* [Comm] вопрос по обновлениям...
@ 2004-03-19 11:30 Dmitry Shubin
2004-03-19 11:57 ` sh
` (5 more replies)
0 siblings, 6 replies; 16+ messages in thread
From: Dmitry Shubin @ 2004-03-19 11:30 UTC (permalink / raw)
To: community
Мы планируем использовать Alt Linux на серверах взамен почившего RH, потому
стабильность и целостность системы после апдейта для нас очень
критична, в связи с чем возник такой вопрос - поддерживаются ли security
updates всех rpm продуктов входящих в состав релиза Master 2.2?
К примеру, вышли обновления openssl 0.9.6k в связи с
найденными уязвимостями, а обновления mod_ssl, к примеру, отсутствуют
как класс. В дистрибутиве лежит версия mod_ssl-2.8.12-alt1.i586.rpm,
на http://www.modssl.org/ давно лежат:
21-Mar-2003: Released 2.8.14-1.3.27: Important bugfixes.
18-Mar-2003: Released 2.8.13-1.3.27: Security and other bugfixes.
Вы скажете - бери отсюда http://www.altlinux.com/index.php?module=sisyphus&package=mod_ssl
mod_ssl-2.8.16-alt1.src.rpm
Но ведь Sisyphus, это, грубо говоря Current Version, как это
декларируется, или я не прав? А как же с поддержкой Stable?
"У нас нет секретных патчей и закрытого тестирования с подписками о не
разглашении: то, что мы сделали сегодня, -- завтра вы найдёте в сети."
- цитата из описания Sisyphus.
Но вот вопрос, продукты выложенные в Sisyphus прошли тестирование?
Как-нибудь отмечаются продукты прошедшие и не прошедшие тестирование?
Просто не хотелось бы после очередного апдейта словить
неоттестированный не работающий патч, и через неско часов его патчить
заново..
^ permalink raw reply [flat|nested] 16+ messages in thread* Re: [Comm] вопрос по обновлениям... 2004-03-19 11:30 [Comm] вопрос по обновлениям Dmitry Shubin @ 2004-03-19 11:57 ` sh 2004-03-19 13:23 ` Mike Lykov 2004-03-19 12:12 ` Denis Kirienko ` (4 subsequent siblings) 5 siblings, 1 reply; 16+ messages in thread From: sh @ 2004-03-19 11:57 UTC (permalink / raw) To: community Dmitry Shubin пишет: >Мы планируем использовать Alt Linux на серверах взамен почившего RH, потому >стабильность и целостность системы после апдейта для нас очень >критична, в связи с чем возник такой вопрос - поддерживаются ли security >updates всех rpm продуктов входящих в состав релиза Master 2.2? > >К примеру, вышли обновления openssl 0.9.6k в связи с >найденными уязвимостями, а обновления mod_ssl, к примеру, отсутствуют >как класс. В дистрибутиве лежит версия mod_ssl-2.8.12-alt1.i586.rpm, >на http://www.modssl.org/ давно лежат: >21-Mar-2003: Released 2.8.14-1.3.27: Important bugfixes. >18-Mar-2003: Released 2.8.13-1.3.27: Security and other bugfixes. > >Вы скажете - бери отсюда http://www.altlinux.com/index.php?module=sisyphus&package=mod_ssl >mod_ssl-2.8.16-alt1.src.rpm > >Но ведь Sisyphus, это, грубо говоря Current Version, как это >декларируется, или я не прав? А как же с поддержкой Stable? > >"У нас нет секретных патчей и закрытого тестирования с подписками о не >разглашении: то, что мы сделали сегодня, -- завтра вы найдёте в сети." >- цитата из описания Sisyphus. >Но вот вопрос, продукты выложенные в Sisyphus прошли тестирование? >Как-нибудь отмечаются продукты прошедшие и не прошедшие тестирование? > >Просто не хотелось бы после очередного апдейта словить >неоттестированный не работающий патч, и через неско часов его патчить >заново.. > >Здоавствуйте, ну сизифус это сизифус как говоит сама альт линукс тим это на ваш страх и риск, для каждого дистрибутива существует апдейты (/etc/apt/sources.list) там ниже сизифуса вы сможете увидеть эти самые апдейты это не самые последние версии софта - сизифус, а стабильный софт который исправляетса в случаи нахождения ощибок. > > >------------------------------------------------------------------------ > >_______________________________________________ >Community mailing list >Community@altlinux.ru >http://www.altlinux.ru/mailman/listinfo/community > ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] вопрос по обновлениям... 2004-03-19 11:57 ` sh @ 2004-03-19 13:23 ` Mike Lykov 0 siblings, 0 replies; 16+ messages in thread From: Mike Lykov @ 2004-03-19 13:23 UTC (permalink / raw) To: community В сообщении от Пятница 19 Март 2004 15:57 sh написал: > >Здоавствуйте, ну сизифус это сизифус цитируйте правильно. еле нашел ваш ответ.. -- Mike ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] вопрос по обновлениям... 2004-03-19 11:30 [Comm] вопрос по обновлениям Dmitry Shubin 2004-03-19 11:57 ` sh @ 2004-03-19 12:12 ` Denis Kirienko 2004-03-19 12:48 ` Re[2]: " Dmitry Shubin 2004-03-19 12:41 ` Mike Lykov ` (3 subsequent siblings) 5 siblings, 1 reply; 16+ messages in thread From: Denis Kirienko @ 2004-03-19 12:12 UTC (permalink / raw) To: community Получил Fri, 19 Mar 2004 14:30:21 +0300 от Dmitry Shubin <alt@comita.spb.ru> следующее письмо: > Мы планируем использовать Alt Linux на серверах взамен почившего RH, > потому стабильность и целостность системы после апдейта для нас > очень критична, в связи с чем возник такой вопрос - поддерживаются > ли security updates всех rpm продуктов входящих в состав релиза > Master 2.2? Да, только их нужно брать не из Сизифа, а из updates. Откомментируйте в /etc/apt/sources.list строчку rpm [alt] ftp://updates.altlinux.com Master/2.2/i586 updates и пользуйтесь apt для установки обновлений. -- Денис Кириенко ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re[2]: [Comm] вопрос по обновлениям... 2004-03-19 12:12 ` Denis Kirienko @ 2004-03-19 12:48 ` Dmitry Shubin 0 siblings, 0 replies; 16+ messages in thread From: Dmitry Shubin @ 2004-03-19 12:48 UTC (permalink / raw) To: Denis Kirienko Hello Denis, Friday, March 19, 2004, 3:12:04 PM, you wrote: DK> Получил Fri, 19 Mar 2004 14:30:21 +0300 от Dmitry Shubin DK> <alt@comita.spb.ru> следующее письмо: >> Мы планируем использовать Alt Linux на серверах взамен почившего RH, >> потому стабильность и целостность системы после апдейта для нас >> очень критична, в связи с чем возник такой вопрос - поддерживаются >> ли security updates всех rpm продуктов входящих в состав релиза >> Master 2.2? DK> Да, только их нужно брать не из Сизифа, а из updates. DK> Откомментируйте в /etc/apt/sources.list строчку Это все понятно, но я еще раз повторюсь что там есть не все. Например: Обновления mod_ssl, к примеру, отсутствуют как класс. В дистрибутиве лежит версия mod_ssl-2.8.12-alt1.i586.rpm, Тогда, на http://www.modssl.org/ давно лежат: 21-Mar-2003: Released 2.8.14-1.3.27: Important bugfixes. 18-Mar-2003: Released 2.8.13-1.3.27: Security and other bugfixes Отсюда вопрос и возник. Разъясните пожалуйста. -- Best regards, Dmitry mailto:alt@comita.spb.ru ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] вопрос по обновлениям... 