#21
|
|||
|
|||
userauth_pubkey
Victor Sudakov написал(а) к Alex Korchmar в Jan 17 13:23:40 по местному времени:
Dear Alex, 21 Jan 17 20:54, you wrote to me: VS>> бинарном апгрейде с 9.3 на 10.3 после первого VS>> "freebsd-update install && reboot" отваливаются сетевые VS>> интерфейсы. AK> это как? Описываю как видел. После первого "freebsd-update install && reboot" при загрузке системы высыпается огромное количество сообщений от rc.d об ошибках при вызове ifconfig. Если ifconfig вызвать руками из консоли, интерфейсов не будет. Говорим "freebsd-update install" и ifconfig начинает работать штатно (видимо поставится новый). Можно продолжать процедуру апгрейда. AK> Или это традиционное разбегание kernel/world ? Возможно. Не проверял. VS>> Поэтому при таком апгрейде надо присутствовать за консолью. AK> похоже, при любом апргейде не надо пользоваться freebsd-update. Я думаю, что если это случай "новое ядро и старый мир", то при обновлении из исходников будет ровно то же самое, если ты, как написано в /usr/src/Makefile, сперва загрузишься с новым ядром и оттуда уже будешь делать installworld. В общем проверять надо, прежде чем апгрейдить рабочие машины. Тем более что появление bhyve и mkimg сделало эту проверку донельзя простой. Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20160322-b20160322 |
#22
|
|||
|
|||
userauth_pubkey
Victor Sudakov написал(а) к Eugene Grosbein в Jan 17 13:36:48 по местному времени:
Dear Eugene, 22 Jan 17 05:15, you wrote to me: VS>> Кстати, раз уж речь зашла про переход на другой мажорный релиз. Я VS>> обычно такие вещи пробую сперва на копии в виртуалке. Так вот VS>> вовремя обнаружилось, что при бинарном апгрейде с 9.3 на 10.3 VS>> после первого "freebsd-update install && reboot" отваливаются VS>> сетевые интерфейсы. Буквально: ifconfig не видит даже lo0. VS>> соответственно сети не будет вообще никакой. Поэтому при таком VS>> апгрейде надо присутствовать за консолью. EG> А ты уверен, что сделал всё правильно? На 100% в этом никогда нельзя быть уверенным, но делал по ману и подсказкам самого freebsd-update. Что именно там можно было напутать? Кстати 100% повторение на всех эхотажных машинках, которые я успел так обновить (штук 7-8 на настоящий момент). Просто принял как данность и заранее открывал консоль VMware. Те, которые я обновлял через исходники, я обновлял нештатно: не так как советует Makefile, а прямо сразу после build{world,kernel} делал "mergemaster -p", install{world,kernel}, "mergemaster -ciFU", и потом уже reboot сразу в новую. Поэтому такой проблемы на них и не наблюдал. Точнее наблюдал отваливание интерфейса carp, но это уже из другой оперы, и управление я бы не потерял всё равно. EG> Недефолтное ядро тут не имело EG> место? Не имело. Обычный GENERIC. Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20160322-b20160322 |
#23
|
|||
|
|||
Re: userauth_pubkey
Alex Korchmar написал(а) к Eugene Grosbein в Jan 17 10:42:31 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote: AK>> мне обязательно читать что IEEE, POSIX, and 802 are registered AK>> trademarks of Institute of Electrical and Electronics Engineers, AK>> Inc. in the United States. ? EG> Если раньше уже читал - это место разрешаю не перечитывать :-) это место еще пролистать надо, чтобы хотя бы до содержания добраться - полторы страницы, в документе, где важным вещам уделяется по одной строчке. Мне этого вполне достаточно, чтобы сделать вывод, кем и для кого он написан. AK>> хорошо читаю - не поленился нажать ссылку в конце этой строки. EG> А я вот не тыкал в ссылку в конце строки и не читал код. просто нашел первую попавшуюся строку где упоминались похожие буквы и радостно заявил что вот же, читать надо. Не потрудившись прочитать и понять, что буквы те же, слова другие. EG> Отключение авторизации ключами DSS произошло в ревизии r303716, EG> которой отмечена строчка на одну выше в Release Notes. Это ничего не меняет Remove DSA from default cipher list and disable SSН1. ничего общего. По прежнему ищем похожие буквы, не понимая слов? EG> в том, что релизнотесы читать надо и что в них это указано. EG> А что номера ревизий какие-то не те, это юзерам не существенно. юзерам существенно то, что этот мусор читать не надо - там написано ненужное, и спрятано нужное. Нужное - вот: OpenSSН has been updated to 7.2p2. [r296633] - и вот openssh'ный Changelog надо да, читать. Где-то в районе 7.0 Люди, называющие себя "разработчиками" FreeBSD его во-первых, не читают, во-вторых, даже если и читают и понимают последствия, не пишут release notes, их эффективный менеджер пишет. > Alex --- ifmail v.2.15dev5.4 |
