View previous topic :: View next topic |
Author |
Message |
fank l33t
Joined: 16 Oct 2004 Posts: 794 Location: Minsk, Belarus
|
|
Back to top |
|
|
zvn Tux's lil' helper
Joined: 13 Jul 2007 Posts: 77
|
Posted: Wed May 06, 2009 12:00 pm Post subject: |
|
|
Поискал по gentoolkit на bugs.gentoo.org, вроде на проблемы в пакете реагируют, м.б. не на любую проблему, посмотрел ChangeLog самого пакета и ebuild-а, да с прошлого года не меняли.
В крайнем случае, можно самостоятельно анализировать /usr/portage/metadata/glsa на предмет package name и vulnerable range |
|
Back to top |
|
|
fank l33t
Joined: 16 Oct 2004 Posts: 794 Location: Minsk, Belarus
|
Posted: Thu May 07, 2009 8:14 am Post subject: |
|
|
да просто творится хрень какая-то
то RSBAC им уже не в тему
то просто элементарно забили на самый главный тул по секурити
тут из дерева удаляют пачками пакеты, в которых пару месяцев баги не закрывают
а здесь вообще альтернатив никаких нету
security team там что, забухала совсем?
видимо, скоро придется сваливать на что-нить другое
а жаль, ибо система неплохая для серверов _________________ Слово „христианство“ основано на недоразумении; в сущности, был один христианин, и тот умер на кресте. |
|
Back to top |
|
|
zvn Tux's lil' helper
Joined: 13 Jul 2007 Posts: 77
|
Posted: Thu May 07, 2009 11:58 am Post subject: |
|
|
а может быть, если Вы осознаёте проблему и можете её решать, имеет смысл присоединиться к security team? |
|
Back to top |
|
|
fank l33t
Joined: 16 Oct 2004 Posts: 794 Location: Minsk, Belarus
|
Posted: Thu May 07, 2009 12:14 pm Post subject: |
|
|
мой работодатель будет несогласен
мне нужно делать работу, используя уже готовые инструменты
ежели каждый начнет писать свою утилиту cp, то ничего хорошего не выйдет
если граждане из gentoo development team позиционируют свою систему как production ready, то отсутствие стандартных средств аудита безопасности никоим образом не подтверждает серьезность команды в поддержке системы _________________ Слово „христианство“ основано на недоразумении; в сущности, был один христианин, и тот умер на кресте. |
|
Back to top |
|
|
fank l33t
Joined: 16 Oct 2004 Posts: 794 Location: Minsk, Belarus
|
Posted: Thu May 07, 2009 12:22 pm Post subject: |
|
|
https://bugs.gentoo.org/show_bug.cgi?id=256103#c5
ну разве ж это серьезно....
блин, сижу тут сам эти патчи вручную накладываю
дописываю ебилды
а серваков уже с десяток и на каждом нужно это все сделать вручную - как минимум скопировать оверлей и обновить софтину
плюс патчи чего-то не накладываются из ебилда
ну наверное одному челу было бы проще накатить все эти патчи и мне потом обновить одной командой
P.S. На десктопной машине стоит убунта и никаких проблем... _________________ Слово „христианство“ основано на недоразумении; в сущности, был один христианин, и тот умер на кресте. |
|
Back to top |
|
|
ArtSh Apprentice
Joined: 05 Aug 2006 Posts: 178 Location: Казань, Россия
|
Posted: Thu May 07, 2009 9:37 pm Post subject: |
|
|
А у меня на десктопной машине стоит генту. И я на ней работаю работу. Что мне делать?
P.S. Я пытался максимально скопировать стиль fank |
|
Back to top |
|
|
zvn Tux's lil' helper
Joined: 13 Jul 2007 Posts: 77
|
Posted: Fri May 08, 2009 4:53 am Post subject: |
|
|
Если выкладываются ссылки, то, хотя бы нужно пояснить по ним что-то. Затем сообщить о своей персональной проблеме, т.к. если персональная проблема не сформулирована, то тем, у кого её нет в помине, трудно понять, в чём дело.