2004-03-19 11:30 [Comm] вопрос по обновлениям Dmitry Shubin 2004-03-19 11:57 ` sh 2004-03-19 12:12 ` Denis Kirienko @ 2004-03-19 12:41 ` Mike Lykov 2004-03-19 13:11 ` Re[2]: " Dmitry Shubin 2004-03-21 19:46 ` [Comm] " Michael Shigorin 2004-03-19 16:38 ` [Comm] " Alexander Leschinsky ` (2 subsequent siblings) 5 siblings, 2 replies; 16+ messages in thread From: Mike Lykov @ 2004-03-19 12:41 UTC (permalink / raw) To: community В сообщении от Пятница 19 Март 2004 15:30 Dmitry Shubin написал: Обновления поддерживаются. смотрите архивы рассылки ALT Linux security announce list <security-announce-post@altlinux.ru> > К примеру, вышли обновления openssl 0.9.6k в связи с > найденными уязвимостями, а обновления mod_ssl, к примеру, отсутствуют > как класс. В дистрибутиве лежит версия mod_ssl-2.8.12-alt1.i586.rpm, > на http://www.modssl.org/ давно лежат: > 21-Mar-2003: Released 2.8.14-1.3.27: Important bugfixes. > 18-Mar-2003: Released 2.8.13-1.3.27: Security and other bugfixes. > > Вы скажете - бери отсюда > http://www.altlinux.com/index.php?module=sisyphus&package=mod_ssl > mod_ssl-2.8.16-alt1.src.rpm Нет, так никто не скажет. смотрите сюда (из письма в ту рассылку): " Мы рекомендуем пользователям OpenSSL обновить пакеты до исправленных версий. + Для дистрибутива ALT Linux Master 2.2: ftp://updates.altlinux.com/Master/2.2/SRPMS.updates/openssl-0.9.6k-alt0.2.M22.src.rpm ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/libssl-0.9.6k-alt0.2.M22.i586.rpm ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/libssl-devel-0.9.6k-alt0.2.M22.i586.rpm ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/libssl-devel-static-0.9.6k-alt0.2.M22.i586.rpm ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/openssl-0.9.6k-alt0.2.M22.i586.rpm ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/openssl-doc-0.9.6k-alt0.2.M22.i586.rpm" > А как же с поддержкой Stable? все лучше, чем вам кажется. -- Mike ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re[2]: [Comm] вопрос по обновлениям... 2004-03-19 12:41 ` Mike Lykov @ 2004-03-19 13:11 ` Dmitry Shubin 2004-03-21 19:46 ` [Comm] " Michael Shigorin 1 sibling, 0 replies; 16+ messages in thread From: Dmitry Shubin @ 2004-03-19 13:11 UTC (permalink / raw) To: Mike Lykov >> Вы скажете - бери отсюда >> http://www.altlinux.com/index.php?module=sisyphus&package=mod_ssl >> mod_ssl-2.8.16-alt1.src.rpm ML> Нет, так никто не скажет. смотрите сюда (из письма в ту рассылку): ML> " ML> Мы рекомендуем пользователям OpenSSL обновить пакеты до исправленных версий. ML> + Для дистрибутива ALT Linux Master 2.2: ML> ftp://updates.altlinux.com/Master/2.2/SRPMS.updates/openssl-0.9.6k-alt0.2.M22.src.rpm ML> ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/libssl-0.9.6k-alt0.2.M22.i586.rpm ML> ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/libssl-devel-0.9.6k-alt0.2.M22.i586.rpm ML> ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/libssl-devel-static-0.9.6k-alt0.2.M22.i586.rpm ML> ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/openssl-0.9.6k-alt0.2.M22.i586.rpm ML> ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/openssl-doc-0.9.6k-alt0.2.M22.i586.rpm" С openssl-то все понятно. Но почему все умалчивают про обновления mod_ssl? Как с ними обстоят дела? Вещь тоже не менее важная... Я спрашивал именно про него и обновления для него я нашел только в Сизифе, в связи с чем и возник этот вопрос. ^ permalink raw reply [flat|nested] 16+ messages in thread