#24
|
|||
|
|||
Re: userauth_pubkey
Eugene Grosbein написал(а) к Alex Korchmar в Jan 17 14:19:38 по местному времени:
22 янв 2017, воскресенье, в 11:42 NOVT, Alex Korchmar написал(а): AK>>> мне обязательно читать что IEEE, POSIX, and 802 are registered AK>>> trademarks of Institute of Electrical and Electronics Engineers, AK>>> Inc. in the United States. ? EG>> Если раньше уже читал - это место разрешаю не перечитывать :-) AK> это место еще пролистать надо, чтобы хотя бы до содержания добраться - полторы AK> страницы, в документе, где важным вещам уделяется по одной строчке. AK> Мне этого вполне достаточно, чтобы сделать вывод, кем и для кого он написан. Кому лениво читать релизнотесы, тот ССЗБ. AK>>> хорошо читаю - не поленился нажать ссылку в конце этой строки. EG>> А я вот не тыкал в ссылку в конце строки и не читал код. AK> просто нашел первую попавшуюся строку где упоминались похожие буквы и радостно AK> заявил что вот же, читать надо. Не потрудившись прочитать и понять, что буквы AK> те же, слова другие. Там всё правильно написано, а сравнивать ревизии и код я не предлагал. EG>> Отключение авторизации ключами DSS произошло в ревизии r303716, EG>> которой отмечена строчка на одну выше в Release Notes. Это ничего не меняет AK> Remove DSA from default cipher list and disable SSН1. AK> ничего общего. По прежнему ищем похожие буквы, не понимая слов? default cipher list (макрос KEXDEFAULT_PKALG) это и есть тот набор, который по дефолту используется в том числе и для PubkeyAcceptedKeyTypes, если в sshd_config нету чего-то типа PubkeyAcceptedKeyTypes=+ssh-dss и именно из KEXDEFAULT_PKALG и выкинули ssh-dss. AK> Люди, называющие себя "разработчиками" FreeBSD его во-первых, не читают, Ай моська... Dag-Erling Smцorgrav, безусловно, читать не умеет. AK> во-вторых, даже если и читают и понимают последствия, не пишут release notes, AK> их эффективный менеджер пишет. Нету там никакого менеджера, разработчики и добавляют строчки в файл, из которого потом релизнотесы генерируются. А надо было, чтобы они туда фигачили целиком релизнотесы и contrib-софта тоже? Eugene -- Поэты - страшные люди. У них все святое. --- slrn/1.0.2 (FreeBSD) |
#25
|
|||
|
|||
Re: userauth_pubkey
Alex Korchmar написал(а) к Dmitry Ivanov в Jan 17 11:50:33 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Dmitry Ivanov <fido@sadok.spb.ru> wrote: >> похоже, при любом апргейде не надо пользоваться freebsd-update. DI> я вообще не понимаю тех, кто этим пользуется ну, в самой идее не жечь гигаватты на пересборку из исходников того, что уже сто миллионов раз точно так же пересобрано - ничего плохого нет. Но реализация, как обычно, на от%@сь, это при том что, как видим, при апгрейдах всегда и так хватает проблем. > Alex --- ifmail v.2.15dev5.4 |
#26
|
|||
|
|||
Re: userauth_pubkey
Alex Korchmar написал(а) к Victor Sudakov в Jan 17 11:54:34 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote: >>> похоже, при любом апргейде не надо пользоваться freebsd-update. DI>> я вообще не понимаю тех, кто этим пользуется VS> Может ты и на каждое security advisory мир пересобираешь? я пересобираю затронутые бинарники. Иногда и мир - если не получается быстро понять, какие затронуты и как пересобираются. С тех пор как стало немодно писать в этих advisory инструкции не для дятлов, это случается. Машина, она железная. Хотя бесполезного перевода ресурсов планеты немного и жаль, но себя и свое время жаль больше. К тому же freebsd-update эти ресурсы тоже жрет почем зря, причем, возможно, небесплатные для меня. > Alex --- ifmail v.2.15dev5.4 |
#27
|
|||
|
|||
Re: userauth_pubkey
