|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Sergey Skvortsov 2:5020/400 11 Jun 2005 20:51:35
To : Boris Samorodov
Subject : Re: обновление OpenSSL
--------------------------------------------------------------------------------
Boris Samorodov wrote:
> On Sat, 11 Jun 2005 11:42:35 +0000 (UTC) Sergey Skvortsov wrote to Vladislav
> Mushchinskih: Поэтому лучше использовать в make.conf вот
> это: WITH_OPENSSL_PORT= YES - в этом случае всегда можно держать в системе
> распоследнюю версию openssl. Единственное "но" - лучше пересобрать все порты,
> зависящие от openssl. Гарантированного способа получить их начальный список,
> кроме как: find /usr/ports -name Makefile|xargs fgrep USE_OPENSSL я не знаю.
> Hо и он (способ) неплох. А как быть с базовыми бинарниками? Hапример, sshd.
> Портовый заточен под MIT Kerberos. В связи с этим и дальнейший вопрос...
Hу, базовые бинари будут использовать старые либы :)
Тут либо всё же пользовать OPENSSL_OVERWRITE_BASE, либо тупо скопировать
(слинковать) либы в /usr/lib (или /lib) и, для спокойствия, пересобрать
бинари. Что есть неэстетично.
Кстати, копирование либ можно тривиально автоматизировать через AFTERINSTALL
в pkgtools.conf - если для апдейтов использовать строго portupgrade.
А если пофантазировать... Ещё можно создать /etc/ld-elf.so.conf и поменять
порядок директорий... Hо, боюсь, это чреватно страшшшными последствиями.
Проверить, какие бинари линкуются с lib(crypto|ssl) можно тупо через ldd.
Hо кажется и libchk может помочь - не уверен. См. /usr/ports/sysutils/libchk.
> SS> Последняя тонкость - увы, есть приложения, не уважающие rpath (или,
> SS> точнее, LDFLAGS). Как dirty hack, дабы побороть их, можно во всё тот
> SS> же многострадальный make.conf добавить: USE_OPENSSL_RPATH= YES
>
> ...А как быть в случае замены системного kerberos на портовый (например,
> для использования LDAP)? Если устанавливать в /usr/local, то многие
> библиотеки подхватываются из /usr/lib вместо /usr/local/lib. Пока
Библиотеки должны использовать опцию rpath, передаваемую через LDFLAGS. В
этом случае путь используемой либы прошивается в elf-бинарь.
По идее, переменная USE_OPENSSL_RPATH и должна решать подобные проблемы.
> только смог при HEIMDAL_HOME=/usr с переустановкой порта после каждого
> system upgrade. Да, ещё систему собирать без базового kerberos нельзя,
> тот же sshd не будет знать о нём. Hо всё это типа хака. Хотелось бы
> найти грамотное решение.
Увы, ничего конкретного сказать не могу, поскольку Kerberos не терплю и, как
следствие, нигде не использую.
Вообще, смешивать base system и ports - это грозит перманентной головной
болью. Вопрос в цене апдейта. Если хочется быть у (на?) state-of-the-art
всяких openss[lh] и цена пересборки world'а кажется излишне высокой - то
собирать разок систему c NO_OPENSSL, NO_OPENSSH - и ставить/обновлять их
только из портов.
Старание поддерживать в портах все возможные комбинации всё время даёт
осечки - ведь это объективно нетривиальная задача. Опять же, с точки зрения
security (bug)fixes, порты обладают всё же большей реактивностью, чем src.
Так что порты спасут этот мир.
--
Sergey Skvortsov
mailto: skv@protey.ru
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
