - opravy bezpecnostnich chyb jsou
...
>>upgrade na posleni openssl). Co nejrychlejsi zahrnovani nejnovejsich
>>verzi cehokoliv do stabilniho systemu je spis hrozba nez vyhoda ...
> 
> 
> Vam napr. pripada, ze by pouziti bind9 nejak znestabilnilo system?
> Prectete si jakou verzi bindu ISC doporucuje a procpak je uzivateli v base vnucena
> verze 8? Dal opakuji, co ma chyba v openssh spolecneho se systemem jako takovym?

	Proc ten utocny ton (pokud se da hovori o tonu emailu) ?

	Mam nejak dojem, ze se asi mijime v diskusi, Zrejme nevim, o co vam 
presne jde, ac jsem si myslel, ze ano. Mel jsem dojem, ze se ptate, jak 
snadno opravit zname chyby v komponentach, kdyz se zjisti, ze komponenta 
obsazena v systemu obsahuje chybu. Vam ale zrejme jde o to, aby system 
vzdy obsahoval posledni verzi dane komponenty. To ja od systemu 
nepozaduji, dokonce to nepovazuji ani za optimalni postup a tak patrne 
nebudu tim, kdo bude hledat postupy, jak tohoto stavu dosahnout.

 > Obecne chyba v userland programech by preci nemela vest k rekompilaci 
 > celeho systemu a k restartu to je ospravedlnitelne v pripade chyby v
 > jadre a libc.

	Vsak kernel take vetsinou prekompilovavat nemusite - vetsinou musite 
rekompilovat world - coz je ale cely system bez kernelu a samozrejme 
dotcene third-party aplikace ...

	Pokud ona komponenta do systemu dodava knihovnu, pak je nutne 
relinkovat vsechny programy, ktere tuto knihovnu maji staticky 
prilinkovanou. Dale je nutne prekompilovat vsechny programu, ktere 
pouzivaji nejaky header dane komponenty pri sve kompilaci. To znamena, 
zrovna na prikladu jiz zmineneho BINDu, jehoz headery se pomerne 
intenzivne pouzivaji a jehoz funkce jsou soucasti libc, ktera je 
prilinkovana ke kde-cemu, opravdu rekompilaci prakticky celeho systemu. 
Presunutim BINDu z BASE do portu se tohoto problemu nijak nezbavite.

	Nicmene, opravdu jsem ztratil jistotu, ze rozumim tomu, jaky problem 
resime, takze se omlouvam, pokud zdrzuji nemluvenim k veci a radeji toho 
necham.

>>        No, a z ceho usuzujete, ze vas nazor, ze by si problem zasluhoval vetsi
>>pozornost neni mensinovy, kdyz jak sam rikate, venuje se mu jen malo
>>lidi a jeste ne prilis aktivne ... ? ;-)
> 
> 
> To ja prave nevim proc je "mensinovy", ale pokud jste si precetl popis Jordana K. Hubbarda 
> tak je vam jasne, ze soucasny stav v teto veci neni vyhovujici a ze se s nim nekdy
> bude muset neco udelat, tak proc to odkladat.
> 
> Zatim v teto diskuzi nikdo nepoprel, ze libh/package_ng je spatna vec a hlavne resi 
> zalezitosti, ktere jsou v tuto chvili neresitelne tak jak je to udelano.
> Chapu, ze postoj bud si to udelej sam nebo mas smulu je take mozny, ale ja jsem se 
> domnival, ze lidem z komunity FreeBSD jde o to aby se FreeBSD zdokonalovalo.

	Jde. Zrejme se ale zda, ze jim jine problemy pripadaji zasadnejsi a tak 
svuj cas a energii venuji zadoucimu zdokonalovani tam, misto tady.

	To neni spor mezi nami. Ja pouze konstatuji rozpor mezi tvrzenim, ze 
stav je zavazny a tim, jak se k problemu stavi komunita vyvojaru, jejiz 
postoj toto tvrzeni prilis nepotvrzuje. Ano, nezastiram, ze ani ja si 
nemyslim, ze jde o problem zavazny a nijak neodporuji tomu, ze to je 
jiny nazor nez zastavate vy spolecne s JKH. Netrvam ani na tom, abyste 
muj nazor prijal jako jediny spravny. Jen jsem se odvazil prezentovat 
nazor svuj, stejne tak, jako jste to udelal vy ...

					Zdravi

						Dan


-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz