Re: [devel] [#21822] network filtering during build

Re: [devel] [#21822] network filtering during build

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1738 bytes --]

On Mon, Mar 15, 2010 at 01:09:38AM +0300, Girar Builder robot wrote:
> http://git.altlinux.org/tasks/21822/task/log
> 
> 2010-Mar-15 01:09:01 :: task #21822 for sisyphus started:
> #1 build kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9 from /people/mithraen/packages/kernel-modules.git
> 2010-Mar-15 01:09:01 :: created pkg.tar for kernel-modules.git tag kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9
> 2010-Mar-15 01:09:03 :: [i586] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: build start
> 2010-Mar-15 01:09:03 :: [x86_64] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: build start
> + make KVERS=2.6.32 KSRC=/usr/src/linux-2.6.32-un-def
> make: Entering directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi'
> make -C drivers/dahdi/firmware firmware-loaders
> make[1]: Entering directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi/drivers/dahdi/firmware'
> Attempting to download dahdi-fwload-vpmadt032-1.20.0.tar.gz
> /bin/sh: wget: command not found
> make[1]: *** [dahdi-fwload-vpmadt032-1.20.0.tar.gz] Error 1
> make[1]: Leaving directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi/drivers/dahdi/firmware'
> make: *** [firmware-loaders] Error 2
> make: Leaving directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi'
> 2010-Mar-15 01:09:36 :: [x86_64] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: remote: build failed
> 2010-Mar-15 01:09:36 :: [x86_64] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: build FAILED

Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
воспроизводимость сборки путём отрезания сборочного контейнера от внешней
сети.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] [#21822] network filtering during build

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 558 bytes --]

On Mon, Mar 15, 2010 at 01:46:42AM +0300, Dmitry V. Levin wrote:
> Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
> воспроизводимость сборки путём отрезания сборочного контейнера от внешней
> сети.
Ой, ачо, сейчас при сборке сеть доступна?

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):

Безусловно, не всякая идея может служить источником вдохновения.  Если же
отвлечься от высоких материй, то совершенно ясно, что в данном конкретном
случае придется таки попатчить apt.
		-- sbolshakov in #4806

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 490 bytes --]

Re: [devel] network filtering during build

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 2152 bytes --]

On Mon, Mar 15, 2010 at 01:46:42AM +0300, Dmitry V. Levin wrote:
> On Mon, Mar 15, 2010 at 01:09:38AM +0300, Girar Builder robot wrote:
> > http://git.altlinux.org/tasks/21822/task/log
> > 
> > 2010-Mar-15 01:09:01 :: task #21822 for sisyphus started:
> > #1 build kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9 from /people/mithraen/packages/kernel-modules.git
> > 2010-Mar-15 01:09:01 :: created pkg.tar for kernel-modules.git tag kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9
> > 2010-Mar-15 01:09:03 :: [i586] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: build start
> > 2010-Mar-15 01:09:03 :: [x86_64] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: build start
> > + make KVERS=2.6.32 KSRC=/usr/src/linux-2.6.32-un-def
> > make: Entering directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi'
> > make -C drivers/dahdi/firmware firmware-loaders
> > make[1]: Entering directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi/drivers/dahdi/firmware'
> > Attempting to download dahdi-fwload-vpmadt032-1.20.0.tar.gz
> > /bin/sh: wget: command not found
> > make[1]: *** [dahdi-fwload-vpmadt032-1.20.0.tar.gz] Error 1
> > make[1]: Leaving directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi/drivers/dahdi/firmware'
> > make: *** [firmware-loaders] Error 2
> > make: Leaving directory `/usr/src/RPM/BUILD/kernel-source-dahdi-2.2.1/dahdi'
> > 2010-Mar-15 01:09:36 :: [x86_64] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: remote: build failed
> > 2010-Mar-15 01:09:36 :: [x86_64] kernel-modules.git kernel-modules-dahdi-un-def-2.2.1-alt1.132640.9: build FAILED
> 
> Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
> воспроизводимость сборки путём отрезания сборочного контейнера от внешней
> сети.

Надо бы отключить.  Точнее, надо бы попробовать.  Потому что
с другой стороны какой-нибудь 'make test' может отваливаться.

Вспоминается другое желание - мониторить трафик из/в hasher chroot
и писать о нём в лог сборки.  Я не разобрался, как netfilter работает,
но было оущещине, что сделать что-то можно.