Alex Korchmar написал(а) к Eugene Grosbein в Jan 17 12:13:35 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote: AK>>>> мне обязательно читать что IEEE, POSIX, and 802 are registered AK>>>> trademarks of Institute of Electrical and Electronics Engineers, AK>>>> Inc. in the United States. ? EG> Кому лениво читать релизнотесы, тот ССЗБ. мне безусловно лениво читать про торговые марки. EG> Там всё правильно написано, а сравнивать ревизии и код я не предлагал. там совершенно про другую проблему написано. AK>> Remove DSA from default cipher list and disable SSН1. AK>> ничего общего. По прежнему ищем похожие буквы, не понимая слов? EG> default cipher list (макрос KEXDEFAULT_PKALG) это и есть тот набор, EG> который по дефолту используется в том числе и для PubkeyAcceptedKeyTypes, а вот этого там, сюрприз, и нету. То есть списка реальных проблем, вызываемых этим апгрейдом, так и не приведено. AK>> Люди, называющие себя "разработчиками" FreeBSD его во-первых, не читают, EG> Ай моська... Dag-Erling Smцorgrav, безусловно, читать не умеет. возможно, уже давно разучился- это ведь мега-творческая работа для разработчика, копи-паст очередной версии из open в соседнее окошко, ну и героическое "мы опять отключили генерацию неправильных ключей в rc.d" на целые три строчки. Замечу, что примерно столь же важной и сложной работой занимается большая часть так называемых разработчиков линуксных дистрибутивов - но им, во всяком случае, в голову не приходит называть себя разработчиками линукса. EG> Нету там никакого менеджера, разработчики и добавляют строчки в файл, кто "добавил" заглавные две страницы мусора? EG> из которого потом релизнотесы генерируются. А надо было, чтобы они туда EG> фигачили целиком релизнотесы и contrib-софта тоже? надо было - писать release notice, буквами, да. Что поменялось, и чем чревато. И да, для contrib в первую очередь, потому что за ним никто не следит даже из тех немногих, кто следить за собственно разработкой. Раз уж оно признано достаточно нужным и незаменимым, чтобы быть в дереве, а не где-то в портах. Понятно, что разработчики вообще обычно слишком гордые и независимые люди, чтобы писать документацию, а тут еще и надо быть хоть немножко админом. Админ написал бы главное - "мы тут резко увеличили версию openssh, в ней куча несовместимых изменений - проверяйте, не пользовались ли вы чем-то не тем, до перезагрузки". Уважающий себя разработчик, а не копипастер, скорее всего вообще не стал бы брать вредные деструктивные правки, явно обозначив строкой конфига, на которую наткнется mergemaster. > Alex P.S. у меня набор алгоритмов определен вручную - интересно, достаточно ли этого для апгрейда без последствий? --- ifmail v.2.15dev5.4 |
#28
|
|||
|
|||
userauth_pubkey
Victor Sudakov написал(а) к Alex Korchmar в Jan 17 16:22:28 по местному времени:
Dear Alex, 22 Jan 17 11:54, you wrote to me: >>>> похоже, при любом апргейде не надо пользоваться freebsd-update. DI>>> я вообще не понимаю тех, кто этим пользуется VS>> Может ты и на каждое security advisory мир пересобираешь? AK> я пересобираю затронутые бинарники. Иногда и мир - если не получается AK> быстро понять, какие затронуты и как пересобираются. С тех пор как AK> стало немодно писать в этих advisory инструкции не для дятлов, это AK> случается. AK> Машина, она железная. Хотя бесполезного перевода ресурсов планеты AK> немного и жаль, но себя и свое время жаль больше. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ золотые слова. А при обновлении из исходников приходится следить, чтобы самые последние исходники были скачаны либо подмонтированы откуда-то, что для /usr/obj в очередной раз хватит места и т.д. и т.п. Бинарное обновление всё же технологичнее получается. А времени разбираться на то, какие бинарники затронуты, какие нет - тем более жаль. Тогда уж пересобирать тупо мир (или ядро: бывает, что проблема затрагивает только ядро). AK> К тому же AK> freebsd-update эти ресурсы тоже жрет почем зря, причем, возможно, AK> небесплатные для меня. Но всё же твоего личного времени он тратит меньше. Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20160322-b20160322 |
#29
|
|||
|
|||
userauth_pubkey
Victor Sudakov написал(а) к Eugene Grosbein в Jan 17 16:36:20 по местному времени:
Dear Eugene, 22 Jan 17 13:36, I wrote to you: VS>>> Кстати, раз уж речь зашла про переход на другой мажорный релиз. VS>>> Я обычно такие вещи пробую сперва на копии в виртуалке. Так вот VS>>> вовремя обнаружилось, что при бинарном апгрейде с 9.3 на 10.3 VS>>> после первого "freebsd-update install && reboot" отваливаются VS>>> сетевые интерфейсы. Буквально: ifconfig не видит даже lo0. VS>>> соответственно сети не будет вообще никакой. Поэтому при таком VS>>> апгрейде надо присутствовать за консолью. EG>> А ты уверен, что сделал всё правильно? VS> На 100% в этом никогда нельзя быть уверенным, но делал по ману и VS> подсказкам самого freebsd-update. Что именно там можно было напутать? VS> Кстати 100% повторение на всех эхотажных машинках, которые я успел так VS> обновить (штук 7-8 на настоящий момент). Просто принял как данность и VS> заранее открывал консоль VMware. Вот только что еще раз специально проверил в bhyve, после первого ребута ядро уже новое, а бинарник /sbin/ifconfig остался прежний. И не работает вот так: # ifconfig -a : flags=8902<BROADCAST,PROMISC,SIMPLEX,MULTICAST> ifconfig: ioctl(SIOCGIFINFO_IN6): Device not configured : flags=8008<LOOPBACK,MULTICAST> inet 56.18.2.0 netmask 0x0 ifconfig: ioctl(SIOCGIFINFO_IN6): Device not configured На самом деле там даже не просто ":", а какая-то бнопня, которая терминалом нормально не отображается. VS> Те, которые я обновлял через исходники, я обновлял нештатно: не так VS> как советует Makefile, а прямо сразу после build{world,kernel} делал VS> "mergemaster -p", install{world,kernel}, "mergemaster -ciFU", и потом VS> уже reboot сразу в новую. Поэтому такой проблемы на них и не наблюдал. Сейчас еще попробую в том же bhyve сделать через build{world,kernel}, но перегрузиться после установки ядра. Думаю будет то же самое. Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20160322-b20160322 |
#30
|
|||
|
|||
Re: userauth_pubkey
Eugene Grosbein написал(а) к Alex Korchmar в Jan 17 16:40:04 по местному времени:
22 янв 2017, воскресенье, в 13:13 NOVT, Alex Korchmar написал(а): AK>>>>> мне обязательно читать что IEEE, POSIX, and 802 are registered AK>>>>> trademarks of Institute of Electrical and Electronics Engineers, AK>>>>> Inc. in the United States. ? EG>> Кому лениво читать релизнотесы, тот ССЗБ. AK> мне безусловно лениво читать про торговые марки. EG>> Там всё правильно написано, а сравнивать ревизии и код я не предлагал. AK> там совершенно про другую проблему написано. Там про всё написано, и про эту проблему в том числе - DSS по дефолту не фурычит ни для серверных ключей, ни для клиентских. AK>>> Remove DSA from default cipher list and disable SSН1. AK>>> ничего общего. По прежнему ищем похожие буквы, не понимая слов? EG>> default cipher list (макрос KEXDEFAULT_PKALG) это и есть тот набор, EG>> который по дефолту используется в том числе и для PubkeyAcceptedKeyTypes, AK> а вот этого там, сюрприз, и нету. Потому что там, в отличие от твоего утверждения, вовсе не копипаст, а очень краткое описание изменений, каковых в мажорном релизе множество и буратинки, и так страдающие от необходимости читать релизнотесы, вдесятеро большее вообще никогда бы не осилили. AK> То есть списка реальных проблем, вызываемых этим апгрейдом, так и не приведено. Тебе расписывать список всевозможных проблем, порождаемых каждым апгрейдом? Afaik у FreeBSD нет ресурсов на то, чтобы подробно пересказывать своими словами всевозможные несовместимые изменения в чужом софте типа openssh/openssl/Нeimdal/libmagic/gcc/etc. и я не уверен, что документ такой подробности должен называться FreeBSD Release Notes. AK>>> Люди, называющие себя "разработчиками" FreeBSD его во-первых, не читают, EG>> Ай моська... Dag-Erling Smцorgrav, безусловно, читать не умеет. AK> возможно, уже давно разучился Fixed. [skip личные требования для бесплатной OS] AK> P.S. у меня набор алгоритмов определен вручную - интересно, достаточно ли этого AK> для апгрейда без последствий? Смотря для чего именно определен - там штук шесть наборов, кроме PubkeyAcceptedKeyTypes - ещё НostKeyAlgorithms с определенным порядком ssh-dss,ssh-rsa или наоборот и прочие. И смотря что называть "без последствий" - чтобы работало в точности как 10 лет назад, это вряд ли. Eugene --- slrn/1.0.2 (FreeBSD) |