[FreeBSD] Jail kerdes

[Adam Szilveszter]

Szia!

On Sun, Mar 25, 2001 at 03:42:50PM +0200, Attila Nagy wrote:
> > A jail azert tobbet tud, mint a chroot(). Az, hogy bizonyos esetekben
> > ki lehet belole torni igaz, de azert a multkori "baleset" mutatta,
> Melyek lennenek azok az esetek?

<Tudalekos vigyor>
Az elmult egy evben mind a jail, mind a capabilities megvalositasoknal
ismertte valtak root comprmoise-vel jaro problemak. Ha jol emlexem, a
Linuxos capabilities dolog miatt anno eleg nagy zaj volt mindenfele
levlistakon, talan meg ezen is, a jail ugyrol meg van Security Advisory is,
meg en tettem fel rola a hirt a bsd.hu-ra. Termeszetesen azota mindket
esetet kijavitottak, es mindketto a megvalositas hibaja es nem az elveke.
De ami igaz, az igaz:-) Legyunk precizek.
</Tudalekos vigyor>
 
> > Egyebkent ha igaz, 5.0-ra (ami jo egy ev mulva varhato) mar lesz
> > valmifele capabilities-hez hasonlo support. Igen, a TrustedBSD
> Egy ev? Rosszul emlekszem, hogy iden nyarra igertek a RELEASE-t?

Nemregen csusztunk:-) Ugyanis az 5.0-tol a -CURRENT meg olyan messze van,
de olyan..., legalabbis ami a *megbizhato* hasznalhatosagot es stabilitast
illeti, hogy az a bizonyos legendas magyar kisvaros es a Szentfold
szekhelye ehhez kepest szomszedos. Es meg az SMPng bepakolasa sem
fejezodott be maig sem, mert akkora foku instabilitasokat idezett elo, hogy
most mindenki fekezett inkabb es elkezdett feltunes nelkul az ut szelen
reszelgetni valamit, hogy fel ne tunjon, hogy o volt az:-) Viccen kivul,
tobb komoly fejleszto jelezte, hogy vagy lassitanak a fiuk, vagy nem fognak
-CURRENT-re fejleszteni, mert ugy nem lehet dolgozni, hogy azert kell
kuzdened naponta, hogy a gep egyaltalan elinduljon. Soren eseteben pedig
egy rovid valsagos napig meg talan az is felmerult, hogy lehet, hogy itthagy
bennunket, es ha akkor nincs phk aki honfitarsa segitsegere siet... a
cvs-all lista archivumaban elegge erdekes levelek talalhatok. Ezert most
eppen a futyoreszos-reszelgetos korszakban vagyunk megint: itt egy gcc
upgrade a prerelease-rol a release-re, ott egy OpenSSH upgrade, amott egy
5.0-as gdb import elokeszitese, meg ilyenek. Mindenki elvan es nem zavarja
a masikat. Meg azert volt egy jelentosebb valtozas ma a hangkartyadriverben
es egy nagy POSIX miatti header file tisztogatasi akcio, egy TI-RPC
implementacio behozatala, aminek eredmenyekeppen a romok eltakaritasa meg
most is folyamatban van:-) stb. De a falrengeto melo bizonytalan ideig
megint all. Es persze mar beindult a fantazialas arrol, hogy mi lesz majd a
6.0-ban... tartok tole, hogy az 5.0 olyan lesz, mint a 2.4-es Linux kernel,
baromi sokaig keszulget majd... igaz ha utana olyan pozitiv fogadtatasban
is reszesul majd mint az akkor... (bar megjegyzem, hogy nalunk mar
sikeresen lefagyasztotta a koli szerveret SMP hibak miatt...  grrrrrr...)

Egyszoval en nagyon realisnak tartom, hogy meg osz vegen is -CURRENT lesz
az 5.0, mivel nyaron amugy is pang a melo, a sok vakacio...

> > a -CURRENT forrasaba idonkent. (mint pl nemregen. De ne, ezert ne
> > kezdjen el senki -CURRENT-re frissiteni, csak egy library API-rol van
> > szo...)
> Pedig lehet emiatt frissiteni, mert ha a CVS-ben nincs is meg benne minden
> patchek vannak es probalgatni mar lehet.

Ha neked van kedved hozza, hogy naprakesz legyel a "jujj! Kiprobaltam a
-CURRENT-et mert azt mondtatok tok jo es most nem indul a gepem!" osszes
lehetseges, neha oraraol-orara valtozo okaibol, akkor csak tessek, biztasd
az embereket... nekem eleg ha magamra tudok vigyazni. A statisztika azt
mutatja, hogy mindig a legtapasztalatlanabb es legvedtelenebb emberek
szivjak be azokat a -rendszerint ket oranal nem tovabb fennallo- hibakat,
amik miatt nem fordul le, nem bootol, nem mukodik, panicol, stb. Es ne
mondd, ilyen rengeteg van. Ha valaki mar rutinos, akkor el tudja donteni,
hogy mik azok a valtoztatasok amik utan jobb kivarni az ejszaka veget a
nagy to tulpartjan, hatha kidol a liszt... arrol nem beszelve, hogy
-CURRENT-et nem lehet csakugy "kiprobalni" (felteve, hogy nem szandekozol
full reinstallokat csinalni adott esetben surun) az egy eletforma. Olvasni
kell hozza legalabb ket, relative nagy forgalmu levlistat, es en abban se
vagyok biztos, hogy a -stable listan hanyan vannak fenn kis hazankbol, de
korabban azt tapasztaltam, hogy nem lehettunk sokan. Es frissiteni kell,
mindig, legkesobb ket-haromnaponta, mert senkit nem erdekel, hogy mi baja
az egy honappal ezelotti -CURRENT-ednek... es persze nem szabad, hogy
zavarjon, ha hirtelen megvaltozik mondjuk a libc verzioszama, vagy eppen
nem de megis inkompatibilis lesz es ezert mindent ujra kell forditani.
Persze package-kkel nem lehet csalni, mert azok nincsenek. Nem tudom,
hanyan forditottak pl mar le az X-et a gepukon portbol... szoval ilyenek.

De igen, ha valaki ennek ellenere vallalja ami ezzel jar es azt is, hogy ha
baj van akkor egy ertelmes bug-reportot allit ossze crash dumppal, gdb-vel
es ami jar es elkuldi a -current listara es segit megoldani a problemat
azzal, hogy teszteli az uj kodot a gepen, akkor tenyleg lehet jonni mert
valodi tesztelokre nagy szuksege van a -CURRENT-nek. Hasznalok sajnos meg
varjanak, mert az o idejuk meg kesobb kovetkezik csak el. 5.0-bol is lesz
majd BETA meg RC-k mielott megjelenik.

Udv:
Sz.    
-- 
-------------------------------------------------------------------------------
* Adam Szilveszter * JATE Szeged * email: sziszi at petra.hos.u-szeged.hu *
* Honlap : nincs * alternativ email: sziszi at bsd.hu *
* PGP kulcs: Fingereld a sziszi at petra.hos.u-szeged.hu cimet! *
* FreeBSD: tisztabb, szarazabb, biztonsagosabb erzes...! *