Насчёт "работодатель будет не согласен". Вы и он знали на что шли: рассматриваемый дистрибутив не является готовым инструментом, это конструктор инструментов.
Насчёт cp я согласен, свою писать не надо (хотя, к примеру, несмотря на gzip есть pigz).
Что касается граждан, то надо стремиться с ними общаться, объяснять, в чём проблема. Если не реагируют на bugs.gentoo.org, то необходима эскалация, Вашими руками.
Про "блин, сижу тут сам эти патчи вручную накладываю", "дописываю ебилды", "как минимум скопировать оверлей и обновить софтину
плюс патчи чего-то не накладываются из ебилда". Из того, что написано, совсем не ясно, что Вы конкретно и с чем делаете и как Вы к этому пришли. Хотя, я примерно догадываюсь, самому иногда в голову приходило - скопировать всё дерево в оверлей локальный. Ну так ведь это Ваш оверлей. и файлы патчей Вам туда никто не скопирует, кроме Вас.
"тут из дерева удаляют пачками пакеты, в которых пару месяцев баги не закрывают " - в коммерческом дистрибутиве включенные в дистрибутив пакеты, разработчики которых ушли в небытие, патчат такие пакеты своими силами, за эти патчи платят. Здесь пакет могут удалить, а вместо него вставить другой. Вот пользовался я vncviewer от realvnc.com, теперь от tightvnc.com
"убунта на десктопе и никаких проблем". Знаю одного человека, для которого любая вещь/человек через год или два - дерьмо, причины всегда найдутся (зачастую мелкие, я бы сказал из пальца высосанные), т.е. по любому поводу "фррр". Я жду, когда у него наступит черёд фразы "убунта - дерьмо". Причём я сам фанатом какого-либо дистра не являюсь. Где надо винду и готовы платить - будет винда. Где надо и готовы платить - коммерческий линух. А где надо - основанный на community конструктор. Проще говоря, Вы переведите неделимую группу серваков своих или кластер на убунту и сравнивайте, что лучше для Вас в этой части, потому что нет ничего вечного, тем более в IT, всё равно когда-то менять придётся. |
|
Back to top |
|
|
fank l33t
Joined: 16 Oct 2004 Posts: 794 Location: Minsk, Belarus
|
Posted: Fri May 08, 2009 10:01 am Post subject: |
|
|
Code: | Что касается граждан, то надо стремиться с ними общаться, объяснять, в чём проблема. Если не реагируют на bugs.gentoo.org, то необходима эскалация, Вашими руками. |
предложи хоть один способ эскалации?
Quote: | Про "блин, сижу тут сам эти патчи вручную накладываю", "дописываю ебилды", "как минимум скопировать оверлей и обновить софтину
плюс патчи чего-то не накладываются из ебилда". Из того, что написано, совсем не ясно, что Вы конкретно и с чем делаете и как Вы к этому пришли. Хотя, я примерно догадываюсь, самому иногда в голову приходило - скопировать всё дерево в оверлей локальный. Ну так ведь это Ваш оверлей. и файлы патчей Вам туда никто не скопирует, кроме Вас. |
все патчи давно лежат в багзилле
годами....
Quote: | "тут из дерева удаляют пачками пакеты, в которых пару месяцев баги не закрывают " - в коммерческом дистрибутиве включенные в дистрибутив пакеты, разработчики которых ушли в небытие, патчат такие пакеты своими силами, за эти патчи платят. Здесь пакет могут удалить, а вместо него вставить другой. Вот пользовался я vncviewer от realvnc.com, теперь от tightvnc.com |
речь идет о БЕЗАЛЬТЕРНАТИВНОМ софте, без которого НЕВОЗМОЖНО минимально удобное управление десятком серверов
Quote: | Проще говоря, Вы переведите неделимую группу серваков своих или кластер на убунту и сравнивайте, что лучше для Вас в этой части, потому что нет ничего вечного, тем более в IT, всё равно когда-то менять придётся. |
не будет больших трудностей, по опыту знаю... кроме того, по тому же опыту у меня убунта не перетирает конфиги в /etc/apache _________________ Слово „христианство“ основано на недоразумении; в сущности, был один христианин, и тот умер на кресте. |
|
Back to top |
|
|
fank l33t
Joined: 16 Oct 2004 Posts: 794 Location: Minsk, Belarus
|
Posted: Fri May 08, 2009 10:03 am Post subject: |
|
|
ArtSh wrote: | А у меня на десктопной машине стоит генту. И я на ней работаю работу. Что мне делать?
