Sprava portu

Jan Dušátko jan at dusatko.org
Wed Jul 8 23:54:54 CEST 2015

Previous message: Sprava portu
Next message: Sprava portu
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Dane,
to mela byt ironie a poznamka, ze se nejednalo o nejstastjnejsi napad.
Pouziti statickeho buildu pro SVN (systemovy, vyuzivajici OpenSSL BASE)
by bylo fajn.
Pouziti textoveho souboru, trebaze pomalejsiho by bylo fajn, nezavisle
na nejakem 3rd party sw. Alespon by se to dalo rozumne ukocirovat.
Ale soucasna situace je strasna.

K OpenSSL base/port a Kerberosu
Base obsahuje vlastni Heimdal, bindovany na OpenSSL/base
Porty obsahuji Heimdal, ktery by mel byt bindovany na OpenSSL/port, ale
volba je (zda se) mozna pouze pomoci promenne v /etc/make.conf
(WITH_OPENSSL_PORTS=YES)
Porty dale obsahuji Kerberos MIT, licencne omezeny, volba podpory
OpenSSL je zda se shodna jako u Heimdal/port

Aplikace kompilujici krb5 NEMAJI praticky moznost zvolit si (lepe receno
identifikovat), proti cemu to bylo prelozeno a volby v /etc/make.conf se
v tomto pripade ignoruji.
vysledkem je tedy kompilace krizem, na ktere zacnou rvat knihovny (v
lepsim pripade), v horsim to spadne az pri spusteni. Ale zrovna tohle je
vec, odchytitelna automatickym vyhodnocovanim. A ktera je
algoritmizovatelna.
Jen se proste system nesmi snazit byt chytrejsi nez clovek, ktery ho
ovlada a spravci vyvoje musi akceptovat, ze admin ma mozek a vi co chce
delat.

Honza


Dne 8.7.2015 v 19:20 Dan Lukes napsal(a):
> On 07/08/15 13:49, Jan Dušátko:
>> synchronizace portu a zdrojaku pres software z portu zavisle na SSL
>> (navic s kolizi base/ports) ...
>
> Ne, to nepujde.
>
> Uz dost na tom, ze ten samotny software je z portu - vsak taky museli
> to systemu pridat specialni "lite" verzi tehoz, ktera slouzi jako
> zavadec a instalator "hlavniho" software z portu.
>
> Nemuzes ale, pri zdravem rozumu, ten software z portu ucinit navic
> zavisly na dalsich portech. To bysis koledoval o deadlock. Ani ne tak
> pri instalaci, jako pri nasledne udrzbe.
>
> Jakoze vsechno, co potrebuje OpenSSL, prekladam proti portovemu, pkg
> musi zustat prelozene vuci systemovemu. V tomhle pripade plati nejen
> "tertium non datur". Ona zde neexistuje dokonce ani zadna druha moznost.
>
>
> Dan
>
>
>

-- 
Jan Dušátko

Phone:		+420 602 427 840
e-mail:		jan na dusatko.org
SkypeID:	darmodej
GPG:		http://www.dusatko.org/downloads/jdusatko.asc

Previous message: Sprava portu
Next message: Sprava portu
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list