В списке рассылки full-disclosure представлена (http://lists.grok.org.uk/pipermail/full-disclosure/attachmen...) критическая уязвимость в используемой во FreeBSD 4.x версии OpenSSH, позволяющая удаленному злоумышленнику без аутентификации получить root-доступ к системе. Уже создан и публично опубликован эксплоит, позволяющий получить привилегированный shell на подверженных уязвимости серверах.
Уязвимость проявляется для протоколов SSH1 и SSH2. Проблема вызвана ошибкой в реализации аутентификации с использованием PAM на платформе FreeBSD. Проблема присутствует в функции "pam_thread()" из файла auth2-pam-freebsd.c. Начиная с версии FreeBSD 5.2 содержащий уязвимость файл auth2-pam-freebsd.c (http://www.freebsd.org/cgi/cvsweb.cgi/src/crypto/openssh/Att...) был заменен новой реализацией, т.е. с большой долей вероятности можно утверждать, что новые версии FreeBSD проблеме не подвержены. 100% уверенности пока нет, так как точно не ясно...URL: http://lists.grok.org.uk/pipermail/full-disclosure/2011-June...
Новость: http://www.opennet.me/opennews/art.shtml?num=31053
Надеюсь всех идиотов которые не обновляют систему как следует поимеют.
Остается только вопрос не поимеют ли остальных, которые обновляю :)
> Остается только вопрос не поимеют ли остальных, которые обновляю :)Заметьте - обновление непричем. Других спасло лишь то что другая реализация pam в более свжеей версии. Дыры не было много лет
Замечаю: пока не подтверждено что остальных поиметь нельзя. Ваши заявы будут уместны когда и если такое подтверждение будет, не ранее. А для этого код надо бы проаудитить.
Очень много где юзается ветка 4х не смотря на то что 5.0 вышла в 2003 году. Почему вы называете идиотами тех, кто нашел этот баг, через gdb изучил coredump и опубликовал информацию? Если бы у них не стояла не обновленная 4.х, багу бы не нашли. А между тем они не идиоты
> Очень много где юзается ветка 4х не смотря на то что 5.0
> вышла в 2003 году. Почему вы называете идиотами тех, кто нашел
> этот баг, через gdb изучил coredump и опубликовал информацию? Если бы
> у них не стояла не обновленная 4.х, багу бы не нашли.
> А между тем они не идиотыМного лет в ветке 4 существовал remote root в единственном сервисе, который
оставляют открытым большинство админов.
Чтото мне подсказывает что дыру слили в связи с потерей актуальности.
Сколько таких еще осталось?
> Сколько таких еще осталось?"После узнаете..."
не путайте 5.0 и 5.3
5.0 была объявлена как система не для промышленного использования
5.3 же вышла в ноябре 2004 (согласен, тоже довольно давно) и стала первым релизом в ветке 5-STABLE
> Надеюсь всех идиотов которые не обновляют систему как следует поимеют.Обновить четверку до пятерки и выше - тоже идиотизм порядочный. Вплоть до четверки включительно фряша была великолепной серверной осью, лучшей из свободных. А потом она умерла.
Поэтому четверки сейчас еще дофига где используются.
Обоснуйте, что же случилось с этой прекрасной осью после 4-ой ветке такого и что привело к "гибели"?)))
> Обоснуйте, что же случилось с этой прекрасной осью после 4-ой ветке такого
> и что привело к "гибели"?)))Слова анонимуса о смерти FreeBSD после 4.х немного преувеличены)
Просто, если кратко, FreeBSD 4 и FreeBSD 5 - это как firefox 3.6 и firefox 4.
Перешли с одноядерности на многоядерность, плюс внедрили ещё несколько инноваций.
И всплыло очень много косяков и несовместимых моментов.
Особенно доставила неприятностей дисковая подсистема, которая в 5.0 стала в разы медленнее, чем в 4.х.
Плюс неприятно было, когда после установки из портов некоторые программы не работали, изза того, что не находили системные файлы.
Приходилось догоняться симлинками.
Более менее косяки поправили в 5.3-5.4.
Могу предположить, что после таких приколов какие-то пользователи решили, что система умерла, и перестали с ней работать.
>> Обоснуйте, что же случилось с этой прекрасной осью после 4-ой ветке такого
>> и что привело к "гибели"?)))
> Слова анонимуса о смерти FreeBSD после 4.х немного преувеличены)
> Просто, если кратко, FreeBSD 4 и FreeBSD 5 - это как firefox
> 3.6 и firefox 4.
> Перешли с одноядерности на многоядерностьБыла в 4.x многоядерность. В 5.x, если правильно помню (не следил, только слышал) в диспетчере процессов и проч. основательно покопались, из-за чего, кажется, Дилон и форкал именно 4-ку.
> Была в 4.x многоядерность.Была gian lock, из за которой все что работает в ядре работало только на одном ядре. Одновременно на нескольких процессах работали только пользовательские процессы (но не надо забывать что они часто делаю сисколы и часть времени проводят в ядре, которое тогда работало только на одном ядре).
В 5-ке начали по не многу избавляться от gain lock.
Дилон форкнул 4-ку не потому что 4-ка была хороша, я потому что он хотел реализовать совсем другой механизм многозадачности (не как во freebsd 5+).
> Была gian lock
> В 5-ке начали по не многу избавляться от gain lock.какие ещё gian и gain?
> на нескольких процессах работали только пользовательские процессы
процессы на процессах?
> какие ещё gian и gain?Опечатка, имелась ввиду Giant lock
тут есть пара слов про Giant lock:
http://www.watson.org/~robert/freebsd/2005eurobsdcon/2005112...
> И всплыло очень много косяков и несовместимых моментов....
> Особенно доставила неприятностей дисковая подсистема, которая в 5.0 стала в разы медленнее, чем в 4.х.1. 5-ка вообще была не очень удачной веткой и многие переходили с 4-ки сразу на 6-ку.
2. Дисковая подсистема в 8-ке с AHCI должна работать значительно быстрее чем в 4-ке.
>> И всплыло очень много косяков и несовместимых моментов.
> ...
>> Особенно доставила неприятностей дисковая подсистема, которая в 5.0 стала в разы медленнее, чем в 4.х.
> 1. 5-ка вообще была не очень удачной веткой и многие переходили с
> 4-ки сразу на 6-ку.
> 2. Дисковая подсистема в 8-ке с AHCI должна работать значительно быстрее чем
> в 4-ке.Кто проделывал эксперимент: создаем зеркало через геом потом перевоим диски в AHCI. Геом слетит ? правка /etc/fstab нужна ? (нету винда чтоб поэксперементировать ...)
> Кто проделывал эксперимент: создаем зеркало через геом потом перевоим диски в AHCI.
> Геом слетит ? правка /etc/fstab нужна ? (нету винда чтоб поэксперементировать
> ...)Проделывал много раз, ничего не слетает. В /etc/fstab нужно править только ad[0-9]
Если там /dev/mirror/foo то ничего править не надо.Исключение составляет только случай если зеркало создавалось через gmirror label -h ...
(Hardcode providers' names in metadata), но так делать не рекомендуется безотносительно перехода на ahci. К тому же это легко лечится через gmirror configure -d ...
В head уже ничего править не надо:ada0 at ahcich0 bus 0 scbus0 target 0 lun 0
ada0: <ST3500413AS JC45> ATA-8 SATA 3.x device
ada0: 300.000MB/s transfers (SATA 2.x, UDMA6, PIO 8192bytes)
ada0: Command Queueing enabled
ada0: 476940MB (976773168 512 byte sectors: 16H 63S/T 16383C)
ada0: Previously was known as ad4ну и
ll /dev/ad4
lrwxr-xr-x 1 root wheel 4 Jun 10 13:21 /dev/ad4 -> ada0
>[оверквотинг удален]
> ada0 at ahcich0 bus 0 scbus0 target 0 lun 0
> ada0: <ST3500413AS JC45> ATA-8 SATA 3.x device
> ada0: 300.000MB/s transfers (SATA 2.x, UDMA6, PIO 8192bytes)
> ada0: Command Queueing enabled
> ada0: 476940MB (976773168 512 byte sectors: 16H 63S/T 16383C)
> ada0: Previously was known as ad4
> ну и
> ll /dev/ad4
> lrwxr-xr-x 1 root wheel 4 Jun 10 13:21 /dev/ad4
> -> ada0А в биосе что стоит ?
> А в биосе что стоит ?AHCI
> Кто проделывал эксперимент: создаем зеркало через геом потом перевоим диски в AHCI.
> Геом слетит ? правка /etc/fstab нужна ? (нету винда чтоб поэксперементировать
> ...)Я и на GEOM Mirror/Label, и на GPT/ZFS проделывал — ничего не слетало.
iZEN курит настолько ядреную траву что видит ZFS даже в freebsd 4...
> Кто проделывал эксперимент: создаем зеркало через геом потом перевоим диски в AHCI. Геом слетит ? правка /etc/fstab нужна ? (нету винда чтоб поэксперементировать ...)где здесь про FreeBSD 4????
> Обновить четверку до пятерки и выше - тоже идиотизм порядочный. Вплоть до четверки включительно фряша была великолепной серверной осью, лучшей из свободных.Вплоть до четвёрки она была даже для того времени архаичным однопроцессорным гoвнoм с поголовной тухлятиной в base system, и сейчас эту rадость вы можете частично наблюдать в dragonfly. А начиная с пятёрки система наконец-то стала развиваться, и вот сейчас мы имеем систему действительно лучшую из свободных.
> Поэтому четверки сейчас еще дофига где используются.
Там где админа давно турнули за несоответствие. Так и DOS дофига где используется.
>Там где админа давно турнули за несоответствие. Так и DOS дофига где используется.Скорее просто турнули, посчитав не нужным элементом, или заменили на более дешевого болванчика.
Ну то что 4-ка была гамном это сильно сказано, то что её apple и juniper форкнули именно 4-ку говорит все таки в пользу того, что 4-ка была неплохой совсем
8-ку тогда форкнуть не могли по вполне понятным причинам
> 8-ку тогда форкнуть не могли по вполне понятным причинамРазве тогда не было Time Machine?
> Разве тогда не было Time Machine?Да сколько уже можно объяснять? Что значит тогда не было? Всё ведь просто:
1) Джобс в 2063 покупает Time Machine.
2) Едет на ней в 2011.
3) Берёт исходники 8-ки.
4) Едет ещё дальше в прошлое (не слежу га историями всяких iOS).
5) Форкает 8-ку.
6) Profit.
>> Разве тогда не было Time Machine?
> Да сколько уже можно объяснять? Что значит тогда не было? Всё ведь
> просто:
> 1) Джобс в 2063 покупает Time Machine.
> 2) Едет на ней в 2011.
> 3) Берёт исходники 8-ки.
> 4) Едет ещё дальше в прошлое (не слежу га историями всяких iOS).
> 5) Форкает 8-ку.
> 6) Profit.То есть по этой логике получается, что с 2011-го по 2063-й система развиваться совсем не будет? Иначе он мог бы взять какую-нибудь "крутейшую" 19-ку в 2058...
> То есть по этой логике получается, что с 2011-го по 2063-й система
> развиваться совсем не будет? Иначе он мог бы взять какую-нибудь "крутейшую"
> 19-ку в 2058...По этой логике в будущем фря будет работать совсем на другом железе.
> Вплоть до четвёрки она была даже для того времени архаичным однопроцессорным гoвнoм
> с поголовной тухлятиной в base system, и сейчас эту rадость вы
> можете частично наблюдать в dragonfly.У DragonFly в авторах Мэтью Диллон
И?
У Человека есть _имя_ ... но ты - не поймешь. (И я тоже :)
да нет, ничего, спите дальше.
DFBSD далеко не однопроцессорное говно
> DFBSD далеко не однопроцессорное гoвнoМногопроцессорное гoвно?!
логин из 100 символов вызывает переполнение буфера??? это же классическая уязвимость! она в любом соответствующей литературе расписана. как её можно было не найти за десять лет эксплуатации?
> логин из 100 символов вызывает переполнение буфера??? это же классическая уязвимость! она в любом соответствующей литературе расписана. как её можно было не найти за десять лет эксплуатации?А кто сказал, что за 10ть лет её не нашли? Нашли и опубликовали - это не тождественные сущности :)
гыгы. работает:)
pid 7535 (sshd), uid 0: exited on signal 11
4.11p13 ;-)
Не работает.
4.11-STABLE, OpenSSH_3.5p1 FreeBSD-20060930.
+1.
FreeBSD 4.9-STABLE
sshd version OpenSSH_3.5p1 FreeBSD-20030924
Ух!! А ведь кто-то знал, да. Ещё в те, далёкие. Знал и молчал.
> молчал.И pwn'ил снобастых бздельников, наверное. В то время как они наивно загибали пальцы по поводу того какие они там неломаемые.
>> молчал.
> И pwn'ил снобастых бздельников, наверное. В то время как они наивно загибали
> пальцы по поводу того какие они там неломаемые.Завтра найдут такое же в линуксе - что будешь делать снобастик? Надеюсь пойдёшь топиться :)
PS: В любой системе есть дыра. Аксиома.
Найди дыру в абаке :)
> Найди дыру в абаке :)Учитывая, что к абаку изначально имеется физический доступ, то тут о секурности как-то и говорить нечего...
> Найди дыру в абаке :)Я найду дыру хоть в титановом шарике, если алмазное сверло есть :P.
>>> молчал.
>> И pwn'ил снобастых бздельников, наверное. В то время как они наивно загибали
>> пальцы по поводу того какие они там неломаемые.
> Завтра найдут такое же в линуксе - что будешь делать снобастик? :)Не надо. Не сыпьте соль на раны. Хватит и того, что
возможность записи более 1Гб через udf+loopback прибили в мейнстриме ядра.Что, товарищ, нога опухла? Отпилите её и не будет болеть.
Ага... Вот такие пироги...
>>>> молчал.
>>> И pwn'ил снобастых бздельников, наверное. В то время как они наивно загибали
>>> пальцы по поводу того какие они там неломаемые.
>> Завтра найдут такое же в линуксе - что будешь делать снобастик? :)
> Не надо. Не сыпьте соль на раны. Хватит и того, что
> возможность записи более 1Гб через udf+loopback прибили в мейнстриме ядра.не советуйте плохого; про фантомные боли почитайте
> Что, товарищ, нога опухла? Отпилите её и не будет болеть.
> Ага... Вот такие пироги...
а это не он советует... это разработчики...
>>> молчал.
>> И pwn'ил снобастых бздельников, наверное. В то время как они наивно загибали
>> пальцы по поводу того какие они там неломаемые.
> Завтра найдут такое же в линуксе - что будешь делать снобастик? Надеюсь
> пойдёшь топиться :)Честные снобы себя перетопили ещё после истории с неслучайным генератором случайного числа 1 в Дебиане. А это то, что осталось плавать.
> PS: В любой системе есть дыра. Аксиома.
> Честные снобы себя перетопили ещё после истории с неслучайным генератором случайного числа
> 1 в Дебиане. А это то, что осталось плавать.я тебе открою секрет: бебиан — не единственный дистрибутив.
> я тебе открою секрет: бебиан — не единственный дистрибутив.А я как бы не удивлюсь. Иначе б откуда бы вылезло нетонущее снобьё выше по ветке...
> Честные снобы себя перетопили ещё после истории с неслучайным генераторомКэп сообщает что это все-таки не гарантированный ремотный рут, в отличие от.
У меня не работает :( хотя версия именно 3.5р1
OpenSSH на таких системах по-любому должен был обновляться, из-за других проблем (меньших, но всё равно чувствительных). Более того, любимая в народе FreeBSD 4.11 вышла в декабре 2004 года, то есть уже тогда был доступен OpenSSH 3.9. Так что да, ленивые админы, гордящиеся многолетним аптаймом, идут лесом.
аптайм и своевременное обновление друг другу не мешают
> аптайм и своевременное обновление друг другу не мешаютВообще-то мешают. Обновление ядра (про технологии вроде ksplice я в курсе, но как по мне — это лишняя потенциальная дыра в безопасности), обновление firmware контроллера, переезд в новую стойку, замена проседающего БП (резервные БП это хорошо, но иногда дорого, и зачастую вызывает проблемы со временем из-за разборда с совместимостью)... Да и после больших обновлений лучше ребут делать самому, заранее всех предупредив, чтобы проверить уверенность поднятия обновлённых сервисов, чем бояться, что потом в неожиданный момент всё это грохнется. Полгода-год — нормальный аптайм, больше — нехороший признак.
полностью согласен.
При обновлении OpenSSH у нормальных админов аптайм не слетает :-)
> При обновлении OpenSSH у нормальных админов аптайм не слетает :-)Спасибо, кэп. :)
Ну вот это уже совсем уже пушка!
А что такого не может 8-STABLE, что может 4.1? Сдается мне что только архаизм и снобизм мешает некотором обновить систему до нынешней стабильной. Или что то еще? Не надо говорить "была лучше, а потом умерла" (это снобизм как раз), давайте выкладывайте чем 4.1 лучше, и что я щас с 8-S потерял.
> Ну вот это уже совсем уже пушка!
> А что такого не может 8-STABLE, что может 4.1? Сдается мне что
> только архаизм и снобизм мешает некотором обновить систему до нынешней стабильной.
> Или что то еще? Не надо говорить "была лучше, а потом
> умерла" (это снобизм как раз), давайте выкладывайте чем 4.1 лучше, и
> что я щас с 8-S потерял.Тёплая ламповая 4-ка же! А 8-ка - бездушная и холодная транзисторная.
Снобизм. С тем же успехом я говорю: "Ламповая 8-ка, 4-ка дырявая старая рухлядь". Ещё аргументы?
> Снобизм. С тем же успехом я говорю: "Ламповая 8-ка, 4-ка дырявая старая
> рухлядь". Ещё аргументы?А почему вы меня спрашиваете? У меня вообще 9-ка.
> Снобизм. С тем же успехом я говорю: "Ламповая 8-ка, 4-ка дырявая старая
> рухлядь". Ещё аргументы?<sarcasm>Всё-таки надо вводить тег</sarcasm>
лучше irony
> Ну вот это уже совсем уже пушка!
> А что такого не может 8-STABLE, что может 4.1? Сдается мне что
> только архаизм и снобизм мешает некотором обновить систему до нынешней стабильной.
> Или что то еще? Не надо говорить "была лучше, а потом
> умерла" (это снобизм как раз), давайте выкладывайте чем 4.1 лучше, икак минимум это приличный даунтайм (обновить то что _уже_ работает годы) до адекватной версии ос. Кроме того, есть различные говнорешения, купленные когда-то за деньги, не всегда получается убедить руководство в том что нечто древнее и работающее хуже чем новое и хз работающее ли.
> что я щас с 8-S потерял.
таки известны случаи инсталляций 4.х вместо 7.х/8.х _сейчас_ ?;-)
p.s. just in case: десктоп, ноут у меня на head. сервера 7.х,8.х, но есть еще и несколько 6.х и даже одна 4.11. так вот вси эти 6ки обновлять - проще уволиться сразу.
> вот вси эти 6ки обновлять - проще уволиться сразу.Вот они, замечательные совковые одмины. Отлынивают от трудностей, надеясь на "авось". Начинают дергаться только когда в их огород залетает эксплойт и хакеры pwn'ят все подряд.
>> вот вси эти 6ки обновлять - проще уволиться сразу.
> Вот они, замечательные совковые одмины. Отлынивают от трудностей, надеясь на "авось". Начинают
> дергаться только когда в их огород залетает эксплойт и хакеры pwn'ят
> все подряд.т.е у ононима есть инфа по хотябы одной из моих pwn`утых машинах? или так просто высказался чтобы беседу поддержать?;-)
Дык ты айпишники своих хостов вывешенных в интернет опубликуй? :)
> Дык ты айпишники своих хостов вывешенных в интернет опубликуй? :)а что Вам даст эта информация? порт 22 там открыт только для trusted адресов;) собственно, наверное поэтому, оно до сих пор и живо:-)
+1.
У меня есть несколько пятёрок и одна четвёрка, их даже в виртуалки-то (VmWare ESXi) не мигрировать, проблема сразу с ядром, не знающим VmWare'вских процов и контроллеров.
> таки известны случаи инсталляций 4.х вместо 7.х/8.х _сейчас_ ?;-)Интересно, а железо, на которое встанет сейчас версия 4.x, сохранилось? К примеру, Windows 9x уже физически не может работать на современном железе из-за изменения механизма управления памятью в контроллёрах. Пробовал ставить ради эксперимента — вылетает с ошибкой ядра.
>> таки известны случаи инсталляций 4.х вместо 7.х/8.х _сейчас_ ?;-)
> Интересно, а железо, на которое встанет сейчас версия 4.x, сохранилось? К примеру,
> Windows 9x уже физически не может работать на современном железе из-за
> изменения механизма управления памятью в контроллёрах. Пробовал ставить ради эксперимента
> — вылетает с ошибкой ядра.На Xeon'ах эпохи Core 2, во всяком случае, пахала без проблем.
> физически не может работать на современном железе из-за изменения механизма управления памятью в контроллёрахЛолшто?! Джава-якобы-программисты клинические идиоты?!
>> физически не может работать на современном железе из-за изменения механизма управления памятью в контроллёрах
> Лолшто?! Джава-якобы-программисты клинические идиоты?!Ну не до такой степени!
Ставил ради эксперимента Win 95 OSR2 на машинку с чипсетом GeForce 6150 (CPU Athlon X2) — после перезагрузки после установки выпадала, что называется, в "осадок" с ошибкой ядра в VMM. Никакие манипуляции в BIOS Setup с настройками ACPI/APIC ничего не принесли. Кстати, на ней и BeOS R5 тоже не работает, симтомы схожи: что-то не так с менеджментом виртуальной памяти.
FreeBSD 6.1 завелась на ней без танцев с бубном, SATA DVD только не увидела, но это поправили в последующих версиях.А так, DOS 6.22/DOS 7.0 с дискеты восстановления работают.
>> Лолшто?! Джава-якобы-программисты клинические идиоты?!
> Ну не до такой степени!Именно до такой. Если ты выдал идиотскую фразу "физически не может" - окружащие резонно считают тебя идиотом.
А с чего вы взяли что 8 stable, это стабильная? Она для разработчиков.
Ведь RELEASE-версии считаются реди ту продакшен.
> А с чего вы взяли что 8 stable, это стабильная? Она для
> разработчиков.
> Ведь RELEASE-версии считаются реди ту продакшен.вы из другой вселенной, IMHO
http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/curre... :22.2.2.1. Что такое FreeBSD-STABLE?
FreeBSD-STABLE является нашей веткой разработки, из которой делаются основные релизы. Изменения в этой ветке происходят с разной скоростью, и при этом предполагается, что сначала они были выполнены для FreeBSD-CURRENT в целях тестирования. Однако эта ветка остаётся веткой для разработки, а это значит, что в любой момент времени исходные тексты FreeBSD-STABLE могут оказаться неприменимы для некоторой задачи. Это просто ещё одна ветка при разработке, а не ресурс для конечных пользователей.Не?
> http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/curre... :
> 22.2.2.1. Что такое FreeBSD-STABLE?
> FreeBSD-STABLE является нашей веткой разработки, из которой делаются основные релизы.
> Изменения в этой ветке происходят с разной скоростью, и при этом
> предполагается, что сначала они были выполнены для FreeBSD-CURRENT в целях тестирования.
> Однако эта ветка остаётся веткой для разработки, а это значит, что
> в любой момент времени исходные тексты FreeBSD-STABLE могут оказаться неприменимы для
> некоторой задачи. Это просто ещё одна ветка при разработке, а не
> ресурс для конечных пользователей.
> Не?Сидите на релизах. Пользуйтесь патчами безопасности. Планируйте апгрейд операционной системы раз в год-полтора.
По-мне, так лучше раз в неделю обновить установленную -STABLE версию и не бояться авралов, связанных с апгрейдом. Тем более, что коллекция портов, которую тоже нужно периодически обновлять, имеет "привязку" к -STABLE, а не к релизам.
Ага, если у тебя один компьютер.
> Ага, если у тебя один компьютер.Откройте для себя rsync /usr/local, расшаренного по NFS.
> По-мне, так лучше раз в неделю обновить установленную -STABLE версию и не
> бояться авралов, связанных с апгрейдом. Тем более, что коллекция портов, которую
> тоже нужно периодически обновлять, имеет "привязку" к -STABLE, а не к
> релизам.Где можно посмотреть на привязку?;-)
tag=. намекает, также покажи как привязать дерево, вытянутое через portsnap(8) к, например, stable/7.
ну и это. на количестве машин >10 мне что-то подсказывает что смысла заниматься ананизмом со сборкой одного и тогоже софта несколько глупо. точно также как и раз в неделю обновлять стейбл.
p.s. я не слоупок! просто в этой ветке что-то ответили на мой комент, пришлось зайти, а тут _такое_:)
>> По-мне, так лучше раз в неделю обновить установленную -STABLE версию и не
>> бояться авралов, связанных с апгрейдом. Тем более, что коллекция портов, которую
>> тоже нужно периодически обновлять, имеет "привязку" к -STABLE, а не к
>> релизам.
> Где можно посмотреть на привязку?;-)Здесь: http://www.freebsd.org/ports/
The Ports Collection supports the latest release on the FreeBSD-CURRENT and FreeBSD-STABLE branches. Older releases are not supported and may or may not work correctly with an up-to-date ports collection. Over time, changes to the ports collection may rely on features that are not present in older releases. Wherever convenient, we try not to gratuitously break support for recent releases, but it is sometimes unavoidable. When this occurs, patches contributed by the user community to maintain support for older releases will usually be committed.
http://www.freebsd.org/doc/en_US.ISO8859-1/books/faq/introdu...8.2-STABLE is the actively developed -STABLE branch. The latest release on the 8.2-STABLE branch is 8.2-RELEASE, which was released in February 2011.
The 9-CURRENT branch is the actively developed -CURRENT branch toward the next generation of FreeBSD.> tag=. намекает,
> также покажи как привязать дерево, вытянутое через portsnap(8) к, например, stable/7.Никак. Используй CVS supfile с нужным тэгом "date=".
> ну и это. на количестве машин >10 мне что-то подсказывает что смысла
> заниматься ананизмом со сборкой одного и тогоже софта несколько глупо.Действительно глупо заниматься сборкой одного и того же, если есть build-сервер, и ПО внутри локальной сети обновляется свежесобранными бинарными пакетами или тупо синхронизируется /usr/local.
> Никак. Используй CVS supfile с нужным тэгом "date=".а какую date выбирать?;) где-то есть инфа вида "вот во сторолько-то такого-то числа все билдилось и работало хорошо"? я что-то не видел;) Ну, предположим, укажу я date= за несколько минут до разморозки дерева (наиболее близкое к идеальному состояние портов), где гарантии что у меня все будет работать как нужно?;) посему tag=. и тестбокс;)
>> ну и это. на количестве машин >10 мне что-то подсказывает что смысла
>> заниматься ананизмом со сборкой одного и тогоже софта несколько глупо.
> Действительно глупо заниматься сборкой одного и того же, если есть build-сервер, и
> ПО внутри локальной сети обновляется свежесобранными бинарными пакетами или тупо синхронизируется
> /usr/local.Ну т.е. ты таки обновляешь еженедельно stable и ПО на серверах, которые в production ?
фишки стейбла - MFC, не более ( sa и errata есть для release ). Раз в неделю-две добавляют что-то нужное для тебя?;)
>> Никак. Используй CVS supfile с нужным тэгом "date=".
> а какую date выбирать?;)Какую хотите. Главное, ту, до которой не было сообщений о прекращении поддержки нужного вам порта под RELENG_7. ;)
> где-то есть инфа вида "вот во сторолько-то такого-то
> числа все билдилось и работало хорошо"? я что-то не видел;)Списки рассылки! http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ereso...
надеюсь это таки не троллинг;-)>>> Никак. Используй CVS supfile с нужным тэгом "date=".
>> а какую date выбирать?;)
> Какую хотите. Главное, ту, до которой не было сообщений о прекращении поддержки
> нужного вам порта под RELENG_7. ;)прекращение поддержки это удаление порта и добавление Removed в MOVED ? Это ничего не значит;) порт может собираться и работать (удалили, например, потому что нет distfiles на зеркалах, но у меня оно есть => могу ставить и юзать). также _не_ удаление порта не означает что, например, оно работать будет. сколько по времени jboss4 не был помечен как BROKEN после обновления ant?;) также, ради интереса, попробуй сейчас jboss5 собрать.
портов, проверяющих OSVERSION в дереве не так и много (я о тех которые действительно if ${OS_VERSION} <= xxxxxx BROKEN а не накладывающих хитрые патчи для очень старых версий/head и(или) задающих доп.опции)
>> где-то есть инфа вида "вот во сторолько-то такого-то
>> числа все билдилось и работало хорошо"? я что-то не видел;)
> Списки рассылки! http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ereso...я читаю рассылки, не только ports@, спасибо. Вероятность того что там будет письмо о том что порт_который_юзается_2_человеками_на_планете не работает после обновления зависимости, крайне низкая.
Похоже у кого-то истёк срок Non Disclosure Agreement :)