P.S. Я пытался максимально скопировать стиль fank |
если не секрет, что за работа? _________________ Слово „христианство“ основано на недоразумении; в сущности, был один христианин, и тот умер на кресте. |
|
Back to top |
|
|
fank l33t
Joined: 16 Oct 2004 Posts: 794 Location: Minsk, Belarus
|
Posted: Fri May 08, 2009 10:07 am Post subject: |
|
|
Quote: | Из того, что написано, совсем не ясно, что Вы конкретно и с чем делаете и как Вы к этому пришли. Хотя, я примерно догадываюсь, самому иногда в голову приходило - скопировать всё дерево в оверлей локальный. Ну так ведь это Ваш оверлей. и файлы патчей Вам туда никто не скопирует, кроме Вас. |
из этого я могу только сделать вывод о том, что еще ни одного ebuild скрипта ты еще не написал
ну, а конструктивные мысли будут? _________________ Слово „христианство“ основано на недоразумении; в сущности, был один христианин, и тот умер на кресте. |
|
Back to top |
|
|
ArtSh Apprentice
Joined: 05 Aug 2006 Posts: 178 Location: Казань, Россия
|
Posted: Fri May 08, 2009 10:55 am Post subject: |
|
|
fank wrote: | ArtSh wrote: | А у меня на десктопной машине стоит генту. И я на ней работаю работу. Что мне делать?
P.S. Я пытался максимально скопировать стиль fank |
если не секрет, что за работа? |
Чтение статей и книг, написание статей, обработка данных, подготовка презентаций. А у Вас? |
|
Back to top |
|
|
zvn Tux's lil' helper
Joined: 13 Jul 2007 Posts: 77
|
Posted: Fri May 08, 2009 11:16 am Post subject: |
|
|
fank wrote: |
предложи хоть один способ эскалации?
|
для начала, эй Вы, опишите свою проблему, только без истерики |
|
Back to top |
|
|
zvn Tux's lil' helper
Joined: 13 Jul 2007 Posts: 77
|
Posted: Fri May 08, 2009 11:17 am Post subject: |
|
|
fank wrote: |
Quote: | Проще говоря, Вы переведите неделимую группу серваков своих или кластер на убунту и сравнивайте, что лучше для Вас в этой части, потому что нет ничего вечного, тем более в IT, всё равно когда-то менять придётся. |
не будет больших трудностей, по опыту знаю... кроме того, по тому же опыту у меня убунта не перетирает конфиги в /etc/apache |
Тогда вперёд. Никто ничем Вам не обязан, вроде. |
|
Back to top |
|
|
zvn Tux's lil' helper
Joined: 13 Jul 2007 Posts: 77
|
Posted: Fri May 08, 2009 11:20 am Post subject: |
|
|
fank wrote: | Quote: | Из того, что написано, совсем не ясно, что Вы конкретно и с чем делаете и как Вы к этому пришли. Хотя, я примерно догадываюсь, самому иногда в голову приходило - скопировать всё дерево в оверлей локальный. Ну так ведь это Ваш оверлей. и файлы патчей Вам туда никто не скопирует, кроме Вас. |
из этого я могу только сделать вывод о том, что еще ни одного ebuild скрипта ты еще не написал
ну, а конструктивные мысли будут? |
Да, как то обошлось без написания, и всё хорошо работает. Конструктив в ответ на конструктив. Приведите конкретно ссылки с багзиллы Ваших обращений по поводу проблемы. |
|
Back to top |
|
|
zvn Tux's lil' helper
Joined: 13 Jul 2007 Posts: 77
|
Posted: Fri May 08, 2009 11:22 am Post subject: |
|
|
fank wrote: |
ну, а конструктивные мысли будут? |
В качестве затравки, требуется коррекция паранойяльно-истероидного базиса. |
|
Back to top |
|
|
fank l33t
Joined: 16 Oct 2004 Posts: 794 Location: Minsk, Belarus
|
Posted: Fri May 08, 2009 12:20 pm Post subject: |
|
|
ArtSh wrote: | fank wrote: | ArtSh wrote: | А у меня на десктопной машине стоит генту. И я на ней работаю работу. Что мне делать?