* [Comm] Re: вопрос по обновлениям... 2004-03-19 12:41 ` Mike Lykov 2004-03-19 13:11 ` Re[2]: " Dmitry Shubin @ 2004-03-21 19:46 ` Michael Shigorin 2004-03-22 6:45 ` Mike Lykov 1 sibling, 1 reply; 16+ messages in thread From: Michael Shigorin @ 2004-03-21 19:46 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 498 bytes --] On Fri, Mar 19, 2004 at 04:41:56PM +0400, Mike Lykov wrote: > > А как же с поддержкой Stable? > все лучше, чем вам кажется. Я бы не говорил так уверенно (будучи майнтейнером mod_ssl на данный момент). Вообще попрошу участников рассылки воздерживаться и от такой крайности, как ничем не подкрепленный оптимизм, когда он на кого-то вместо конкретного ответа по изложенному вопросу вываливаем бывает. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] Re: вопрос по обновлениям... 2004-03-21 19:46 ` [Comm] " Michael Shigorin @ 2004-03-22 6:45 ` Mike Lykov 2004-03-22 7:44 ` Michael Shigorin 0 siblings, 1 reply; 16+ messages in thread From: Mike Lykov @ 2004-03-22 6:45 UTC (permalink / raw) To: community В сообщении от Воскресенье 21 Март 2004 23:46 Michael Shigorin написал: > On Fri, Mar 19, 2004 at 04:41:56PM +0400, Mike Lykov wrote: > > > А как же с поддержкой Stable? > > все лучше, чем вам кажется. > Я бы не говорил так уверенно (будучи майнтейнером mod_ssl на > данный момент). Да, это я извиняюсь и поясняю, что спутал именно mod_ssl с недавно вышедшим обновлением для openssl. > Вообще попрошу участников рассылки воздерживаться и от такой > крайности, как ничем не подкрепленный оптимизм, Но с другой стороны, спрашивающему казалось, что кроме как обновляться из сизифа - других обновлений нет. вот к этому положению и относилась фраза "все лучше, чем вам кажется". -- Mike ^ permalink raw reply [flat|nested] 16+ messages in thread
* [Comm] Re: вопрос по обновлениям... 2004-03-22 6:45 ` Mike Lykov @ 2004-03-22 7:44 ` Michael Shigorin 0 siblings, 0 replies; 16+ messages in thread From: Michael Shigorin @ 2004-03-22 7:44 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 898 bytes --] On Mon, Mar 22, 2004 at 10:45:06AM +0400, Mike Lykov wrote: > Да, это я извиняюсь и поясняю, что спутал именно mod_ssl с > недавно вышедшим обновлением для openssl. Такая путаница в обсуждении security updates недопустима. > > Вообще попрошу участников рассылки воздерживаться и от такой > > крайности, как ничем не подкрепленный оптимизм, > Но с другой стороны, спрашивающему казалось И говорить за других также лучше отучаться. > что кроме как обновляться из сизифа - других обновлений нет. > вот к этому положению и относилась фраза "все лучше, чем вам > кажется". У меня есть *подозрение*, что Дмитрий задал абсолютно корректный и уместный вопрос, вполне отдавая себе отчет в вариантах и не понимая некоторых действительно не имеющих права на жизнь моментов. Исходя из постановки вопроса. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] вопрос по обновлениям... 2004-03-19 11:30 [Comm] вопрос по обновлениям Dmitry Shubin ` (2 preceding siblings ...) 2004-03-19 12:41 ` Mike Lykov @ 2004-03-19 16:38 ` Alexander Leschinsky 2004-03-21 12:34 ` crux 2004-03-21 20:44 ` [Comm] " Michael Shigorin 5 siblings, 0 replies; 16+ messages in thread From: Alexander Leschinsky @ 2004-03-19 16:38 UTC (permalink / raw) To: Dmitry Shubin Hello Dmitry, On Fri, 19 Mar 2004 14:30:21 +0300 (19.03.2004 16:30 my local time), received Friday, March 19, 2004 at 20:36:19, you wrote about "[Comm] вопрос по обновлениям..." at least in part: > Мы планируем использовать Alt Linux на серверах взамен почившего RH, оччень интересная интерпретация фактов... Это ж надо так извратить Как говорил Твен "слухи о моей смерти несколко преувеличены"" > потому стабильность и целостность системы после апдейта для нас очень > критична, И несомненно стОит денег, которые Вы на них просто обязаны тратить??? RH Enterprise никуда не делся, подписка на RHN, Fedora живет по полной -- Best regards, Alexander Leschinsky ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] вопрос по обновлениям... 