Re: [devel] [sisyphus] bind-utils и русские домены

Re: [devel] [sisyphus] bind-utils и русские домены

[Sergey Alembekov]

17.02.2011 17:00, Victor Forsiuk пишет:
>
>
> 2011/2/17 Victor Forsiuk <force@altlinux.org <mailto:force@altlinux.org>>
>
>
>
>     2011/1/28 Alexei V. Mezin <alexei-mezin@rambler.ru
>     <mailto:alexei-mezin@rambler.ru>>
>
>
>         А bind-utils у нас будут уметь русские домены? Или уже умеют, да
>         я не умею их готовить?
>
>
>     bind-utils у нас не умеет IDN домены, поскольку собран без libidn. С
>     появлением TLD .рф (и IDN-регистраций в украинских 2LD) это уже не
>     просто недостаток наших дистрибутивов, а полноценный жирный блокер.
>
>     Надо паковать современный bind.
>
>
> Добровольцы есть?  ;)
Паковать пока не возьмусь, а тестировать готов - есть пара доменов в 
зоне .РФ


-- 
Regards, Sergey Alembekov
ALTLinux Team
xmpp: rt@jabber.ru

Re: [devel] [sisyphus] bind-utils и русские домены

[Afanasov Dmitry]

[-- Attachment #1: Type: text/plain, Size: 520 bytes --]

On Wed, Feb 23, 2011 at 04:04:24PM +0200, Victor Forsiuk wrote:
> В Owl сейчас bind версии 9.3.5. И учитывая сложность и объем
> кода bind даже перенос на новую версию старых патчей должен быть
> нетривиальным, не говоря уже об аудите нового кода.
перенос старых патчей по крайней мере на 9.6 проблемы не составило.
проблему, как вы справедливо отметили, составляет аудит нового кода.

как я понимаю, надо как минимум внимательно просмотреть все grep sprintf,
grep strcpy.
-- 
 С уважением
 Афанасов Дмитрий

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] [sisyphus] bind-utils и русские домены

[Andrii Dobrovol`s`kii]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Afanasov Dmitry пишет:
> On Wed, Feb 23, 2011 at 04:04:24PM +0200, Victor Forsiuk wrote:
>> В Owl сейчас bind версии 9.3.5. И учитывая сложность и объем
>> кода bind даже перенос на новую версию старых патчей должен быть
>> нетривиальным, не говоря уже об аудите нового кода.
> перенос старых патчей по крайней мере на 9.6 проблемы не составило.
> проблему, как вы справедливо отметили, составляет аудит нового кода.
> 
> как я понимаю, надо как минимум внимательно просмотреть все grep sprintf,
> grep strcpy.
> 
Может временным решением может быть сборка параллельного пакета?
С постепенной притиркой всего багажа патчей и аудитом кода...
Кому важней уверенность -- ставит старый, кому необходимы новые
возможности -- новый. Как будут выполнены все запланированные
работы, "отстрел" старого пакета...
- -- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAk1lI54ACgkQpBPgR3404hOiUgEA7sq77ky8pc1cQlFoH2IKhQrq
7gSoQjrTZDMo+MWzHM8A/2v5lfEFXuUoNqfKNXxRPmY8SbYsXEPP9RjqnAyaMr/o
=cvVD
-----END PGP SIGNATURE-----

Re: [devel] [sisyphus] bind-utils и русские домены

[Michael Shigorin]

On Wed, Feb 23, 2011 at 05:10:11PM +0300, Afanasov Dmitry wrote:
> как я понимаю, надо как минимум внимательно просмотреть все
> grep sprintf, grep strcpy.

Подсказывают, что http://bash.altlinux.org/147

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] [sisyphus] bind-utils и русские домены

[Ilya Mashkin]

Victor Forsiuk wrote:

> Если коротко, то у меня есть предложение, которое мне самому не 
> нравится. 