P.S. Я пытался максимально скопировать стиль fank |
если не секрет, что за работа? |
Чтение статей и книг, написание статей, обработка данных, подготовка презентаций. А у Вас? |
дык....
серверы, все hard production, все нужно обновлять каждый день, а лучше ежечасно
glsa-check -m affected в cron.hourly просто спасает
патч с подавлением тупого вывода:
Code: | glsa-check -l affected
[A] means this GLSA was already applied,
[U] means the system is not affected and
[N] indicates that the system might be affected. |
при использовании -m есть в багзилле
https://bugs.gentoo.org/show_bug.cgi?id=182990
этим патчам более полугода
плюс если из крона скрипт выполняется, то еще и варнинг есть
патч есть в багзилле
https://bugs.gentoo.org/show_bug.cgi?id=256103
здесь они ваще прелдагают какой-то долбаный rc5 поставть вместо того, чтобы поправить 2 СТРОКИ
И ЭТО ПОСЛЕ 3 МЕСЯЦЕВ после выкладывания патча из 2 строк
во блин....
е-мае, они даже на сайте один линк поправить не могут
https://bugs.gentoo.org/show_bug.cgi?id=256013
ну, как минимум несолидно... _________________ Слово „христианство“ основано на недоразумении; в сущности, был один христианин, и тот умер на кресте. |
|
Back to top |
|
|
ArtSh Apprentice
Joined: 05 Aug 2006 Posts: 178 Location: Казань, Россия
|
Posted: Fri May 08, 2009 5:01 pm Post subject: |
|
|
fank wrote: |
серверы, все hard production, все нужно обновлять каждый день, а лучше ежечасно
|
Как обновляться ежечасно без тестирования обновления? Какой же это production? Может быть это hard testing? Если апстрим накосячит, Вы тоже будете на команду gentoo "бочку катить"? Мне, например, обновляться часто приходиться только для специфических приложений, так как в них появляются нужные мне возможности, иначе — лучше не трогать.
fank wrote: |
glsa-check -m affected в cron.hourly просто спасает
патч с подавлением тупого вывода:
Code: | glsa-check -l affected
[A] means this GLSA was already applied,
[U] means the system is not affected and
[N] indicates that the system might be affected. |
при использовании -m есть в багзилле
https://bugs.gentoo.org/show_bug.cgi?id=182990
этим патчам более полугода
плюс если из крона скрипт выполняется, то еще и варнинг есть
патч есть в багзилле
https://bugs.gentoo.org/show_bug.cgi?id=256103
здесь они ваще прелдагают какой-то долбаный rc5 поставть вместо того, чтобы поправить 2 СТРОКИ
И ЭТО ПОСЛЕ 3 МЕСЯЦЕВ после выкладывания патча из 2 строк
во блин....