2004-03-19 11:30 [Comm] вопрос по обновлениям Dmitry Shubin ` (3 preceding siblings ...) 2004-03-19 16:38 ` [Comm] " Alexander Leschinsky @ 2004-03-21 12:34 ` crux 2004-03-21 20:05 ` [Comm] [POLICY] " Michael Shigorin 2004-03-21 20:44 ` [Comm] " Michael Shigorin 5 siblings, 1 reply; 16+ messages in thread From: crux @ 2004-03-21 12:34 UTC (permalink / raw) To: community Dmitry Shubin пишет: > а обновления mod_ssl, к примеру, отсутствуют > как класс. В дистрибутиве лежит версия mod_ssl-2.8.12-alt1.i586.rpm, > на http://www.modssl.org/ давно лежат: > 21-Mar-2003: Released 2.8.14-1.3.27: Important bugfixes. > 18-Mar-2003: Released 2.8.13-1.3.27: Security and other bugfixes. > > Вы скажете - бери отсюда http://www.altlinux.com/index.php?module=sisyphus&package=mod_ssl > mod_ssl-2.8.16-alt1.src.rpm Установить из Сизифа этот пакет вы не сможете по двум причинам: * Сизиф уже далеко ушёл от ALM2.2 (новые макросы в спеке и т.д.) * mod_ssl 2.8.16 собран для apache 1.3.29 Таким образом, чтобы вышло обновление mod_ssl для ALM2.2 требуется также выпустить обновление для Apache (до 1.3.29) и _всех_ модулей к нему.. Кстати и в apache в версиях < 1.3.29 есть баги в модулях mod_alias и mod_rewrite. Поэтому вопрос об обновлении apache уже давно назрел и его надо разрешать... И вы совершенно правильно сделали, что затронули эту тему в рассылке. [offtopic] Если посмотреть на дистрибутивы Mandrake и RedHat то они честно заново пересобирают всю группу пакетов, которые связаны с apache, после обнаружения проблем в любой из составляющих apache. Я, например, уже сбился со счёта сколько раз обновлял apache в Mandrake 9.1 ... Трафик обновлений просто жуткий, но как иначе? [/offtopic] Интересно, а если пройтись по всем пакетам ALM2.2 из групп "сеть", "система" сколько ещё можно будет откапать "скелетов в шкафу"? -- crux ^ permalink raw reply [flat|nested] 16+ messages in thread
* [Comm] [POLICY] Re: вопрос по обновлениям... 2004-03-21 12:34 ` crux @ 2004-03-21 20:05 ` Michael Shigorin 2004-03-22 7:24 ` crux 0 siblings, 1 reply; 16+ messages in thread From: Michael Shigorin @ 2004-03-21 20:05 UTC (permalink / raw) To: community; +Cc: security, org [-- Attachment #1: Type: text/plain, Size: 3627 bytes --] On Sun, Mar 21, 2004 at 03:34:25PM +0300, crux wrote: > >Вы скажете - бери отсюда > >http://www.altlinux.com/index.php?module=sisyphus&package=mod_ssl > >mod_ssl-2.8.16-alt1.src.rpm > Установить из Сизифа этот пакет вы не сможете по двум причинам: _Этот_ -- смогут. > * Сизиф уже далеко ушёл от ALM2.2 (новые макросы в спеке и т.д.) Макросы по части apache попали в 1.3.27 из updates. Да, я знаю, что это плохо -- но этот вопрос (неизменности версий в линии) я собираюсь поднять после проработки, которая сейчас и происходит. > * mod_ssl 2.8.16 собран для apache 1.3.29 Не помню точно -- но один mod_ssl в свое время в схожей ситуации был убежден в том, что он _будет_ работать с тем апачем, который отличается кратким sec-related patch и циферкой. _Кажется_, ./configure --force этим убеждением и было. Оно сейчас и осталось. Что применительно к src.rpm означает то, что он (если я не ошибаюсь) соберется и с большой вероятностью заработает с 1.3.27. > Таким образом, чтобы вышло обновление mod_ssl для ALM2.2 > требуется также выпустить обновление для Apache (до 1.3.29) и > _всех_ модулей к нему.. И это не так. > Кстати и в apache в версиях < 1.3.29 есть баги в модулях > mod_alias и mod_rewrite. Поэтому вопрос об обновлении apache > уже давно назрел и его надо разрешать... Вообще говоря, сборка 1.3.29 и