V noci se im uz do toho nechtelo, ale ted prevazil pocit, ze uz to chci mit tak trochu za sebou a pustit to z hlavy (to nevylucuje dotazy).
Takze strucne popisu co jsem si sam kde zmenil nebo opravil. Tam, kde jsem patch zkusil protlacit do oficialni distribuce uvedu jen cislo PR. Jak uz jsem psal, pouzivam tyto lokalni patche: > LOCAL_SRC_PATCHES =/usr/src/patch-OPENSSH-AUTH /usr/src/patch-ATAPICD > /usr/src/patch-UHID > LOCAL_SRC_PATCHES+=/usr/src/patch-LIBALIAS+NATD /usr/src/patch-ETC-PROFILE > LOCAL_SRC_PATCHES+=/usr/src/patch-INSTALL /usr/src/patch-confGENERIC > LOCAL_SRC_PATCHES+=/usr/src/patch-NAMED /usr/src/patch-EAPOL_TEST > LOCAL_SRC_PATCHES+=/usr/src/patch-acpi-video /usr/src/patch-acpidump-TCPA > LOCAL_SRC_PATCHES+=/usr/src/patch-MERGEMASTER /usr/src/patch-module-ixgbe > /usr/src/patch-re > LOCAL_SRC_PATCHES+=/usr/src/patch-sysinstall /usr/src/patch-du > /usr/src/patch-CRYPT_BLF > LOCAL_SRC_PATCHES+=/usr/src/patch-hddsecurity /usr/src/patch-usb-QUIRKS > LOCAL_SRC_PATCHES+=/usr/src/patch-fs::nfsserver::nfs_nfsdserv.c > /usr/src/patch-NOSVN > LOCAL_SRC_PATCHES+=/usr/src/patch-ETC-NTP.CONF > > LOCAL_PORTS_PATCHES =/usr/ports/patch-OPENSSL /usr/ports/patch-libreoffice > Jednotlive patche najdete take na http://www.freebsd.cz/~dan/ > patch-ATAPICD PR: kern/122670 > patch-CRYPT_BLF Zmenil jsem si defaultni hashovaci algoritmus pro master.passwd z MD5 na BLOWFISH a v ramci nej jsem zvedl defaultni pocet "kol" z 4 na 11 Nejde o implementaci neceho noveho, jen o zmenu defaultu. > /usr/src/patch-EAPOL_TEST V ramci zdrojaku WPA SUPPLICANT je i adresar s testovacim klientem, ktery je "hotovy" ale proste se standardne nepreklada. Tento patch zpusobi, ze se adresar prida do seznamu tech, co se prekladaji (a instaluji). > /usr/src/patch-ETC-NTP.CONF Pridani direktivy 'disable monitor' do defaultniho ntp.conf Souvisi s https://isc.sans.edu/forums/diary/NTP+reflection+attack/17300 > /usr/src/patch-ETC-PROFILE Customizace defaultniho /etc/profile - odvozeni promptu z hostname, drobne zmeny nastaveni shellu - pro ostatni verejnost asi spis nezajimava uprava ... > /usr/src/patch-INSTALL Uprava logiky programu 'install' aby (pokdu to je vyzadane specifickym optionem) nepreinstaloval program tehdy, kdyz je shodne mtime zdrojoveho a existujiciho ciloveho souboru. Docela to zrychluje reinstalace pres NFS. V soucasny dobe uz tenhle patch nedoporucuju, ja sam ho musim jeste nejakou dobu zachovat, protoze leckde se mi pouziva ten doimplementovany option, ktery standatdni 'install' nezna. > /usr/src/patch-LIBALIAS+NATD New feature pro user-space NAT. Umoznuje konfigurovat jmeno logovaciho souboru pro natd (bez upravy loguje do /var/log/alias.log a nejde to zmenit, coz je problem pokud mate instanci NATD opravdu hodne). Doplnena logika, ktera umozni logovaci soubor rotovat (standardni kod to neumoznuje). Doplneno logovani konkretnich prekladacich kombinaci pro kazde navazovane spojeni, coz umozni v pripade potreby zpetne dohledat k "vnejsi" zdrojova IP a portu jim odpovidajici vnitrni Ip a port. Nepostradatelne pro reseni stiznosti. Diky tomu jich mohu vetsinu s cistym svedomim zamitnout ... Toto vsechno je ale pouze pro user-space NAT. Pro kernel-space NAT to taky nekdy doplnim. Mozna ... > /usr/src/patch-MERGEMASTER Umozni do konfiguracniho souboru doplnit seznam souboru, ktere nikdy nemodifikuji a tudiz se mohou nahradit bez dotazu. > /usr/src/patch-NAMED Drobne rozsireni jedne logovane chyby o dalsi informace. Pomohlo mi to pri ladeni problemu s BINDem, chrootem a pravy. > /usr/src/patch-NATD NAT umi prekladat na adresu, kterou si sam zjisti z itnerface (a reaguje i na to, kdyz se adresa zmeni). V nekterych situacich ale reaguje neadekvatne a celeho daemona ukonci. Coz se mi nehodilo. V mem svete sice aktualne prestane fungovat, ale jinak ceka jestli nejaka pristi zmena nastaveni adresy na interface neumozni normalni obnoveni funkce. > /usr/src/patch-NOSVN Tyka se 'make release'. Do instalacniho baliku portu je zabalen i /usr/ports/.svn - coz trva dlouho, jen to nevhodne a jeste ten balik vychazi kravsky velkej. Opraveno. > /usr/src/patch-OPENSSH-AUTH Hack. Potreboval jsem, aby se do