ALT Linux Team development discussions
 help / color / mirror / Atom feed
* Re: [devel] [#21822] network filtering during build
  @ 2010-03-14 22:46 ` Dmitry V. Levin
  2010-03-15  6:06   ` Andrey Rahmatullin
                     ` (3 more replies)
  0 siblings, 4 replies; 8+ messages in thread
From: Dmitry V. Levin @ 2010-03-14 22:46 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 1738 bytes --]

On Mon, Mar 15, 2010 at 01:09:38AM +0300, Girar Builder robot wrote:
> http://git.altlinux.org/tasks/21822/task/log
> 
> 2010-Mar-15 01:09:01 :: task #21822 for sisyphus started:
> #1 build kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9 from /people/mithraen/packages/kernel-modules.git
> 2010-Mar-15 01:09:01 :: created pkg.tar for kernel-modules.git tag kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9
> 2010-Mar-15 01:09:03 :: [i586] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: build start
> 2010-Mar-15 01:09:03 :: [x86_64] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: build start
> + make KVERS=2.6.32 KSRC=/usr/src/linux-2.6.32-un-def
> make: Entering directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi'
> make -C drivers/dahdi/firmware firmware-loaders
> make[1]: Entering directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi/drivers/dahdi/firmware'
> Attempting to download dahdi-fwload-vpmadt032-1.20.0.tar.gz
> /bin/sh: wget: command not found
> make[1]: *** [dahdi-fwload-vpmadt032-1.20.0.tar.gz] Error 1
> make[1]: Leaving directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi/drivers/dahdi/firmware'
> make: *** [firmware-loaders] Error 2
> make: Leaving directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi'
> 2010-Mar-15 01:09:36 :: [x86_64] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: remote: build failed
> 2010-Mar-15 01:09:36 :: [x86_64] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: build FAILED

Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
воспроизводимость сборки путём отрезания сборочного контейнера от внешней
сети.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [devel] [#21822] network filtering during build
  2010-03-14 22:46 ` [devel] [#21822] network filtering during build Dmitry V. Levin
@ 2010-03-15  6:06   ` Andrey Rahmatullin
  2010-03-15  6:57   ` [devel] " Alexey Tourbin
                     ` (2 subsequent siblings)
  3 siblings, 0 replies; 8+ messages in thread
From: Andrey Rahmatullin @ 2010-03-15  6:06 UTC (permalink / raw)
  To: devel

[-- Attachment #1: Type: text/plain, Size: 558 bytes --]

On Mon, Mar 15, 2010 at 01:46:42AM +0300, Dmitry V. Levin wrote:
> Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
> воспроизводимость сборки путём отрезания сборочного контейнера от внешней
> сети.
Ой, ачо, сейчас при сборке сеть доступна?

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):

Безусловно, не всякая идея может служить источником вдохновения.  Если же
отвлечься от высоких материй, то совершенно ясно, что в данном конкретном
случае придется таки попатчить apt.
		-- sbolshakov in #4806

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 490 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [devel] network filtering during build
  2010-03-14 22:46 ` [devel] [#21822] network filtering during build Dmitry V. Levin
  2010-03-15  6:06   ` Andrey Rahmatullin
@ 2010-03-15  6:57   ` Alexey Tourbin
  2010-03-15  7:01     ` Vitaly Kuznetsov
  2010-03-15 10:40   ` [devel] [#21822] " Денис Смирнов
  2010-03-15 22:33   ` Igor Vlasenko
  3 siblings, 1 reply; 8+ messages in thread
From: Alexey Tourbin @ 2010-03-15  6:57 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 2152 bytes --]