была рекомендована в security updates, а также собрана под ALM2.2 и проверена на ряде серверов с ним -- например: home:~> lynx -head -mime_header http://linux.kiev.ua/ HTTP/1.1 200 OK Date: Sun, 21 Mar 2004 19:54:35 GMT Server: Apache/1.3.29 (ALT Linux/alt1) mod_fastcgi/2.2.12 Set-Cookie: lang=russian; expires=Mon, 21-Mar-2005 19:54:36 GMT Connection: close Content-Type: text/html > И вы совершенно правильно сделали, что затронули эту тему в > рассылке. К сожалению, вопрос далеко не настолько однозначен. Эти баги Вас затрагивали? Поручитесь ли, что при их исправлении не посадили ляпы в более важных местах? По-хорошему -- для sec updates политика выделения только критичных изменений (минимальных) и внесения только их в базовые версии, наличествовавшие на момент выпуска дистрибутива -- правильная. На сейчас в альте (в отличие от RH или Debian) это не так. Факт этот можно воспринимать по-разному, но на сейчас он остается фактом. Что меня в данном случае удивляет больше -- (порой благодаря заблаговременному предупреждению security@) новые версии для Sisyphus собирались и подвергались базовому тестированию оперативно, фактически в режиме наивысшего приоритета. Но потом на их базе _не_ выпускались updates, хотя работоспособность на последнем stable обычно проверялась не менее оперативно (соотв. я слежу за собираемостью этих пакетов на нем, или по крайней мере тогда следил). Есть деловое предложение -- писать на org@, дабы была выработана и опубликована политика выпуска исправлений проблем безопасности, а также для обеспечения ее ресурсами (резервированностью) и ответственностью. В том числе за задержку обновлений. > [offtopic] > Если посмотреть на дистрибутивы Mandrake и RedHat то они честно заново > пересобирают всю группу пакетов, которые связаны с apache, после > обнаружения проблем в любой из составляющих apache. Я, например, уже > сбился со счёта сколько раз обновлял apache в Mandrake 9.1 ... Трафик > обновлений просто жуткий, но как иначе? > [/offtopic] Иначе -- иначе. У RH проблема в крупноблочности пакетов при дубовых зависимостях, у Mdk -- свои тараканы в голове по части того же apache. Короче, это отдельный разговор и фанфар там у них нет. :( -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] [POLICY] Re: вопрос по обновлениям... 2004-03-21 20:05 ` [Comm] [POLICY] " Michael Shigorin @ 2004-03-22 7:24 ` crux 2004-03-22 7:46 ` [Comm] " Michael Shigorin 0 siblings, 1 reply; 16+ messages in thread From: crux @ 2004-03-22 7:24 UTC (permalink / raw) To: community Michael Shigorin пишет: > On Sun, Mar 21, 2004 at 03:34:25PM +0300, crux wrote: > >>>Вы скажете - бери отсюда >>>http://www.altlinux.com/index.php?module=sisyphus&package=mod_ssl >>>mod_ssl-2.8.16-alt1.src.rpm >> >>Установить из Сизифа этот пакет вы не сможете по двум причинам: > _Этот_ -- смогут. Теоретически поставить можно любой пакет :) >>* Сизиф уже далеко ушёл от ALM2.2 (новые макросы в спеке и т.д.) > > > Макросы по части apache попали в 1.3.27 из updates. Да, я знаю, > что это плохо -- но этот вопрос (неизменности версий в линии) я > собираюсь поднять после проработки, которая сейчас и происходит. %apache_apxs %apache_confdir %apache_* ... Мой rpm ничего не знает о таких дефинициях, хотя вроде ALM2.2+updates... > Что применительно к src.rpm означает то, что он (если я не > ошибаюсь) соберется и с большой вероятностью заработает с 1.3.27. После соотвествующей обработки спека собрался и заработал :)) -- crux ^ permalink raw reply [flat|nested] 16+ messages in thread