PAM subsystemu dostavaly ze SSH i pokusy o prihlaseni s neexistujicim prihlasovacim jmenem a SSH takvoehle pripady filtruje a nepredava. Pouzivam totiz PAM modul proti brutal-force zkouseni jmen a hesela ten se tedy potrebuje dozvedet, ze nejaky pokus byl. Hack zpusobi, ze pokus o prihlaseni na neexistujici jmeno se PAM preda jako pokus o prihlaseni uzivatele "nobody". Predpokladem je, ze na tohoto uzivatele se prihlasit nejde. > /usr/src/patch-UHID Zpusobi, ze lze pracovat s nekterymi USB zarizenimi zatimco na ostatni by nemel mit zaporny vliv. > /usr/src/patch-acpi-video 1) implementuje podporu pro vice displayu ve vztahu k ACPI funkcim nastavovani jasu podsviceni 2) implementuje rozpoznani ACPI udalosti "display off" nicmene, oznami jen, ze obsluha teto udalosti neni implemenovana > /usr/src/patch-acpidump-TCPA Chyba v parsingu ACPI TCPA tabulky (big versus little endian a jeden chybejici range-check) > /usr/src/patch-confGENERIC V i386 GENERIC kernelu je podpora pro ixgbe ne vsak ixgb V amd64 GENERIC kernelu je podpora pro ixgb ne vsak ixgbe Ja chci mit v obou oboji. > /usr/src/patch-du Prikaz du ma optiony -k a -m Doplnil jsem option -g s vyznamem, ktery nebude tezke uhadnout. Uprava pochazi z doby, kdy jeste neexistoval option -h > /usr/src/patch-fs::nfsserver::nfs_nfsdserv.c Experimentalni a VELMI NEBEZPECNA uprava NFS serveru. I po aplikaci je defaultne vypnuta a musi se povolit pres sysctl Nedoporucuji. > /usr/src/patch-hddsecurity Rozsahle rozsireni programu camcontrol a atacontrol o security funkce. Toto neni muj patch, ten jsem zkompiloval spojenim dvou cizich PR. > /usr/src/patch-module-ixgbe Uprava ovladace IXGBE tak aby defaultne toleroval pouziti OEM SFP modulu a netrval na originalnich Intel (originalni default). Pozor, OEM moduly mohou mit v teto situaci potize s chlazenim. Uprava pochazi z doby, kdy ovladac OEM moduly nepodminene netoleroval a toto chovani neslo pomoci sysctl menit. Dnes je jeji vyznam uz maly, spociva jen ve zmene defaultu. > /usr/src/patch-re Patch tykajici se zivotnosti RE karet. PR kern/171228 > /usr/src/patch-sysinstall Defaultne se pri Minimalni instalaci na AMD64 neinstaluji LIB32. Pridal jsem si tedy moznost "Minimal+32". Samozrejme bych to mohl vzdycky naklikat v ramci "Custom" ale na to jak casto to potrebuju je to moc prace. > /usr/src/patch-usb-QUIRKS PR usb/180617 > /usr/ports/patch-OPENSSL port mail/alpine se nelinkuje proti spravne verzi OpenSSL knihoven pokud je pouzit WITH_OPENSSL_PORT option > /usr/ports/patch-iaxmodem V Makefile chybi zaznam o zavislosti na comms/spandsp nebo comms/spandsp-devel > /usr/ports/patch-libreoffice Drobne jsem si upravil kompilacni optiony ======================= Dale mam 71 souboru patchu pro nasledujicich 30 portu: converters/mpack databases/dbf databases/dbf2mysql databases/mysql56-client devel/libcli dns/mydns emulators/virtualbox-ose emulators/virtualbox-ose-additions graphics/xpdf lang/php5 local/check_sip local/milter-sender mail/cclient mail/imap-uw math/p5-Math-BigInt misc/mc net-mgmt/routers2-extras net/asterisk net/asterisk11 net/iaxmodem net/isc-dhcp41-server net/isc-dhcp42-server net/istgt net/rsync ports-mgmt/portupgrade security/openssl security/racoon2 security/stunnel sysutils/apcupsd www/horde-base Neco jsou opravky chyb, neco ruzna vylepseni ci nove features ci podpora IPv6 - to fakt nemam silu jednotlive popisovat. Pokud mate nekdo dojem, ze v seznamu vidite port, s nimz mate potize nebo v nem potrebujete neco pridat, zkuste se zeptat, treba je to prave to, co mam. ======================= Tento popis nebudiz chapan tak, ze komukoliv doporucuju instalaci kterehokoliv z uvedenych patchu. Libovolny muze byt chybny a zpusobit nestabilitu ci ohrozit funkcnost nebo bezpecnost systemu. Tyto patche vyzaduji pravidelnou udrzbu pri zmene verze FreeBSD - kod v danem miste nebo jeho okoli se muze kod zmenit a to muze vyzadovat zmenu patche. Soucasne je nutne vyhodnotit, zda ve zmenenych podminkach neznamena patch ohrozeni bezpecnosti nebo funkcnosti. Pripadne pouzivani kterehokoliv patche je vyhradne na vlastni nebezpeci. Dan -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
