# glsa-check: что происходит? Поддержка осуществляется?

## fank

https://bugs.gentoo.org/show_bug.cgi?id=170784

https://bugs.gentoo.org/show_bug.cgi?id=182990

https://bugs.gentoo.org/show_bug.cgi?id=190397

https://bugs.gentoo.org/show_bug.cgi?id=256103

https://bugs.gentoo.org/show_bug.cgi?id=256013

https://bugs.gentoo.org/buglist.cgi?quicksearch=glsa-check

предлагаю ознакомиться с вышеприведенными ссылками всем, кто заинтересован в установке gentoo на серверы

никакого ответа от разработчиков

несколько лет никто уже этим не занимается

какие есть мысли?

----------

## zvn

Поискал по gentoolkit на bugs.gentoo.org, вроде на проблемы в пакете реагируют, м.б. не на любую проблему, посмотрел ChangeLog самого пакета и ebuild-а, да с прошлого года не меняли.

В крайнем случае, можно самостоятельно анализировать /usr/portage/metadata/glsa на предмет package name и vulnerable range

----------

## fank

да просто творится хрень какая-то

то RSBAC им уже не в тему

то просто элементарно забили на самый главный тул по секурити

тут из дерева удаляют пачками пакеты, в которых пару месяцев баги не закрывают

а здесь вообще альтернатив никаких нету

security team там что, забухала совсем?

видимо, скоро придется сваливать на что-нить другое

а жаль, ибо система неплохая для серверов

----------

## zvn

а может быть, если Вы осознаёте проблему и можете её решать, имеет смысл присоединиться к security team?

----------

## fank

мой работодатель будет несогласен

мне нужно делать работу, используя уже готовые инструменты

ежели каждый начнет писать свою утилиту cp, то ничего хорошего не выйдет

если граждане из gentoo development team позиционируют свою систему как production ready, то отсутствие стандартных средств аудита безопасности никоим образом не подтверждает серьезность команды в поддержке системы

----------

## fank

https://bugs.gentoo.org/show_bug.cgi?id=256103#c5

ну разве ж это серьезно....

блин, сижу тут сам эти патчи вручную накладываю

дописываю ебилды

а серваков уже с десяток и на каждом нужно это все сделать вручную - как минимум скопировать оверлей и обновить софтину

плюс патчи чего-то не накладываются из ебилда

ну наверное одному челу было бы проще накатить все эти патчи и мне потом обновить одной командой

P.S. На десктопной машине стоит убунта и никаких проблем...

----------

## ArtSh

А у меня на десктопной машине стоит генту. И я на ней работаю работу. Что мне делать?

P.S. Я пытался максимально скопировать стиль fank

----------

## zvn

Если выкладываются ссылки, то, хотя бы нужно пояснить по ним что-то. Затем сообщить о своей персональной проблеме, т.к. если персональная проблема не сформулирована, то тем, у кого её нет в помине, трудно понять, в чём дело. 

Насчёт "работодатель будет не согласен". Вы и он знали на что шли: рассматриваемый дистрибутив не является готовым инструментом, это конструктор инструментов. 

Насчёт cp я согласен, свою писать не надо (хотя, к примеру, несмотря на gzip есть pigz). 

Что касается граждан, то надо стремиться с ними общаться, объяснять, в чём проблема. Если не реагируют на bugs.gentoo.org, то необходима эскалация, Вашими руками.

Про "блин, сижу тут сам эти патчи вручную накладываю", "дописываю ебилды", "как минимум скопировать оверлей и обновить софтину

плюс патчи чего-то не накладываются из ебилда". Из того, что написано, совсем не ясно, что Вы конкретно и с чем делаете и как Вы к этому пришли. Хотя, я примерно догадываюсь, самому иногда в голову приходило - скопировать всё дерево в оверлей локальный. Ну так ведь это Ваш оверлей. и файлы патчей Вам туда никто не скопирует, кроме Вас.

"тут из дерева удаляют пачками пакеты, в которых пару месяцев баги не закрывают " - в коммерческом дистрибутиве включенные в дистрибутив пакеты, разработчики которых ушли в небытие, патчат такие пакеты своими силами, за эти патчи платят. Здесь пакет могут удалить, а вместо него вставить другой. Вот пользовался я vncviewer от realvnc.com, теперь от tightvnc.com

"убунта на десктопе и никаких проблем". Знаю одного человека, для которого любая вещь/человек через год или два - дерьмо, причины всегда найдутся (зачастую мелкие, я бы сказал из пальца высосанные), т.е. по любому поводу "фррр". Я жду, когда у него наступит черёд фразы "убунта - дерьмо". Причём я сам фанатом какого-либо дистра не являюсь. Где надо винду и готовы платить - будет винда. Где надо и готовы платить - коммерческий линух. А где надо - основанный на community конструктор. Проще говоря, Вы переведите неделимую группу серваков своих или кластер на убунту и сравнивайте, что лучше для Вас в этой части, потому что нет ничего вечного, тем более в IT, всё равно когда-то менять придётся.