On Mon, Mar 15, 2010 at 01:46:42AM +0300, Dmitry V. Levin wrote:
> On Mon, Mar 15, 2010 at 01:09:38AM +0300, Girar Builder robot wrote:
> > http://git.altlinux.org/tasks/21822/task/log
> > 
> > 2010-Mar-15 01:09:01 :: task #21822 for sisyphus started:
> > #1 build kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9 from /people/mithraen/packages/kernel-modules.git
> > 2010-Mar-15 01:09:01 :: created pkg.tar for kernel-modules.git tag kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9
> > 2010-Mar-15 01:09:03 :: [i586] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: build start
> > 2010-Mar-15 01:09:03 :: [x86_64] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: build start
> > + make KVERS=2.6.32 KSRC=/usr/src/linux-2.6.32-un-def
> > make: Entering directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi'
> > make -C drivers/dahdi/firmware firmware-loaders
> > make[1]: Entering directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi/drivers/dahdi/firmware'
> > Attempting to download dahdi-fwload-vpmadt032-1.20.0.tar.gz
> > /bin/sh: wget: command not found
> > make[1]: *** [dahdi-fwload-vpmadt032-1.20.0.tar.gz] Error 1
> > make[1]: Leaving directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi/drivers/dahdi/firmware'
> > make: *** [firmware-loaders] Error 2
> > make: Leaving directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi'
> > 2010-Mar-15 01:09:36 :: [x86_64] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: remote: build failed
> > 2010-Mar-15 01:09:36 :: [x86_64] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: build FAILED
> 
> Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
> воспроизводимость сборки путём отрезания сборочного контейнера от внешней
> сети.

Надо бы отключить.  Точнее, надо бы попробовать.  Потому что
с другой стороны какой-нибудь 'make test' может отваливаться.

Вспоминается другое желание - мониторить трафик из/в hasher chroot
и писать о нём в лог сборки.  Я не разобрался, как netfilter работает,
но было оущещине, что сделать что-то можно.

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [devel] network filtering during build
  2010-03-15  6:57   ` [devel] " Alexey Tourbin
@ 2010-03-15  7:01     ` Vitaly Kuznetsov
  2010-03-15  7:16       ` Alexey Tourbin
  2010-03-15  7:30       ` Konstantin Pavlov
  0 siblings, 2 replies; 8+ messages in thread
From: Vitaly Kuznetsov @ 2010-03-15  7:01 UTC (permalink / raw)
  To: ALT Devel discussion list

Alexey Tourbin <at@altlinux.ru> writes:

>> Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
>> воспроизводимость сборки путём отрезания сборочного контейнера от внешней
>> сети.
>
> Надо бы отключить.  Точнее, надо бы попробовать.  Потому что
> с другой стороны какой-нибудь 'make test' может отваливаться.

А если закрывать сеть на этапах %prep, %build, %install и открывать на
%check ?

-- 
Vitaly Kuznetsov, ALT Linux


^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [devel] network filtering during build
  2010-03-15  7:01     ` Vitaly Kuznetsov
@ 2010-03-15  7:16       ` Alexey Tourbin
  2010-03-15  7:30       ` Konstantin Pavlov
  1 sibling, 0 replies; 8+ messages in thread
From: Alexey Tourbin @ 2010-03-15  7:16 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 906 bytes --]

On Mon, Mar 15, 2010 at 08:01:44AM +0100, Vitaly Kuznetsov wrote:
> Alexey Tourbin <at@altlinux.ru> writes:
> 
> >> Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
> >> воспроизводимость сборки путём отрезания сборочного контейнера от внешней
> >> сети.
> >
> > Надо бы отключить.  Точнее, надо бы попробовать.  Потому что
> > с другой стороны какой-нибудь 'make test' может отваливаться.
> 
> А если закрывать сеть на этапах %prep, %build, %install и открывать на
> %check ?

Стадии сборки существуют в пределах одного непривилегированного процесса
rpmbuild.  Если rpmbuild сможет открывать/закрывать сеть, то в принципе
кто угодно (в том числе сами пакеты в процессе сборки) смогут открывать/
закрывать сеть.

Но открытие/закрытие сети требует больших привилегий.  Скорее всего,
это можно сделать только где-то на уровне hasher-priv - заранее и
окончательно.

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [devel] network filtering during build
  2010-03-15  7:01     ` Vitaly Kuznetsov
  2010-03-15  7:16       ` Alexey Tourbin
@ 2010-03-15  7:30       ` Konstantin Pavlov
  1 sibling, 0 replies; 8+ messages in thread
From: Konstantin Pavlov @ 2010-03-15  7:30 UTC (permalink / raw)
  To: devel

[-- Attachment #1: Type: text/plain, Size: 825 bytes --]

On Mon, Mar 15, 2010 at 08:01:44AM +0100, Vitaly Kuznetsov wrote:
> Alexey Tourbin <at@altlinux.ru> writes:
> 
> >> Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
> >> воспроизводимость сборки путём отрезания сборочного контейнера от внешней
> >> сети.
> >
> > Надо бы отключить.  Точнее, надо бы попробовать.  Потому что
> > с другой стороны какой-нибудь 'make test' может отваливаться.
> 
> А если закрывать сеть на этапах %prep, %build, %install и открывать на
> %check ?

А если то, что в %check зависит от результатов в %build (скажем, в
Makefile'ах), то эта процедура вообще не имеет смысла.

-- 
Здесь уже всё прокомментировали, но я всё же как мантейнер расскажу ещё
раз, и как модератор попрошу дальше эту тему в этом списке рассылки не
развивать.
		-- ldv in sisyphus@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [devel] [#21822] network filtering during build
  2010-03-14 22:46 ` [devel] [#21822] network filtering during build Dmitry V. Levin
  2010-03-15  6:06   ` Andrey Rahmatullin
  2010-03-15  6:57   ` [devel] " Alexey Tourbin
@ 2010-03-15 10:40   ` Денис Смирнов
  2010-03-15 22:33   ` Igor Vlasenko
  3 siblings, 0 replies; 8+ messages in thread
From: Денис Смирнов @ 2010-03-15 10:40 UTC (permalink / raw)
  To: ALT Linux Team development discussions

[-- Attachment #1: Type: text/plain, Size: 479 bytes --]

On Mon, Mar 15, 2010 at 01:46:42AM +0300, Dmitry V. Levin wrote:

DVL> Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
DVL> воспроизводимость сборки путём отрезания сборочного контейнера от внешней
DVL> сети.

Я, для этой самой воспроизводимости, чиню сборку не добавляя wget, а
докладывая в пакет то, что им качается.

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [devel] [#21822] network filtering during build
  2010-03-14 22:46 ` [devel] [#21822] network filtering during build Dmitry V. Levin
                     ` (2 preceding siblings ...)
  2010-03-15 10:40   ` [devel] [#21822] " Денис Смирнов
@ 2010-03-15 22:33   ` Igor Vlasenko
  3 siblings, 0 replies; 8+ messages in thread
From: Igor Vlasenko @ 2010-03-15 22:33 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Mon, Mar 15, 2010 at 01:46:42AM +0300, Dmitry V. Levin wrote:
> > Attempting to download dahdi-fwload-vpmadt032-1.20.0.tar.gz
> > /bin/sh: wget: command not found
> сети.

С другой стороны
1) много документации, которая генерируется 
кривыми как бумеранг скриптами, в результате приложение
лезет в сеть, например, за xml DTD, не обращая внимания на фс.
2) в java часто встречаются тесты, рассчитанные на online
кривым апстримом.
 
Это все большой геморрой исправлять, овчинка выделки не стоит.

В тему:
Я недавно перечитывал "Жук в муравейнике", и обратил внимание, что
там как высшее проявление гуманизма приводилась политика 
всячески избегать необратимых поступков.

С такой точки зрения политика у вас, Дмитрий не гуманна ;)
Необратимые зажимания гаек часто воспринимаются людьми
как пакость втихаря. Отсюда и обиды.

Я считаю, что правильная политика изменений - делать их обратимыми. 
Чтобы изменение было по умолчанию, но у несогласных был бы рычаг, 
чтобы его отключать.

Хороший пример в этом смысле acl: 
@everybody по умолчанию -- большинство не возражает,
меньшинство снимает.

Потому что изменения в incoming - особые. Это монополия.
Если мне не нравится пакет boo - я его могу собрать локально
так как хочу. А с incoming такой фокус не пройдет.

Поэтому с incoming должна быть особая осторожность.
С изменениями должна идти либо возможность 
"откатить на то, что было", либо для безальтернативных 
изменений должна быть рука помощи на починить то, что сломалось.

-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine



^ permalink raw reply	[flat|nested] 8+ messages in thread

end of thread, other threads:[~2010-03-15 22:33 UTC | newest]

Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-03-14 22:46 ` [devel] [#21822] network filtering during build Dmitry V. Levin
2010-03-15  6:06   ` Andrey Rahmatullin
2010-03-15  6:57   ` [devel] " Alexey Tourbin
2010-03-15  7:01     ` Vitaly Kuznetsov
2010-03-15  7:16       ` Alexey Tourbin
2010-03-15  7:30       ` Konstantin Pavlov
2010-03-15 10:40   ` [devel] [#21822] " Денис Смирнов
2010-03-15 22:33   ` Igor Vlasenko

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git