е-мае, они даже на сайте один линк поправить не могут
https://bugs.gentoo.org/show_bug.cgi?id=256013
ну, как минимум несолидно... |
И понадобилось то, всего три дня и несколько провакационных постов! |
|
Back to top |
|
|
fank l33t
Joined: 16 Oct 2004 Posts: 794 Location: Minsk, Belarus
|
Posted: Sat May 09, 2009 6:34 am Post subject: |
|
|
Quote: | Как обновляться ежечасно без тестирования обновления? Какой же это production? Может быть это hard testing? Если апстрим накосячит, Вы тоже будете на команду gentoo "бочку катить"? Мне, например, обновляться часто приходиться только для специфических приложений, так как в них появляются нужные мне возможности, иначе — лучше не трогать. |
имелось в виду, разумеется, не обновление как таковое, а уведомление об обновлении
затем, естественно, тест и процедура обновления на продакшне
все это занимает несколько часов, но если найдена удаленная уязвимость, то мне нужно закрыть её как можно быстрее, вплоть до ручного пропатчивания, благо внедрить патч в ebuild нет никаких проблем
удручает, что такое отношение разрабов не облегчает жизнь
люди, я никого не хотел провоцировать
и если вам эти проблемы кажутся далекими, не уподобляйтесь обитателям ЛОРа - никому не интересны ваши ЧЯДНТ
если есть какие-то сведения об этой ситуации, то хотелось бы их услышать
может, есть другой проект или что-нить подобное _________________ Слово „христианство“ основано на недоразумении; в сущности, был один христианин, и тот умер на кресте. |
|
Back to top |
|
|
fank l33t
Joined: 16 Oct 2004 Posts: 794 Location: Minsk, Belarus
|
Posted: Sat May 09, 2009 6:38 am Post subject: |
|
|
ну, а о положении с некоторыми вещами в gentoo я лично считаю необходимым уведомить здешних посетителей-участников форума
например, для того, чтобы когда наконец дойдет время до выбора дистрибутива для production use, люди могли оценить уровень поддержки, а не тупо ставили то, что знают лучше всех
P.S. Я так понял, тема заглохла.... Набежали дети и обвинили меня в некомпетентности, при этом не высказав ни одной трезвой идеи _________________ Слово „христианство“ основано на недоразумении; в сущности, был один христианин, и тот умер на кресте. |
|
Back to top |
|
|
ArtSh Apprentice
Joined: 05 Aug 2006 Posts: 178 Location: Казань, Россия
|
Posted: Sat May 09, 2009 9:22 am Post subject: |
|
|
fank wrote: | ну, а о положении с некоторыми вещами в gentoo я лично считаю необходимым уведомить здешних посетителей-участников форума
например, для того, чтобы когда наконец дойдет время до выбора дистрибутива для production use, люди могли оценить уровень поддержки, а не тупо ставили то, что знают лучше всех
P.S. Я так понял, тема заглохла.... Набежали дети и обвинили меня в некомпетентности, при этом не высказав ни одной трезвой идеи |
Трезвые мысли:
1. самому следить за объявлениями безопасности из разных источников, а не только из glsa-check.
2. нанять специальных людей (т.е. купить техподдержку, например у RadHat, или Novell, т.к. они предоставляют техподдержку на русском языке). |
|
Back to top |
|
|
ArtSh Apprentice
Joined: 05 Aug 2006 Posts: 178 Location: Казань, Россия
|
Posted: Sat May 09, 2009 9:25 am Post subject: |
|
|
fank wrote: | Quote: | Как обновляться ежечасно без тестирования обновления? Какой же это production? Может быть это hard testing? Если апстрим накосячит, Вы тоже будете на команду gentoo "бочку катить"? Мне, например, обновляться часто приходиться только для специфических приложений, так как в них появляются нужные мне возможности, иначе — лучше не трогать. |
имелось в виду, разумеется, не обновление как таковое, а уведомление об обновлении
затем, естественно, тест и процедура обновления на продакшне
все это занимает несколько часов, но если найдена удаленная уязвимость, то мне нужно закрыть её как можно быстрее, вплоть до ручного пропатчивания, благо внедрить патч в ebuild нет никаких проблем
удручает, что такое отношение разрабов не облегчает жизнь
люди, я никого не хотел провоцировать
и если вам эти проблемы кажутся далекими, не уподобляйтесь обитателям ЛОРа - никому не интересны ваши ЧЯДНТ
если есть какие-то сведения об этой ситуации, то хотелось бы их услышать
может, есть другой проект или что-нить подобное |
Gentoo — исключительно community-мета-дистрибутив. Т.е. здесь нет людей, которые будут следить и исправлять специфические ошибки, важные для Вас, 24 часа в сутки. Соответственно: или Вы сами занимаетесь этим (Ваш персонал), или Вы покупаете техподдержку. |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|