----------

## fank

```
Что касается граждан, то надо стремиться с ними общаться, объяснять, в чём проблема. Если не реагируют на bugs.gentoo.org, то необходима эскалация, Вашими руками.
```

предложи хоть один способ эскалации?

 *Quote:*   

> Про "блин, сижу тут сам эти патчи вручную накладываю", "дописываю ебилды", "как минимум скопировать оверлей и обновить софтину 
> 
> плюс патчи чего-то не накладываются из ебилда". Из того, что написано, совсем не ясно, что Вы конкретно и с чем делаете и как Вы к этому пришли. Хотя, я примерно догадываюсь, самому иногда в голову приходило - скопировать всё дерево в оверлей локальный. Ну так ведь это Ваш оверлей. и файлы патчей Вам туда никто не скопирует, кроме Вас.

 

все патчи давно лежат в багзилле

годами....

 *Quote:*   

> "тут из дерева удаляют пачками пакеты, в которых пару месяцев баги не закрывают " - в коммерческом дистрибутиве включенные в дистрибутив пакеты, разработчики которых ушли в небытие, патчат такие пакеты своими силами, за эти патчи платят. Здесь пакет могут удалить, а вместо него вставить другой. Вот пользовался я vncviewer от realvnc.com, теперь от tightvnc.com

 

речь идет о БЕЗАЛЬТЕРНАТИВНОМ софте, без которого НЕВОЗМОЖНО минимально удобное управление десятком серверов

 *Quote:*   

> Проще говоря, Вы переведите неделимую группу серваков своих или кластер на убунту и сравнивайте, что лучше для Вас в этой части, потому что нет ничего вечного, тем более в IT, всё равно когда-то менять придётся.

 

не будет больших трудностей, по опыту знаю... кроме того, по тому же опыту у меня убунта не перетирает конфиги в /etc/apache

----------

## fank

 *ArtSh wrote:*   

> А у меня на десктопной машине стоит генту. И я на ней работаю работу. Что мне делать?
> 
> P.S. Я пытался максимально скопировать стиль fank

 

если не секрет, что за работа?

----------

## fank

 *Quote:*   

> Из того, что написано, совсем не ясно, что Вы конкретно и с чем делаете и как Вы к этому пришли. Хотя, я примерно догадываюсь, самому иногда в голову приходило - скопировать всё дерево в оверлей локальный. Ну так ведь это Ваш оверлей. и файлы патчей Вам туда никто не скопирует, кроме Вас.

 

из этого я могу только сделать вывод о том, что еще ни одного ebuild скрипта ты еще не написал

ну, а конструктивные мысли будут?

----------

## ArtSh

 *fank wrote:*   

>  *ArtSh wrote:*   А у меня на десктопной машине стоит генту. И я на ней работаю работу. Что мне делать?
> 
> P.S. Я пытался максимально скопировать стиль fank 
> 
> если не секрет, что за работа?

 

Чтение статей и книг, написание статей, обработка данных, подготовка презентаций. А у Вас?

----------

## zvn

 *fank wrote:*   

> 
> 
> предложи хоть один способ эскалации?
> 
> 

 

для начала, эй Вы, опишите свою проблему, только без истерики

----------

## zvn

 *fank wrote:*   

> 
> 
>  *Quote:*   Проще говоря, Вы переведите неделимую группу серваков своих или кластер на убунту и сравнивайте, что лучше для Вас в этой части, потому что нет ничего вечного, тем более в IT, всё равно когда-то менять придётся. 
> 
> не будет больших трудностей, по опыту знаю... кроме того, по тому же опыту у меня убунта не перетирает конфиги в /etc/apache

 

Тогда вперёд. Никто ничем Вам не обязан, вроде.

----------

## zvn

 *fank wrote:*   

>  *Quote:*   Из того, что написано, совсем не ясно, что Вы конкретно и с чем делаете и как Вы к этому пришли. Хотя, я примерно догадываюсь, самому иногда в голову приходило - скопировать всё дерево в оверлей локальный. Ну так ведь это Ваш оверлей. и файлы патчей Вам туда никто не скопирует, кроме Вас. 
> 
> из этого я могу только сделать вывод о том, что еще ни одного ebuild скрипта ты еще не написал
> 
> ну, а конструктивные мысли будут?

 

Да, как то обошлось без написания, и всё хорошо работает. Конструктив в ответ на конструктив. Приведите конкретно ссылки с багзиллы Ваших обращений по поводу проблемы.

----------

## zvn

 *fank wrote:*   

> 
> 
> ну, а конструктивные мысли будут?

 

В качестве затравки, требуется коррекция паранойяльно-истероидного базиса.

----------

## fank

 *ArtSh wrote:*   

>  *fank wrote:*    *ArtSh wrote:*   А у меня на десктопной машине стоит генту. И я на ней работаю работу. Что мне делать?
> 
> P.S. Я пытался максимально скопировать стиль fank 
> 
> если не секрет, что за работа? 
> ...

