freebsd-update -r 9.2-RELEASE upgrade - cast 4, konkretni vlastni patche

Dan Lukes dan at obluda.cz
Fri Mar 7 22:37:22 CET 2014


V noci se im uz do toho nechtelo, ale ted prevazil pocit, ze uz to chci
mit tak trochu za sebou a pustit to z hlavy (to nevylucuje dotazy).

Takze strucne popisu co jsem si sam kde zmenil nebo opravil. Tam, kde
jsem patch zkusil protlacit do oficialni distribuce uvedu jen cislo PR.

Jak uz jsem psal, pouzivam tyto lokalni patche:

> LOCAL_SRC_PATCHES =/usr/src/patch-OPENSSH-AUTH /usr/src/patch-ATAPICD /usr/src/patch-UHID
> LOCAL_SRC_PATCHES+=/usr/src/patch-LIBALIAS+NATD /usr/src/patch-ETC-PROFILE
> LOCAL_SRC_PATCHES+=/usr/src/patch-INSTALL /usr/src/patch-confGENERIC
> LOCAL_SRC_PATCHES+=/usr/src/patch-NAMED /usr/src/patch-EAPOL_TEST
> LOCAL_SRC_PATCHES+=/usr/src/patch-acpi-video /usr/src/patch-acpidump-TCPA
> LOCAL_SRC_PATCHES+=/usr/src/patch-MERGEMASTER /usr/src/patch-module-ixgbe /usr/src/patch-re
> LOCAL_SRC_PATCHES+=/usr/src/patch-sysinstall /usr/src/patch-du /usr/src/patch-CRYPT_BLF
> LOCAL_SRC_PATCHES+=/usr/src/patch-hddsecurity /usr/src/patch-usb-QUIRKS
> LOCAL_SRC_PATCHES+=/usr/src/patch-fs::nfsserver::nfs_nfsdserv.c /usr/src/patch-NOSVN
> LOCAL_SRC_PATCHES+=/usr/src/patch-ETC-NTP.CONF
> 
> LOCAL_PORTS_PATCHES =/usr/ports/patch-OPENSSL /usr/ports/patch-libreoffice

> Jednotlive patche najdete take na http://www.freebsd.cz/~dan/

> patch-ATAPICD

PR: kern/122670

> patch-CRYPT_BLF

Zmenil jsem si defaultni hashovaci algoritmus pro master.passwd z MD5 na
BLOWFISH a v ramci nej jsem zvedl defaultni pocet "kol" z 4 na 11

Nejde o implementaci neceho noveho, jen o zmenu defaultu.

> /usr/src/patch-EAPOL_TEST

V ramci zdrojaku WPA SUPPLICANT je i adresar s testovacim klientem,
ktery je "hotovy" ale proste se standardne nepreklada. Tento patch
zpusobi, ze se adresar prida do seznamu tech, co se prekladaji (a
instaluji).

> /usr/src/patch-ETC-NTP.CONF

Pridani direktivy 'disable monitor' do defaultniho ntp.conf

Souvisi s https://isc.sans.edu/forums/diary/NTP+reflection+attack/17300

> /usr/src/patch-ETC-PROFILE

Customizace defaultniho /etc/profile - odvozeni promptu z hostname,
drobne zmeny nastaveni shellu - pro ostatni verejnost asi spis
nezajimava uprava ...

> /usr/src/patch-INSTALL

Uprava logiky programu 'install' aby (pokdu to je vyzadane specifickym
optionem) nepreinstaloval program tehdy, kdyz je shodne mtime zdrojoveho
a existujiciho ciloveho souboru. Docela to zrychluje reinstalace pres NFS.

V soucasny dobe uz tenhle patch nedoporucuju, ja sam ho musim jeste
nejakou dobu zachovat, protoze leckde se mi pouziva ten doimplementovany
option, ktery standatdni 'install' nezna.

> /usr/src/patch-LIBALIAS+NATD

New feature pro user-space NAT. Umoznuje konfigurovat jmeno logovaciho
souboru pro natd (bez upravy loguje do /var/log/alias.log a nejde to
zmenit, coz je problem pokud mate instanci NATD opravdu hodne). Doplnena
logika, ktera umozni logovaci soubor rotovat (standardni kod to
neumoznuje). Doplneno logovani konkretnich prekladacich kombinaci pro
kazde navazovane spojeni, coz umozni v pripade potreby zpetne dohledat k
"vnejsi" zdrojova IP a portu jim odpovidajici vnitrni Ip a port.
Nepostradatelne pro reseni stiznosti. Diky tomu jich mohu vetsinu s
cistym svedomim zamitnout ...

Toto vsechno je ale pouze pro user-space NAT. Pro kernel-space NAT to
taky nekdy doplnim. Mozna ...

> /usr/src/patch-MERGEMASTER

Umozni do konfiguracniho souboru doplnit seznam souboru, ktere nikdy
nemodifikuji a tudiz se mohou nahradit bez dotazu.

> /usr/src/patch-NAMED

Drobne rozsireni jedne logovane chyby o dalsi informace. Pomohlo mi to
pri ladeni problemu s BINDem, chrootem a pravy.

> /usr/src/patch-NATD

NAT umi prekladat na adresu, kterou si sam zjisti z itnerface (a reaguje
i na to, kdyz se adresa zmeni). V nekterych situacich ale reaguje
neadekvatne a celeho daemona ukonci. Coz se mi nehodilo. V mem svete
sice aktualne prestane fungovat, ale jinak ceka jestli nejaka pristi
zmena nastaveni adresy na interface neumozni normalni obnoveni funkce.