* [Comm] Re: [POLICY] Re: вопрос по обновлениям... 2004-03-22 7:24 ` crux @ 2004-03-22 7:46 ` Michael Shigorin 0 siblings, 0 replies; 16+ messages in thread From: Michael Shigorin @ 2004-03-22 7:46 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 539 bytes --] On Mon, Mar 22, 2004 at 10:24:50AM +0300, crux wrote: > >Макросы по части apache попали в 1.3.27 из updates. Да, я знаю, > >что это плохо -- но этот вопрос (неизменности версий в линии) я > >собираюсь поднять после проработки, которая сейчас и происходит. > %apache_apxs > %apache_confdir > %apache_* ... > Мой rpm ничего не знает о таких дефинициях, хотя вроде ALM2.2+updates... Они содержатся в /etc/rpm/macros.d/apache из apache-devel. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 16+ messages in thread
* [Comm] [POLICY] Re: вопрос по обновлениям... 2004-03-19 11:30 [Comm] вопрос по обновлениям Dmitry Shubin ` (4 preceding siblings ...) 2004-03-21 12:34 ` crux @ 2004-03-21 20:44 ` Michael Shigorin 5 siblings, 0 replies; 16+ messages in thread From: Michael Shigorin @ 2004-03-21 20:44 UTC (permalink / raw) To: Dmitry Shubin, community; +Cc: security, org [-- Attachment #1: Type: text/plain, Size: 5090 bytes --] Здравствуйте. Две части; сперва в осн. организационная, далее -- техн[олог]ическая. Нет, еще дорисовалась бизнес-часть. --- org On Fri, Mar 19, 2004 at 02:30:21PM +0300, Dmitry Shubin wrote: > Мы планируем использовать Alt Linux на серверах взамен > почившего RH, потому стабильность и целостность системы после > апдейта для нас очень критична, в связи с чем возник такой > вопрос - поддерживаются ли security updates всех rpm продуктов > входящих в состав релиза Master 2.2? Хороший вопрос. С одной стороны -- да, поддерживаются и обычно неплохо. Вплоть до выхода в числе первых часов публикации или обнаружения проблемы. Недостатков есть два: - дырка, которая уже заткнута -- обычно не анонсируется как таковая (что было бы бесполезно по сути, но успокаивающе) -- это в смысле "заткнуто два года назад", а не "только что"; - _гарантированного_ времени отклика и _гарантированного_ качества обновлений нет. По последнему пункту -- поймите меня правильно, я участвую в команде, собираю сейчас эти самые apache и mod_ssl -- хотя в продакшне mod_ssl у меня сейчас нет, по каковой причине security@ и не было оперативно додавлено. Я крайне заинтересован в оперативности и качестве этих самых обновлений и как менеджер компании-партнера Альт Линукс, и как (все еще) hostmaster@ ряда систем, на которых по несколькилетнему опыту эти самые обновления прикладываются автоматически. Поэтому с одной стороны -- можно кивать на Debian с его весьма неплохой sec team, но все же негарантированными по времени обновлениями, можно -- на RH с исчезнувшими QA и поддержкой (и QA поддержки) публично доступных версий (просьба не доколупываться к формулировкам, все поняли)... но хочется-то "чтоб работало". Персонально мое мнение -- даже текущая политика (выпуск в т.ч. обновлений с увеличением версии) есть good enough, по крайней мере мне найти свои грабли (не поднявшийся mysql) удалось однажды за где-то три года, и то они были вычислены чуточку заранее из анонса и автомат был продублирован наблюдением. Что не значит, что нечего менять к лучшему. Здесь, полагаю, предложения и пожелания -- принимаются. Желательно -- с пониманием того, что ресурсы более чем реально ограничены и едва ли не единственный (но возможный) способ получить _гарантированные_ по срокам _и_ качеству обновления -- это заключить контракт на поддержку. --- tech > Вы скажете - бери отсюда