From: "Dmitry V. Levin" <ldv@altlinux.org>
To: ALT Devel discussion list <devel@lists.altlinux.org>
Subject: Re: [devel] __libc_enable_secure в openssl libcrypto
Date: Mon, 27 Apr 2020 14:55:43 +0300
Message-ID: <20200427115542.GA28775@altlinux.org> (raw)
In-Reply-To: <be836f5f-2959-c9c1-c001-dc05efeac369@rosalinux.ru>
On Mon, Apr 27, 2020 at 11:30:47AM +0300, Mikhail Novosyolov wrote:
> 18.04.2020 02:54, Dmitry V. Levin пишет:
> > On Sat, Apr 18, 2020 at 02:21:43AM +0300, Mikhail Novosyolov wrote:
> >> Попробовал собрать AppImage на основе библиотек из Альта. AppImage - это такая штука, где сбандлены необходимые для работы программы библиотеки, но libc используется системная, что позволяет и программу запускать в разных дистрибутивах, и системные плагины NSS использовать. Для этой цели собрал в сизиф пакет linuxdeployqt.
> >>
> >> Оказалось, что libcrypto.so.10 (я делал на основе p8, то же самое будет относиться и к сизифу) использует внутренний в glibc интерфейс __libc_enable_secure, который не выведен наружу в других дистрибутивах.
> > Всё-таки __libc_enable_secure выведен у всех, потому что этот символ
> > определён в ld, а используется ещё и в libc. Но у нас этот символ
> > версионирован не как у всех в GLIBC_PRIVATE, а в baseline version, что,
> > наверное, было не совсем правильно сделано, лучше было бы выделить для
> > этого отдельную версию, но потом уже поздно было это менять.
> >
> > У нас в libc есть ещё несколько символов, которые широко используются
> > нашими пакетами, но которых пока нет в других libc:
> > __strlcat_chk
> > __strlcpy_chk
> > strlcat
> > strlcpy
> >
> >> Это сделано патчем openssl-owl-alt-issetugid.patch:
> >>> --- openssl/crypto/uid.c
> >>> +++ openssl/crypto/uid.c
> >>> @@ -77,8 +77,12 @@ int OPENSSL_issetugid(void)
> >>> # include OPENSSL_UNISTD
> >>> # include <sys/types.h>
> >>>
> >>> +extern int __libc_enable_secure;
> >>> +
> >>> int OPENSSL_issetugid(void)
> >>> {
> >>> + if (__libc_enable_secure)
> >>> + return 1;
> >>> if (getuid() != geteuid())
> >>> return 1;
> >>> if (getgid() != getegid())
> >> В связи с этим возник вопрос: в Альте glibc запатчен, чтобы вывести эту внутреннюю функцию?
> > Да, коммит 730399f767758a200256d7eb20f74d2310ab973b.
> >
> >> Используется ли она в каких-либо еще внешних потребителях?
> > Как минимум ещё в libtinfo.
>
> У меня получилось собрать работающую на других дистрибутивах AppImage-подобную структуру на основе библиотек из p8, в т.ч. Qt5 оттуда, путем сборки openssl без патча openssl-owl-alt-issetugid.patch. Но наличие таких нюансов стало неприятной неожиданностью, и вот почему.
>
> Начнем с "обычных" пользователей. Среди них достаточно востребовано иметь возможность запускать AppImage и другие сторонние бинарные сборки в целях упрощения жизни и решения повседневных задач. Но вроде бы они особо не страдают и могут их запускать (ну, кроме заблокированного из коробки fuse, что мешает запустить AppImage, но, с точки зрения администратора корпоративных рабочих станций, мне такая блокировка из коробки скорее нравится, чем не нравится).
>
> Больше всего интересует вопрос отечественной блобятинки, т.е. различных программных изделий, выпускаемых и используемых в рамках импортозамещения. Большинство их разработчиков не очень хорошо умеют упаковывать программы под Линукс, как с точки зрения сборки исполняемых файлов, так и с точки зрения создания RPM-пакетов или иных форм дистрибуции. В результате некоторые из них поддерживают только 1-2 отечественных дистрибутива, теряя часть пользователей, некоторые пытаются собирать по пакету под каждый дистрибутив, тратя на это огромное количество ресурсов. Это плохо и для разработчиков ПО, и для разработчиков дистрибутивов, которые вынуждены иметь с ним дело. Единственным выходом из ситуации я вижу попытки рекомендовать разработчикам собирать универсальные исполняемые файлы или пакеты с грамотно сбандленными библиотеками и грамотно прописанные зависимости в RPM, например, не libgnomekeyring, a libgnome-keyring.so.0()(64bit). Была мысль, что многим будет гораздо проще не
> изобретать сложную систему сборки с частичной статической линковкой, а собирать с системными библиотеками в какой-нибудь ОС, а затем упаковывать AppImage, это очень просто. AppImage-подобную структуру можно положить в RPM-пакет, зная про AutoReq, AutoProv и др. И вот здесь встает вопрос, насколько помешают такие фокусы. Соберут в Альте - не заработает в других дистрибутивах. Тот же openssl настолько часто используется и однозначно будет сбандливаться, что Альт можно сразу не рекомендовать для сборки AppImage-подобных пакетов. А вот если собрать ПО на другом дистрибутиве, то есть небольшая вероятность возникновения проблем в Альте. Думаю, что нужно сильно постараться, чтобы их поймать, т.к. внутренний API __libc_enable_secure заведомо не стоит использовать, но, может быть, есть другие подобные нюансы.
Вы помните такой проект LSB, и чем он фактически закончился?
--
ldv
next prev parent reply other threads:[~2020-04-27 11:55 UTC|newest]
Thread overview: 9+ messages / expand[flat|nested] mbox.gz Atom feed top
2020-04-17 23:21 Mikhail Novosyolov
2020-04-17 23:54 ` Dmitry V. Levin
2020-04-27 8:30 ` Mikhail Novosyolov
2020-04-27 8:56 ` Michael Shigorin
2020-04-27 11:01 ` Mikhail Novosyolov
2020-04-27 18:34 ` Michael Shigorin
2020-04-27 10:55 ` Anton Farygin
2020-04-27 11:55 ` Dmitry V. Levin [this message]
2020-04-27 12:05 ` Mikhail Novosyolov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20200427115542.GA28775@altlinux.org \
--to=ldv@altlinux.org \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git