 

дык....

серверы, все hard production, все нужно обновлять каждый день, а лучше ежечасно

glsa-check -m affected в cron.hourly просто спасает

патч с подавлением тупого вывода:

```
glsa-check -l affected

[A] means this GLSA was already applied,

[U] means the system is not affected and

[N] indicates that the system might be affected.
```

при использовании -m есть в багзилле

https://bugs.gentoo.org/show_bug.cgi?id=182990

этим патчам более полугода

плюс если из крона скрипт выполняется, то еще и варнинг есть

патч есть в багзилле

https://bugs.gentoo.org/show_bug.cgi?id=256103

здесь они ваще прелдагают какой-то долбаный rc5 поставть вместо того, чтобы поправить 2 СТРОКИ

И ЭТО ПОСЛЕ 3 МЕСЯЦЕВ после выкладывания патча из 2 строк

во блин....

е-мае, они даже на сайте один линк поправить не могут

https://bugs.gentoo.org/show_bug.cgi?id=256013

ну, как минимум несолидно...

----------

## ArtSh

 *fank wrote:*   

> 
> 
> серверы, все hard production, все нужно обновлять каждый день, а лучше ежечасно
> 
> 

 

Как обновляться ежечасно без тестирования обновления? Какой же это production? Может быть это hard testing? Если апстрим накосячит, Вы тоже будете на команду gentoo "бочку катить"? Мне, например, обновляться часто приходиться только для специфических приложений, так как в них появляются нужные мне возможности, иначе — лучше не трогать.

 *fank wrote:*   

> 
> 
> glsa-check -m affected в cron.hourly просто спасает
> 
> патч с подавлением тупого вывода:
> ...

 

И понадобилось то, всего три дня и несколько провакационных постов!

----------

## fank

 *Quote:*   

> Как обновляться ежечасно без тестирования обновления? Какой же это production? Может быть это hard testing? Если апстрим накосячит, Вы тоже будете на команду gentoo "бочку катить"? Мне, например, обновляться часто приходиться только для специфических приложений, так как в них появляются нужные мне возможности, иначе — лучше не трогать. 

 

имелось в виду, разумеется, не обновление как таковое, а уведомление об обновлении

затем, естественно, тест и процедура обновления на продакшне

все это занимает несколько часов, но если найдена удаленная уязвимость, то мне нужно закрыть её как можно быстрее, вплоть до ручного пропатчивания, благо внедрить патч в ebuild нет никаких проблем

удручает, что такое отношение разрабов не облегчает жизнь

люди, я никого не хотел провоцировать

и если вам эти проблемы кажутся далекими, не уподобляйтесь обитателям ЛОРа - никому не интересны ваши ЧЯДНТ

если есть какие-то сведения об этой ситуации, то хотелось бы их услышать

может, есть другой проект или что-нить подобное

----------

## fank

ну, а о положении с некоторыми вещами в gentoo  я лично считаю необходимым уведомить здешних посетителей-участников форума

например, для того, чтобы когда наконец дойдет время до выбора дистрибутива для production use, люди могли оценить уровень поддержки, а не тупо ставили то, что знают лучше всех

P.S. Я так понял, тема заглохла.... Набежали дети и обвинили меня в некомпетентности, при этом не высказав ни одной трезвой идеи

----------

## ArtSh

 *fank wrote:*   

> ну, а о положении с некоторыми вещами в gentoo  я лично считаю необходимым уведомить здешних посетителей-участников форума
> 
> например, для того, чтобы когда наконец дойдет время до выбора дистрибутива для production use, люди могли оценить уровень поддержки, а не тупо ставили то, что знают лучше всех
> 
> P.S. Я так понял, тема заглохла.... Набежали дети и обвинили меня в некомпетентности, при этом не высказав ни одной трезвой идеи

 

Трезвые мысли:

1. самому следить за объявлениями безопасности из разных источников, а не только из glsa-check.

2. нанять специальных людей (т.е. купить техподдержку, например у RadHat, или Novell, т.к. они предоставляют техподдержку на русском языке).

----------

## ArtSh

 *fank wrote:*   

>  *Quote:*   Как обновляться ежечасно без тестирования обновления? Какой же это production? Может быть это hard testing? Если апстрим накосячит, Вы тоже будете на команду gentoo "бочку катить"? Мне, например, обновляться часто приходиться только для специфических приложений, так как в них появляются нужные мне возможности, иначе — лучше не трогать.  
> 
> имелось в виду, разумеется, не обновление как таковое, а уведомление об обновлении
> 
> затем, естественно, тест и процедура обновления на продакшне
> ...

 

Gentoo — исключительно community-мета-дистрибутив. Т.е. здесь нет людей, которые будут следить и исправлять специфические ошибки, важные для Вас, 24 часа в сутки. Соответственно: или Вы сами занимаетесь этим (Ваш персонал), или Вы покупаете техподдержку.

----------

