On 2018-12-21 11:38:02 +0100, Pavel Nakonechnyi wrote:

 > По работе есть необходимость иметь в своем распоряжении
 > (установленным в системе) небезопасной версии OpenSSL.

Старой, что ли?

 > Эта же версия используется инструментом, который сам по
 > себе угроз не привносит.

А собрать со свежей - вообще никак?

 > Локально я проделал следующий ужас: - собрал openssl скопипастив
 > альтовский пакет старой версии 1.0.2i - при этом все названия
 > составных частей пакета, имена библиотек, pkg-config файлы,
 > директория заголовочных файлов переименованы с добавлением
 > "unsafe" префикса/суффикса. - но установка такого пакета
 > производится в соответствии с FHS (а не в какой-нибудь /opt)

В общем даже правильно.

 > - инструмент, который упомянул выше, в свою очередь может
 > использовать как стандартную системную openssl, так и unsafe
 > версию, если найдет. во втором случае больше функционала
 > становится доступным.

Что именно отваливается при сборке со свежей версией?

 > То есть я попытался достичь того, чтобы с этой unsafe библиотекой
 > случайно никто не слинковался.

Самый простой и надежный вариант - сделать ее статической: в этом
случае код из нее попадет только в пакеты, где будет явно указано
BuildRequires: openssl-old-devel-static

 > Я переживу если такое нельзя включать в Сизиф, всё равно кроме
 > меня это никому наверняка не надо.

Даже если и надо, в публичном репозитарии важно избегать зоопарка
версий.

 > Но хотелось бы получить рекомендации, насколько такое в принципе
 > разрешено для включения в репозиторий?

Создай свою собственную реау и пихай туда что угодно. Ну, то есть,
в полном соответствии с твоей же политикой :-)

man rpmsign
man genbasedir

 > Спрашиваю с прицелом на дистрибутивы где к безопасности отношение
 > другое. :)

В них не надо целиться - их надо бомбить. Неконвенционными спецБЧ.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net