mod_ssl-2.8.16-alt1.src.rpm Это крайний случай. Да, оно сработает. Но это все равно слишком плохо. > "У нас нет секретных патчей и закрытого тестирования с > подписками о не разглашении: то, что мы сделали сегодня, -- > завтра вы найдёте в сети." - цитата из описания Sisyphus. Это другое. > Но вот вопрос, продукты выложенные в Sisyphus прошли тестирование? Какое-то -- обычно да. Автоматическое (зависимости, библиотеки, неконфликтность с базовой системой) -- обязательно; "человеческое" -- в зависимости от продукта, майнтейнера, активности сообщества пользователей именно этого продукта. Понятное дело, что QA апстрима идет отдельной строкой, и различные проекты по этой части различаются тоже очень сильно. > Как-нибудь отмечаются продукты прошедшие и не прошедшие тестирование? Косвенно -- количеством открытых отчетов в Bugzilla. Автоматическое (см. sisyphus_check из пакета sisyphus, если интересно) -- все, которые попали в "свежий сизиф". Ручное -- скорее в обратном порядке: пакеты (сборки), в которых майнтейнер не вполне уверен, обычно "специальнее" анонсируются в списке рассылки sisyphus@. > Просто не хотелось бы после очередного апдейта словить > неоттестированный не работающий патч, и через неско часов его > патчить заново.. Нет, с апдейтами как раз все довольно неплохо. Вот только не стоит путать с ними Sisyphus. --- biz Если для компании альт приемлем как технологическая платформа практически всем, кроме недостаточной предсказуемости _небольшой_ части обновлений -- может иметь смысл рассмотреть три варианта: - держать на системах, где в силу host policy обновления могут не производиться вообще (крайний случай, малоосмыслен); - содержать в штате специалистов, которые занимаются проблемами безопасности и, в частности, при задержке обновления из официального источника и остроте проблемы способны создать, протестировать и опубликовать в корпоративном репозитории обновлений "фирменный" вариант (боюсь, применимо и в случае Debian -- см. письмо рядом); - подписать контракт, указав в SLA: - требуемый состав пакетной базы, которая поддерживается в обязательном порядке; - сроки, в течение которых становятся доступными проверенные обновления для всех или различных категорий проблем безопасности (e.g. local root, remote code exec, info leak); - срок, в течение которого выпускаются обновления для заданного stable. Есть промежуточный между двумя последними вариант -- содержать специалистов, сотрудничающих с alt sec team -- но это может быть оправданно для ИТ-фирмы и я бы не рекомендовал закладываться на такой вариант "нормальной" компании в силу слишком большого количества звеньев в цепочке. -- Michael Shigorin EMT.Com.UA [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 16+ messages in thread
end of thread, other threads:[~2004-03-22 7:46 UTC | newest] Thread overview: 16+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2004-03-19 11:30 [Comm] вопрос по обновлениям Dmitry Shubin 2004-03-19 11:57 ` sh 2004-03-19 13:23 ` Mike Lykov 2004-03-19 12:12 ` Denis Kirienko 2004-03-19 12:48 ` Re[2]: " Dmitry Shubin 2004-03-19 12:41 ` Mike Lykov 2004-03-19 13:11 ` Re[2]: " Dmitry Shubin 2004-03-21 19:46 ` [Comm] " Michael Shigorin 2004-03-22 6:45 ` Mike Lykov 2004-03-22 7:44 ` Michael Shigorin 2004-03-19 16:38 ` [Comm] " Alexander Leschinsky 2004-03-21 12:34 ` crux 2004-03-21 20:05 ` [Comm] [POLICY] " Michael Shigorin 2004-03-22 7:24 ` crux 2004-03-22 7:46 ` [Comm] " Michael Shigorin 2004-03-21 20:44 ` [Comm] " Michael Shigorin
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git