> 
> Предложение состоит в том, чтобы оставить старый bind, но параллельно 
> собрать свежий. Да, с дескрипшенами, README и комментариями в конфигах о 
> том, что в репозитарии есть более проверенная версия, которую мы считаем 
> более безопасной. И если вам не нужны возможности, присутствующие только 
> в новой версии - разумнее пользоваться 9.3.6.

По-моему нормальное предложение, лично я только за.

> 
> bind-utils же оставить только тот, который умеет idn. Других в наши 
> времена быть не должно.
> 


ага

Re: [devel] [sisyphus] bind-utils и русские домены

[Afanasov Dmitry]

[-- Attachment #1: Type: text/plain, Size: 906 bytes --]

On Wed, Feb 23, 2011 at 05:05:31PM +0200, Victor Forsiuk wrote:
> Предложение состоит в том, чтобы оставить старый bind, но параллельно
> собрать свежий. Да, с дескрипшенами, README и комментариями в конфигах о
> том, что в репозитарии есть более проверенная версия, которую мы считаем
> более безопасной. И если вам не нужны возможности, присутствующие только в
> новой версии - разумнее пользоваться 9.3.6.
наверно так и придется. почитал я тут
http://ftp.isc.org/isc/bind9/9.7.3/RELEASE-NOTES-BIND-9.7.3.html
и немного прифигел: занет кто вообще, как там весь dnssec работает? там не
только sprintf'ы править надо. у них bind не всегда соединения правильно
закрывает и виснет, когда peer что-нибудь неожиданное делает:

... This resolves an issue where sockets would shut down on Windows servers
causing named to stop responding to queries. [RT #21906]
-- 
С уважением
Афанасов Дмитрий

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] [sisyphus] bind-utils и русские домены

[Aleksey Novodvorsky]

24 февраля 2011 г. 17:54 пользователь Victor Forsiuk
<force@altlinux.org> написал:
>
>
> 2011/2/23 Andrii Dobrovol`s`kii <dobr@iop.kiev.ua>
>>
>> >
>> Может временным решением может быть сборка параллельного пакета?
>> С постепенной притиркой всего багажа патчей и аудитом кода...
>> Кому важней уверенность -- ставит старый, кому необходимы новые
>> возможности -- новый. Как будут выполнены все запланированные
>> работы, "отстрел" старого пакета...
>
> Мысль, как я вижу, назрела. Андрей синхронно со мной предложил.
>
> Я потихоньку готовлю пакет. Начну с включения IPv6 и GSS TSIG.

Виктор, процесс идет?


Rgrds, Алексей

Re: [devel] [sisyphus] bind-utils и русские домены

[Victor Forsiuk]

2011/3/28 Aleksey Novodvorsky <aen@altlinux.ru>:
> 24 февраля 2011 г. 17:54 пользователь Victor Forsiuk
> <force@altlinux.org> написал:
>>
>>
>> 2011/2/23 Andrii Dobrovol`s`kii <dobr@iop.kiev.ua>
>>>
>>> >
>>> Может временным решением может быть сборка параллельного пакета?
>>> С постепенной притиркой всего багажа патчей и аудитом кода...
>>> Кому важней уверенность -- ставит старый, кому необходимы новые
>>> возможности -- новый. Как будут выполнены все запланированные
>>> работы, "отстрел" старого пакета...
>>
>> Мысль, как я вижу, назрела. Андрей синхронно со мной предложил.
>>
>> Я потихоньку готовлю пакет. Начну с включения IPv6 и GSS TSIG.
>
> Виктор, процесс идет?

Процесс привел к появлению в сизифе (4 апреля) пакета
bind9.8-9.8.0-alt0.1. Большое спасибо Дмитрию Афанасову за
портирование патчей к 9.3.6 на эту версию!

