Dnia środa, 27 września 2006 10:19, Marek Guevara Braun napisał: > Jeśli mamy własny kompilat glibca, zbudowany z opcją --with pax, a > domyślnie ta opcja byłaby wyłączona, to i tak nie można "w ciemno" > upgradować takiej maszyny, bo np. za chwilę pojawi się "w poldku" nowy > release danej biblioteki i po upgrade system nie działa. > > Rozwiązania tu widzę raczej administracyjne > (1) dodanie glibca, zlib i ew. paxctl do listy hold w poldku > (2) dodanie do poldka tylko własnych punktów dystrybucji/builderów, > które produkują "dobre" pakiety > (3) dodanie jakiegoś watchdoga/zdalnego resetu do serwerów, albo lepiej > karty zdalnego dostępu do poziomu BIOS maszyny (można edytować > gruba przy starcie) > (4) zainwestowanie w większy dysk, vmware serwer i testowanie upgradów > przed zdalną implementacją. > > Nawet gdy --with pax było by dalej (tak jak jest obecnie) domyślnie > wyłączone, nic nie stoi na przeszkodzie, że ktoś edytując speca > wywali/zepsuje odpowiednią łatkę, albo odpowiednio skompilowana, nowa > wersja będzie po prostu błędna.
Aktualnie mam zrobione punkty (1) i (2) - hold w poldku trzyma mi glibca, a jak się pojawia nowa wersja to ją sam przebudowuję. Watchdog nie pomoże, bo /sbin/init się nie uruchomi, a po to mam PLD, żeby nie musieć utrzymywać 2 systemów - jednego produkcyjnego i jednego do testów - po prostu zaczynam upgrade od maszyny, na której krótkotrwałą utratę mogę sobie pozwolić i jak coś nie zadziała, to wiem z czym muszę się zmierzyć na innych. > PS. Pewnym ułatwieniem, byłoby dodanie jakiegoś provides do glibca i > zliba --with pax, ale nie za bardzo widzę co musiało by mieć odpowiednie > requires - bo kernel-pax to trochę bez sensu, a paxctl, to pewnie by się > automatycznie odinstalowało :-) Ja bardzo chętnie zobaczę w PLD glibc'a z obsługą PaX'a, pod warunkiem jednak, że "miła niespodzianka" podczas upgrade'u mnie już nie spotka. Może to być zrobione nawet jako komentarz w specu: "TEJ ŁATKI POD ŻADNYM POZOREM NIE USUWAĆ !". Ten patch w niczym nie przeszkadza (powoduje zignorowanie błędu mprotect() jeśli errno == EACCES) - problem jest tylko jak go ktoś usunie i takiego glibca puści się na buildery. Pozdrawiam. Piotr Zięcik. _______________________________________________ pld-devel-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