> /usr/src/patch-NOSVN

Tyka se 'make release'. Do instalacniho baliku portu je zabalen i
/usr/ports/.svn - coz trva dlouho, jen to nevhodne a jeste ten balik
vychazi kravsky velkej. Opraveno.

> /usr/src/patch-OPENSSH-AUTH

Hack. Potreboval jsem, aby se do PAM subsystemu dostavaly ze SSH i
pokusy o prihlaseni s neexistujicim prihlasovacim jmenem a SSH takvoehle
pripady filtruje a nepredava. Pouzivam totiz PAM modul proti
brutal-force zkouseni jmen a hesela ten se tedy potrebuje dozvedet, ze
nejaky pokus byl. Hack zpusobi, ze pokus o prihlaseni na neexistujici
jmeno se PAM preda jako pokus o prihlaseni uzivatele "nobody".
Predpokladem je, ze na tohoto uzivatele se prihlasit nejde.

> /usr/src/patch-UHID

Zpusobi, ze lze pracovat s nekterymi USB zarizenimi zatimco na ostatni
by nemel mit zaporny vliv.

> /usr/src/patch-acpi-video

1) implementuje podporu pro vice displayu ve vztahu k ACPI funkcim
nastavovani jasu podsviceni
2) implementuje rozpoznani ACPI udalosti "display off" nicmene, oznami
jen, ze obsluha teto udalosti neni implemenovana

> /usr/src/patch-acpidump-TCPA

Chyba v parsingu ACPI TCPA tabulky (big versus little endian a jeden
chybejici range-check)

> /usr/src/patch-confGENERIC

V i386 GENERIC kernelu je podpora pro ixgbe ne vsak ixgb
V amd64 GENERIC kernelu je podpora pro ixgb ne vsak ixgbe

Ja chci mit v obou oboji.

> /usr/src/patch-du

Prikaz du ma optiony -k a -m
Doplnil jsem option -g s vyznamem, ktery nebude tezke uhadnout.
Uprava pochazi z doby, kdy jeste neexistoval option -h

> /usr/src/patch-fs::nfsserver::nfs_nfsdserv.c

Experimentalni a VELMI NEBEZPECNA uprava NFS serveru. I po aplikaci je
defaultne vypnuta a musi se povolit pres sysctl Nedoporucuji.

> /usr/src/patch-hddsecurity

Rozsahle rozsireni programu camcontrol a atacontrol o security funkce.
Toto neni muj patch, ten jsem zkompiloval spojenim dvou cizich PR.

> /usr/src/patch-module-ixgbe

Uprava ovladace IXGBE tak aby defaultne toleroval pouziti OEM SFP modulu
a netrval na originalnich Intel (originalni default). Pozor, OEM moduly
mohou mit v teto situaci potize s chlazenim. Uprava pochazi z doby, kdy
ovladac OEM moduly nepodminene netoleroval a toto chovani neslo pomoci
sysctl menit. Dnes je jeji vyznam uz maly, spociva jen ve zmene defaultu.

> /usr/src/patch-re

Patch tykajici se zivotnosti RE karet. PR kern/171228

> /usr/src/patch-sysinstall

Defaultne se pri Minimalni instalaci na AMD64 neinstaluji LIB32. Pridal
jsem si tedy moznost "Minimal+32". Samozrejme bych to mohl vzdycky
naklikat v ramci "Custom" ale na to jak casto to potrebuju je to moc prace.

> /usr/src/patch-usb-QUIRKS

PR usb/180617

> /usr/ports/patch-OPENSSL

port mail/alpine se nelinkuje proti spravne verzi OpenSSL knihoven pokud
je pouzit WITH_OPENSSL_PORT option

> /usr/ports/patch-iaxmodem

V Makefile chybi zaznam o zavislosti na comms/spandsp nebo
comms/spandsp-devel

> /usr/ports/patch-libreoffice

Drobne jsem si upravil kompilacni optiony

 =======================

Dale mam 71 souboru patchu pro nasledujicich 30 portu:

converters/mpack databases/dbf databases/dbf2mysql
databases/mysql56-client devel/libcli dns/mydns
emulators/virtualbox-ose emulators/virtualbox-ose-additions
graphics/xpdf lang/php5 local/check_sip local/milter-sender
mail/cclient mail/imap-uw math/p5-Math-BigInt misc/mc
net-mgmt/routers2-extras net/asterisk net/asterisk11
net/iaxmodem net/isc-dhcp41-server net/isc-dhcp42-server
net/istgt net/rsync ports-mgmt/portupgrade
security/openssl security/racoon2 security/stunnel
sysutils/apcupsd www/horde-base

Neco jsou opravky chyb, neco ruzna vylepseni ci nove features ci podpora
IPv6 - to fakt nemam silu jednotlive popisovat. Pokud mate nekdo dojem,
ze v seznamu vidite port, s nimz mate potize nebo v nem potrebujete neco
pridat, zkuste se zeptat, treba je to prave to, co mam.

 =======================

Tento popis nebudiz chapan tak, ze komukoliv doporucuju instalaci
kterehokoliv z uvedenych patchu. Libovolny muze byt chybny a zpusobit
nestabilitu ci ohrozit funkcnost nebo bezpecnost systemu.

Tyto patche vyzaduji pravidelnou udrzbu pri zmene verze FreeBSD - kod v
danem miste nebo jeho okoli se muze kod zmenit a to muze vyzadovat zmenu
patche. Soucasne je nutne vyhodnotit, zda ve zmenenych podminkach
neznamena patch ohrozeni bezpecnosti nebo funkcnosti.

Pripadne pouzivani kterehokoliv patche je vyhradne na vlastni nebezpeci.

Dan



More information about the Users-l mailing list