Подозреваю, что не все заметили его появление - это ведь параллельный
пакет, а не вытесняющий bind. Поэтому анонсирую его тут и призываю
активнее тестировать. Все изменения отражены в ченжлоге, вкратце самые
важные:
- поддержка IDN
- поддержка IPv6
- поддержка GSSAPI (т.е., bind может работать с AD)
- собран как "легкий" вариант named, так и с поддержкой драйверов
загружаемых зон - SDB и DLZ

Две последние фичи - это конкретные вкусности свежего bind (а, еще
легкий доступ к статистике, по http), а вот корректную работу с IDN и
IPv6 я предлагаю рассматривать как обязательные свойства всех сетевых
приложений. Вплоть до блокеров на пакеты, которые собраны без их
поддержки...

Известный недостаток в этой сборке bind 9.8 - плохая работа с
pid-файлом. Хотя, и в bind-9.3.6-alt6 тоже не всё корректно работает,
только по-другому.

При запуске без ключика командной строки (-i) и с пустым значением
опции pid-file теперь pidfile просто не создается. В 9.3.6 в такой
ситуации pidfile появлялся в /var/run/named и корректно удалялся при
завершении работы bind.

Если указать pathname pid-файла в конфиге (например, pid-file
"/var/run/named/named.pid"), то такой файл создается относительно
chroot'а. Вообще говоря, это не то, чего хотелось бы :(. А вот в 9.3.6
значение опции конфига, как оказалось, просто игнорируется: что туда
ни пиши, используется /var/run/named.pid.

Второй момент более неприятен. По завершении работы свежего bind'а с
вышеупомянутыми патчами pid-файл не удаляется.

На "скорость полета" это, как говорится, не влияет, можно и без
pid-файла обходится. Но если у кого-то есть желание сделать в этом
месте красиво - было бы совсем хорошо. У меня с этим возиться
мотивации крайне мало.

В принципе, напрашивается _очень_ костыльное решение: до вызова chroot
вставить код открытия лежащего под чрутом конфига, парсинга оттуда
пути к pid-файлу и открытия его ДО захода в chroot.... Хотя это
грязный хак и апстрим такое никогда не примет... :( Видимо, лучше
просто хорошо откомментировать этот момент в конфиге и перевести
стрелки на "-i".


Что еще... Я не могу найти ни одного аргумента, который бы убедил
меня, что bind 9.3.6 чем-то безопаснее 9.8.0...

И, коллеги, не только в отношении bind, - давайте примем как аксиому,
что софт не умеющий работать с IPv6 и IDN в новый бранч попасть не
должен...

Re: [devel] [sisyphus] bind-utils и русские домены

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 2407 bytes --]

On Wed, Apr 13, 2011 at 04:52:06PM +0300, Victor Forsiuk wrote:
[...]
> Процесс привел к появлению в сизифе (4 апреля) пакета
> bind9.8-9.8.0-alt0.1. Большое спасибо Дмитрию Афанасову за
> портирование патчей к 9.3.6 на эту версию!
> 
> Подозреваю, что не все заметили его появление - это ведь параллельный
> пакет, а не вытесняющий bind. Поэтому анонсирую его тут и призываю
> активнее тестировать. Все изменения отражены в ченжлоге, вкратце самые
> важные:
> - поддержка IDN
> - поддержка IPv6
> - поддержка GSSAPI (т.е., bind может работать с AD)
> - собран как "легкий" вариант named, так и с поддержкой драйверов
> загружаемых зон - SDB и DLZ
> 
> Две последние фичи - это конкретные вкусности свежего bind (а, еще
> легкий доступ к статистике, по http), а вот корректную работу с IDN и
> IPv6 я предлагаю рассматривать как обязательные свойства всех сетевых
> приложений. Вплоть до блокеров на пакеты, которые собраны без их
> поддержки...

Просьба баги на тему поддержки IPv6 подключать к метабагу #23202.
Впрочем, насчет блокеров на пакеты вы, пожалуй, перегибаете.