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] network filtering during build

[Vitaly Kuznetsov]

Alexey Tourbin <at@altlinux.ru> writes:

>> Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
>> воспроизводимость сборки путём отрезания сборочного контейнера от внешней
>> сети.
>
> Надо бы отключить.  Точнее, надо бы попробовать.  Потому что
> с другой стороны какой-нибудь 'make test' может отваливаться.

А если закрывать сеть на этапах %prep, %build, %install и открывать на
%check ?

-- 
Vitaly Kuznetsov, ALT Linux

Re: [devel] network filtering during build

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 906 bytes --]

On Mon, Mar 15, 2010 at 08:01:44AM +0100, Vitaly Kuznetsov wrote:
> Alexey Tourbin <at@altlinux.ru> writes:
> 
> >> Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
> >> воспроизводимость сборки путём отрезания сборочного контейнера от внешней
> >> сети.
> >
> > Надо бы отключить.  Точнее, надо бы попробовать.  Потому что
> > с другой стороны какой-нибудь 'make test' может отваливаться.
> 
> А если закрывать сеть на этапах %prep, %build, %install и открывать на
> %check ?

Стадии сборки существуют в пределах одного непривилегированного процесса
rpmbuild.  Если rpmbuild сможет открывать/закрывать сеть, то в принципе
кто угодно (в том числе сами пакеты в процессе сборки) смогут открывать/
закрывать сеть.

Но открытие/закрытие сети требует больших привилегий.  Скорее всего,
это можно сделать только где-то на уровне hasher-priv - заранее и
окончательно.

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] network filtering during build

[Konstantin Pavlov]

[-- Attachment #1: Type: text/plain, Size: 825 bytes --]

On Mon, Mar 15, 2010 at 08:01:44AM +0100, Vitaly Kuznetsov wrote:
> Alexey Tourbin <at@altlinux.ru> writes:
> 
> >> Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
> >> воспроизводимость сборки путём отрезания сборочного контейнера от внешней
> >> сети.
> >
> > Надо бы отключить.  Точнее, надо бы попробовать.  Потому что
> > с другой стороны какой-нибудь 'make test' может отваливаться.
> 
> А если закрывать сеть на этапах %prep, %build, %install и открывать на
> %check ?

А если то, что в %check зависит от результатов в %build (скажем, в
Makefile'ах), то эта процедура вообще не имеет смысла.

-- 
Здесь уже всё прокомментировали, но я всё же как мантейнер расскажу ещё
раз, и как модератор попрошу дальше эту тему в этом списке рассылки не
развивать.
		-- ldv in sisyphus@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] [#21822] network filtering during build

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 479 bytes --]

On Mon, Mar 15, 2010 at 01:46:42AM +0300, Dmitry V. Levin wrote:

DVL> Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
DVL> воспроизводимость сборки путём отрезания сборочного контейнера от внешней
DVL> сети.

Я, для этой самой воспроизводимости, чиню сборку не добавляя wget, а
докладывая в пакет то, что им качается.

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] [#21822] network filtering during build

[Igor Vlasenko]

On Mon, Mar 15, 2010 at 01:46:42AM +0300, Dmitry V. Levin wrote:
> > Attempting to download dahdi-fwload-vpmadt032-1.20.0.tar.gz
> > /bin/sh: wget: command not found
> сети.

С другой стороны
1) много документации, которая генерируется 
кривыми как бумеранг скриптами, в результате приложение
лезет в сеть, например, за xml DTD, не обращая внимания на фс.
2) в java часто встречаются тесты, рассчитанные на online
кривым апстримом.
 
Это все большой геморрой исправлять, овчинка выделки не стоит.

В тему:
Я недавно перечитывал "Жук в муравейнике", и обратил внимание, что
там как высшее проявление гуманизма приводилась политика 
всячески избегать необратимых поступков.

С такой точки зрения политика у вас, Дмитрий не гуманна ;)
Необратимые зажимания гаек часто воспринимаются людьми
как пакость втихаря. Отсюда и обиды.

Я считаю, что правильная политика изменений - делать их обратимыми. 
Чтобы изменение было по умолчанию, но у несогласных был бы рычаг, 
чтобы его отключать.

Хороший пример в этом смысле acl: 
@everybody по умолчанию -- большинство не возражает,
меньшинство снимает.

Потому что изменения в incoming - особые. Это монополия.
Если мне не нравится пакет boo - я его могу собрать локально
так как хочу. А с incoming такой фокус не пройдет.

Поэтому с incoming должна быть особая осторожность.
С изменениями должна идти либо возможность 
"откатить на то, что было", либо для безальтернативных 
изменений должна быть рука помощи на починить то, что сломалось.

-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine