userauth_pubkey

Victor Sudakov написал(а) к Alex Korchmar в Jan 17 13:23:40 по местному времени:

Dear Alex,

21 Jan 17 20:54, you wrote to me:

VS>> бинарном апгрейде с 9.3 на 10.3 после первого
VS>> "freebsd-update install && reboot" отваливаются сетевые
VS>> интерфейсы.
AK> это как?

Описываю как видел. После первого "freebsd-update install && reboot" при загрузке системы высыпается огромное количество сообщений от rc.d об ошибках при вызове ifconfig. Если ifconfig вызвать руками из консоли, интерфейсов не будет. Говорим "freebsd-update install" и ifconfig начинает работать штатно (видимо поставится новый). Можно продолжать процедуру апгрейда.

AK> Или это традиционное разбегание kernel/world ?

Возможно. Не проверял.

VS>> Поэтому при таком апгрейде надо присутствовать за консолью.
AK> похоже, при любом апргейде не надо пользоваться freebsd-update.

Я думаю, что если это случай "новое ядро и старый мир", то при обновлении из исходников будет ровно то же самое, если ты, как написано в /usr/src/Makefile, сперва загрузишься с новым ядром и оттуда уже будешь делать installworld.

В общем проверять надо, прежде чем апгрейдить рабочие машины. Тем более что появление bhyve и mkimg сделало эту проверку донельзя простой.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Victor Sudakov написал(а) к Eugene Grosbein в Jan 17 13:36:48 по местному времени:

Dear Eugene,

22 Jan 17 05:15, you wrote to me:

VS>> Кстати, раз уж речь зашла про переход на другой мажорный релиз. Я
VS>> обычно такие вещи пробую сперва на копии в виртуалке. Так вот
VS>> вовремя обнаружилось, что при бинарном апгрейде с 9.3 на 10.3
VS>> после первого "freebsd-update install && reboot" отваливаются
VS>> сетевые интерфейсы. Буквально: ifconfig не видит даже lo0.
VS>> соответственно сети не будет вообще никакой. Поэтому при таком
VS>> апгрейде надо присутствовать за консолью.

EG> А ты уверен, что сделал всё правильно?

На 100% в этом никогда нельзя быть уверенным, но делал по ману и подсказкам самого freebsd-update. Что именно там можно было напутать?

Кстати 100% повторение на всех эхотажных машинках, которые я успел так обновить (штук 7-8 на настоящий момент). Просто принял как данность и заранее открывал консоль VMware.

Те, которые я обновлял через исходники, я обновлял нештатно: не так как советует Makefile, а прямо сразу после build{world,kernel} делал "mergemaster -p", install{world,kernel}, "mergemaster -ciFU", и потом уже reboot сразу в новую. Поэтому такой проблемы на них и не наблюдал.

Точнее наблюдал отваливание интерфейса carp, но это уже из другой оперы, и управление я бы не потерял всё равно.

EG> Недефолтное ядро тут не имело
EG> место?

Не имело. Обычный GENERIC.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Alex Korchmar написал(а) к Eugene Grosbein в Jan 17 10:42:31 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

AK>> мне обязательно читать что IEEE, POSIX, and 802 are registered
AK>> trademarks of Institute of Electrical and Electronics Engineers,
AK>> Inc. in the United States. ?
EG> Если раньше уже читал - это место разрешаю не перечитывать :-)
это место еще пролистать надо, чтобы хотя бы до содержания добраться - полторы
страницы, в документе, где важным вещам уделяется по одной строчке.
Мне этого вполне достаточно, чтобы сделать вывод, кем и для кого он написан.

AK>> хорошо читаю - не поленился нажать ссылку в конце этой строки.
EG> А я вот не тыкал в ссылку в конце строки и не читал код.
просто нашел первую попавшуюся строку где упоминались похожие буквы и радостно
заявил что вот же, читать надо. Не потрудившись прочитать и понять, что буквы
те же, слова другие.

EG> Отключение авторизации ключами DSS произошло в ревизии r303716,
EG> которой отмечена строчка на одну выше в Release Notes. Это ничего не меняет
Remove DSA from default cipher list and disable SSН1.
ничего общего. По прежнему ищем похожие буквы, не понимая слов?

EG> в том, что релизнотесы читать надо и что в них это указано.
EG> А что номера ревизий какие-то не те, это юзерам не существенно.
юзерам существенно то, что этот мусор читать не надо - там написано ненужное,
и спрятано нужное.
Нужное - вот:
OpenSSН has been updated to 7.2p2. [r296633] - и вот openssh'ный Changelog
надо да, читать. Где-то в районе 7.0
Люди, называющие себя "разработчиками" FreeBSD его во-первых, не читают,
во-вторых, даже если и читают и понимают последствия, не пишут release notes,
их эффективный менеджер пишет.


> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Alex Korchmar в Jan 17 14:19:38 по местному времени:

22 янв 2017, воскресенье, в 11:42 NOVT, Alex Korchmar написал(а):

AK>>> мне обязательно читать что IEEE, POSIX, and 802 are registered
AK>>> trademarks of Institute of Electrical and Electronics Engineers,
AK>>> Inc. in the United States. ?
EG>> Если раньше уже читал - это место разрешаю не перечитывать :-)
AK> это место еще пролистать надо, чтобы хотя бы до содержания добраться - полторы
AK> страницы, в документе, где важным вещам уделяется по одной строчке.
AK> Мне этого вполне достаточно, чтобы сделать вывод, кем и для кого он написан.

Кому лениво читать релизнотесы, тот ССЗБ.

AK>>> хорошо читаю - не поленился нажать ссылку в конце этой строки.
EG>> А я вот не тыкал в ссылку в конце строки и не читал код.
AK> просто нашел первую попавшуюся строку где упоминались похожие буквы и радостно
AK> заявил что вот же, читать надо. Не потрудившись прочитать и понять, что буквы
AK> те же, слова другие.

Там всё правильно написано, а сравнивать ревизии и код я не предлагал.

EG>> Отключение авторизации ключами DSS произошло в ревизии r303716,
EG>> которой отмечена строчка на одну выше в Release Notes. Это ничего не меняет
AK> Remove DSA from default cipher list and disable SSН1.
AK> ничего общего. По прежнему ищем похожие буквы, не понимая слов?

default cipher list (макрос KEXDEFAULT_PKALG) это и есть тот набор,
который по дефолту используется в том числе и для PubkeyAcceptedKeyTypes,
если в sshd_config нету чего-то типа PubkeyAcceptedKeyTypes=+ssh-dss
и именно из KEXDEFAULT_PKALG и выкинули ssh-dss.

AK> Люди, называющие себя "разработчиками" FreeBSD его во-первых, не читают,

Ай моська... Dag-Erling Smцorgrav, безусловно, читать не умеет.

AK> во-вторых, даже если и читают и понимают последствия, не пишут release notes,
AK> их эффективный менеджер пишет.

Нету там никакого менеджера, разработчики и добавляют строчки в файл,
из которого потом релизнотесы генерируются. А надо было, чтобы они туда
фигачили целиком релизнотесы и contrib-софта тоже?

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.2 (FreeBSD)

Alex Korchmar написал(а) к Dmitry Ivanov в Jan 17 11:50:33 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Dmitry Ivanov <fido@sadok.spb.ru> wrote:

>> похоже, при любом апргейде не надо пользоваться freebsd-update.
DI> я вообще не понимаю тех, кто этим пользуется
ну, в самой идее не жечь гигаватты на пересборку из исходников того, что уже
сто миллионов раз точно так же пересобрано - ничего плохого нет.

Но реализация, как обычно, на от%@сь, это при том что, как видим, при апгрейдах
всегда и так хватает проблем.

> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Victor Sudakov в Jan 17 11:54:34 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote:

>>> похоже, при любом апргейде не надо пользоваться freebsd-update.
DI>> я вообще не понимаю тех, кто этим пользуется
VS> Может ты и на каждое security advisory мир пересобираешь?
я пересобираю затронутые бинарники. Иногда и мир - если не получается быстро
понять, какие затронуты и как пересобираются. С тех пор как стало немодно
писать в этих advisory инструкции не для дятлов, это случается.

Машина, она железная. Хотя бесполезного перевода ресурсов планеты немного и
жаль, но себя и свое время жаль больше. К тому же freebsd-update эти ресурсы
тоже жрет почем зря, причем, возможно, небесплатные для меня.

> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Eugene Grosbein в Jan 17 12:13:35 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

AK>>>> мне обязательно читать что IEEE, POSIX, and 802 are registered
AK>>>> trademarks of Institute of Electrical and Electronics Engineers,
AK>>>> Inc. in the United States. ?
EG> Кому лениво читать релизнотесы, тот ССЗБ.
мне безусловно лениво читать про торговые марки.

EG> Там всё правильно написано, а сравнивать ревизии и код я не предлагал.
там совершенно про другую проблему написано.

AK>> Remove DSA from default cipher list and disable SSН1.
AK>> ничего общего. По прежнему ищем похожие буквы, не понимая слов?

EG> default cipher list (макрос KEXDEFAULT_PKALG) это и есть тот набор,
EG> который по дефолту используется в том числе и для PubkeyAcceptedKeyTypes,
а вот этого там, сюрприз, и нету.
То есть списка реальных проблем, вызываемых этим апгрейдом, так и не приведено.

AK>> Люди, называющие себя "разработчиками" FreeBSD его во-первых, не читают,
EG> Ай моська... Dag-Erling Smцorgrav, безусловно, читать не умеет.
возможно, уже давно разучился- это ведь мега-творческая работа для разработчика,
копи-паст очередной версии из open в соседнее окошко, ну и героическое
"мы опять отключили генерацию неправильных ключей в rc.d" на целые три строчки.

Замечу, что примерно столь же важной и сложной работой занимается большая часть
так называемых разработчиков линуксных дистрибутивов - но им, во всяком случае,
в голову не приходит называть себя разработчиками линукса.

EG> Нету там никакого менеджера, разработчики и добавляют строчки в файл,
кто "добавил" заглавные две страницы мусора?
EG> из которого потом релизнотесы генерируются. А надо было, чтобы они туда
EG> фигачили целиком релизнотесы и contrib-софта тоже?
надо было - писать release notice, буквами, да. Что поменялось, и чем чревато.
И да, для contrib в первую очередь, потому что за ним никто не следит даже
из тех немногих, кто следить за собственно разработкой. Раз уж оно признано
достаточно нужным и незаменимым, чтобы быть в дереве, а не где-то в портах.
Понятно, что разработчики вообще обычно слишком гордые и независимые
люди, чтобы писать документацию, а тут еще и надо быть хоть немножко админом.

Админ написал бы главное - "мы тут резко увеличили версию openssh, в ней куча
несовместимых изменений - проверяйте, не пользовались ли вы чем-то не тем, до
перезагрузки".
Уважающий себя разработчик, а не копипастер, скорее всего вообще не стал бы
брать вредные деструктивные правки, явно обозначив строкой конфига, на которую
наткнется mergemaster.

> Alex
P.S. у меня набор алгоритмов определен вручную - интересно, достаточно ли этого
для апгрейда без последствий?

--- ifmail v.2.15dev5.4

Victor Sudakov написал(а) к Alex Korchmar в Jan 17 16:22:28 по местному времени:

Dear Alex,

22 Jan 17 11:54, you wrote to me:

>>>> похоже, при любом апргейде не надо пользоваться freebsd-update.
DI>>> я вообще не понимаю тех, кто этим пользуется
VS>> Может ты и на каждое security advisory мир пересобираешь?
AK> я пересобираю затронутые бинарники. Иногда и мир - если не получается
AK> быстро понять, какие затронуты и как пересобираются. С тех пор как
AK> стало немодно писать в этих advisory инструкции не для дятлов, это
AK> случается.

AK> Машина, она железная. Хотя бесполезного перевода ресурсов планеты
AK> немного и жаль, но себя и свое время жаль больше.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ золотые слова.
А при обновлении из исходников приходится следить, чтобы самые последние исходники были скачаны либо подмонтированы откуда-то, что для /usr/obj в очередной раз хватит места и т.д. и т.п. Бинарное обновление всё же технологичнее получается.

А времени разбираться на то, какие бинарники затронуты, какие нет - тем более жаль. Тогда уж пересобирать тупо мир (или ядро: бывает, что проблема затрагивает только ядро).

AK> К тому же
AK> freebsd-update эти ресурсы тоже жрет почем зря, причем, возможно,
AK> небесплатные для меня.

Но всё же твоего личного времени он тратит меньше.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Victor Sudakov написал(а) к Eugene Grosbein в Jan 17 16:36:20 по местному времени:

Dear Eugene,

22 Jan 17 13:36, I wrote to you:

VS>>> Кстати, раз уж речь зашла про переход на другой мажорный релиз.
VS>>> Я обычно такие вещи пробую сперва на копии в виртуалке. Так вот
VS>>> вовремя обнаружилось, что при бинарном апгрейде с 9.3 на 10.3
VS>>> после первого "freebsd-update install && reboot" отваливаются
VS>>> сетевые интерфейсы. Буквально: ifconfig не видит даже lo0.
VS>>> соответственно сети не будет вообще никакой. Поэтому при таком
VS>>> апгрейде надо присутствовать за консолью.

EG>> А ты уверен, что сделал всё правильно?

VS> На 100% в этом никогда нельзя быть уверенным, но делал по ману и
VS> подсказкам самого freebsd-update. Что именно там можно было напутать?

VS> Кстати 100% повторение на всех эхотажных машинках, которые я успел так
VS> обновить (штук 7-8 на настоящий момент). Просто принял как данность и
VS> заранее открывал консоль VMware.

Вот только что еще раз специально проверил в bhyve, после первого ребута ядро уже новое, а бинарник /sbin/ifconfig остался прежний. И не работает вот так:

# ifconfig -a
: flags=8902<BROADCAST,PROMISC,SIMPLEX,MULTICAST>
ifconfig: ioctl(SIOCGIFINFO_IN6): Device not configured
: flags=8008<LOOPBACK,MULTICAST>
inet 56.18.2.0 netmask 0x0
ifconfig: ioctl(SIOCGIFINFO_IN6): Device not configured

На самом деле там даже не просто ":", а какая-то бнопня, которая терминалом нормально не отображается.


VS> Те, которые я обновлял через исходники, я обновлял нештатно: не так
VS> как советует Makefile, а прямо сразу после build{world,kernel} делал
VS> "mergemaster -p", install{world,kernel}, "mergemaster -ciFU", и потом
VS> уже reboot сразу в новую. Поэтому такой проблемы на них и не наблюдал.

Сейчас еще попробую в том же bhyve сделать через build{world,kernel}, но перегрузиться после установки ядра. Думаю будет то же самое.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Eugene Grosbein написал(а) к Alex Korchmar в Jan 17 16:40:04 по местному времени:

22 янв 2017, воскресенье, в 13:13 NOVT, Alex Korchmar написал(а):

AK>>>>> мне обязательно читать что IEEE, POSIX, and 802 are registered
AK>>>>> trademarks of Institute of Electrical and Electronics Engineers,
AK>>>>> Inc. in the United States. ?
EG>> Кому лениво читать релизнотесы, тот ССЗБ.
AK> мне безусловно лениво читать про торговые марки.
EG>> Там всё правильно написано, а сравнивать ревизии и код я не предлагал.
AK> там совершенно про другую проблему написано.

Там про всё написано, и про эту проблему в том числе - DSS по дефолту
не фурычит ни для серверных ключей, ни для клиентских.

AK>>> Remove DSA from default cipher list and disable SSН1.
AK>>> ничего общего. По прежнему ищем похожие буквы, не понимая слов?
EG>> default cipher list (макрос KEXDEFAULT_PKALG) это и есть тот набор,
EG>> который по дефолту используется в том числе и для PubkeyAcceptedKeyTypes,
AK> а вот этого там, сюрприз, и нету.

Потому что там, в отличие от твоего утверждения, вовсе не копипаст,
а очень краткое описание изменений, каковых в мажорном релизе множество
и буратинки, и так страдающие от необходимости читать релизнотесы,
вдесятеро большее вообще никогда бы не осилили.

AK> То есть списка реальных проблем, вызываемых этим апгрейдом, так и не приведено.

Тебе расписывать список всевозможных проблем, порождаемых каждым апгрейдом?
Afaik у FreeBSD нет ресурсов на то, чтобы подробно пересказывать
своими словами всевозможные несовместимые изменения в чужом софте
типа openssh/openssl/Нeimdal/libmagic/gcc/etc.

и я не уверен, что документ такой подробности должен называться
FreeBSD Release Notes.

AK>>> Люди, называющие себя "разработчиками" FreeBSD его во-первых, не читают,
EG>> Ай моська... Dag-Erling Smцorgrav, безусловно, читать не умеет.
AK> возможно, уже давно разучился

Fixed.

[skip личные требования для бесплатной OS]

AK> P.S. у меня набор алгоритмов определен вручную - интересно, достаточно ли этого
AK> для апгрейда без последствий?

Смотря для чего именно определен - там штук шесть наборов,
кроме PubkeyAcceptedKeyTypes - ещё НostKeyAlgorithms с определенным
порядком ssh-dss,ssh-rsa или наоборот и прочие. И смотря что называть
"без последствий" - чтобы работало в точности как 10 лет назад, это вряд ли.

Eugene
--- slrn/1.0.2 (FreeBSD)