Re: lug-bg: интересно четиво

[Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>]

Jivko Georgiev wrote:

> http://www.talug.org/howto/Steps_to_make_Slack_package.html
>
> правиш пакета  и пак ако някои е сменил някоя библютека кво става,.... 
> добре че има неща като --nodeps така надеждата в такъв случаи умира 
> последна.
Ами какво да ти кажа. Човек, който не знае какво му се твори по 
системата не знае какво управлява и само маже по нея чрез компилации 
отгоре отгоре. Ами утре някой може да ти смени и OpenSSL библиотеките. 
Ти ще си компилираш Apache/mod_ssl, а някой отвън ще ти чете SSL сесиите 
ти. Щом си стигнал до --nodeps, по-добре остави тази работа и се захвани 
с нещо друго... Професии много. Да на говорим какво пише в RPM 
инфо-страницата за използването на тази опция и какви предупреждения са 
дадени и да помислим кой ще е този, който ще маже по системата с --nodeps.
> И това почва да звучи нещо като "Package Auto Update Certified 
> Administrator" - Click Next
> Не може да гледаме на linux/unix  само като на rpm,dep....emerge......
Ами какво да ти кажа.. Смешна логика имаш. Не мисли, че да компилираш 
нещо е кой знае какво геройство и изисква някакви знания, каквито 
другите нямат. Ти писал ли си някога сам configure скрипт например? 
Поправял ли си изходен код? Писал ли си "кръпки"? Това, че можеш да 
компилираш нещо си изобщо не значи, че си на някакво ниво над "Click 
Next". Напротив, сляпото мазане по системата те прави неотличим от 
Windows потребител, при това от тези дето мажат и преинсталират по 2-3 
пъти в месеца системата си. Това, че можеш да прилагаш пач и да 
компилираш с опции от configure скрипт никак не те прави по-добър от 
другите, напротив.
Никой не ти казва да гледаш на Linux само като пакетни системи, но 
хората са достигнали до идеята за такива системи именно решавайки 
проблеми, а не създавайки ги. Да не говорим, че тези системи именно са 
една от отличителните черти на Linux и го поставят по-напред от UNIX 
конкурентите му. За Windows не може да има и сравнение - там подобно 
управление на пакети дори няма блед аналог.
> Началото на темата беше ръководството за инсталация на уеб сървър в 
> стил from scratch....доста хора според мен избират този стил "лягат" 
> върху някоя система като конфигурационна основа и билдват останалото и 
> честно казано според мен е много спорно кое е по професионално и какво 
> в случая точно значи професионално
Не е лошо човек да се учи да компилира. Това е полезно и никой не казва, 
че ти не трябва да знаеш това. Използването само на пакетни системи без 
поглед върху компилационния процес също е затъпяване. Но от едно време 
перманентната компилация се превръща в пилеене на време и това време 
просто не се рентира да бъде губено. Ако ти ще клечиш по компилации в 
25-30% от работното си време, това е не само непрофесионално, ако ти си 
администратор, това е направо спирачка за развитието ти. Денонощието има 
24 часа (все още, макар да има слаба тенденция да се увеличава поради 
забавянето на въртенето на Земята). Ако ще правим всеки ден едно и също, 
то професията шлосер е по-подходяща.
Има и още една особеност на пакетните системи, която засяга сигурността 
и тя се вмества в рамките на тразитивното доверие в 'web of trust' на 
сертификатния модел OpenPGP. Да си представим сега, че ти започваш да 
компилираш apache, после sendmail, после php, после mysql и за да бъде 
удоволствието пълно пускаш компилация на OpenOffice, защото таке е 
"по-шик". Ако ти искаш да свалиш изходния код, ти трябва да бъдеш 
далновиден и да свалиш и електронните подписи към него и да ги провериш. 
Това трябва да направиш за всички пакети. Тук идва и генералния ти 
проблем. Сега ти ще кажеш - да, аз ще отида на някой от сървърите за 
сертификати в Интернет, ще сваля сертификата на проекта и ще проверя 
подписа. Пита се, а ти от къде знаеш, че сваляш истинския сертификат? 
Сляпото доверие е нещо много лошо. Вероятността някой да ти изиграе 
номер със спуфинг е отлична от нула. Да, ще кажеш ти, но този сертификат 
е подписан от много други хора. Мъртви души е една сертификатна система 
може да има много. Многото подписи над един сертификат не са гаранция за 
неговата идентичност.
Връщаме се със случая на компилацията. Ако ти обаче получиш пакет от 
гореизброените от твоя "vendor" на дистрибуцията, която ползваш, ти 
трябва да знаеш само валидността на неговия сертификат. Причината е, че 
самия "vendor" преди да включи един пакет в дистрибуция контактува с 
хората от проекта и намира начин да валидира техния сертификат. Така той 
изгражда схема на онаследено доверие (удостоверява неявно сертификатите 
на проектите) и ти трябва да удостовериш само неговия сертификат и ничий 
друг. Аз например съм си играл да проверя сертификата на Fedora екипа по 
3 независими канала и знам, че с голяма вероятност той е верен.
Та да се върнем на твоята система, в която ти си взимал сорсове и си 
компилирал. Извинявам се много, но тази система е несигурна. Може да е 
твоя гордост, но тя е поненциално взломяема още на ниво изграждане.. 
какво ли да говорим за ниво използване - то е направо опасно. Ако ти се 
чувстваш комфортно в несигурна среда - живей в нея и дано това ти носи 
удоволствие, но ако ти си поел отговорности, това е направо харакири.
Linux е преди всичко сигурност!

 Поздрави
   Весо


============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================