> Известный недостаток в этой сборке bind 9.8 - плохая работа с
> pid-файлом. Хотя, и в bind-9.3.6-alt6 тоже не всё корректно работает,
> только по-другому.
> 
> При запуске без ключика командной строки (-i) и с пустым значением
> опции pid-file теперь pidfile просто не создается. В 9.3.6 в такой
> ситуации pidfile появлялся в /var/run/named и корректно удалялся при
> завершении работы bind.
> 
> Если указать pathname pid-файла в конфиге (например, pid-file
> "/var/run/named/named.pid"), то такой файл создается относительно
> chroot'а. Вообще говоря, это не то, чего хотелось бы :(.

Такой bind я себе в контейнер не поставлю. :(
Интересно, кто-нибудь проверял, dropprivs там работает правильно?

> А вот в 9.3.6
> значение опции конфига, как оказалось, просто игнорируется: что туда
> ни пиши, используется /var/run/named.pid.

Так и было задумано.

> Что еще... Я не могу найти ни одного аргумента, который бы убедил
> меня, что bind 9.3.6 чем-то безопаснее 9.8.0...

Меньше фичей -> меньше багов?

> И, коллеги, не только в отношении bind, - давайте примем как аксиому,
> что софт не умеющий работать с IPv6 и IDN в новый бранч попасть не
> должен...

Такого рода аксиомы нужно формулировать и согласовывать на более ранней
стадии работы над бранчем.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] [sisyphus] bind-utils и русские домены

[REAL]

14.04.2011 01:21, Dmitry V. Levin пишет:
> Просьба баги на тему поддержки IPv6 подключать к метабагу #23202.
> Впрочем, насчет блокеров на пакеты вы, пожалуй, перегибаете.

Насчёт блокеров +1. А так, я бы попросил человека, который вешает 
такие баги, постараться их закрывать самостоятельно. Например, вот мне 
IPv6 не нужен, и я пока не планирую в этом направлении тратить время.

>> И, коллеги, не только в отношении bind, - давайте примем как аксиому,
>> что софт не умеющий работать с IPv6 и IDN в новый бранч попасть не
>> должен...
>
> Такого рода аксиомы нужно формулировать и согласовывать на более ранней
> стадии работы над бранчем.

Тем более что ну не тянет это на аксиому, это пока постулат, если 
вообще не недоказанная теорема.

-- 

REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ

Re: [devel] [sisyphus] bind-utils и русские домены

[Sergey Y. Afonin]

On Thursday, April 14, 2011, REAL wrote:

> > Такого рода аксиомы нужно формулировать и согласовывать на более
> > ранней стадии работы над бранчем.
> 
> Тем более что ну не тянет это на аксиому, это пока постулат, если 
> вообще не недоказанная теорема.
 
Нет, это аксиома уже. Два-три года, и это будет уже заметно востребовано.
Ну а что Виктор беспокоится - это совсем понятно: в Украине IPv6 должен
появиться централизованние и быстрее, на сколько я слышал.

-- 
С уважением, Сергей Афонин
asy@altlinux.ru

Re: [devel] [sisyphus] bind-utils и русские домены

[Andrii Dobrovol`s`kii]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Sergey Y. Afonin пишет:
> On Thursday, April 14, 2011, REAL wrote:
> 
>>> Такого рода аксиомы нужно формулировать и согласовывать на более
>>> ранней стадии работы над бранчем.
>>
>> Тем более что ну не тянет это на аксиому, это пока постулат, если 
>> вообще не недоказанная теорема.
>  
> Нет, это аксиома уже. Два-три года, и это будет уже заметно востребовано.
> Ну а что Виктор беспокоится - это совсем понятно: в Украине IPv6 должен
> появиться централизованние и быстрее, на сколько я слышал.
> 
Просто, в Украине, насколько я понял, доступный ресурс IPv4 можно
считать уже исчерпанным...
- -- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAk2mzesACgkQpBPgR3404hO8PgEAw5N8iJjMbxzWxtOJS301R4/j
/bnCLSr2l5CHAOr/cXQBAMyLytt946d6aZEKsvUyrSs49u6RfTGNeM9CcM2FmEWE
=BO4W
-----END PGP SIGNATURE-----