Не надо принимать все так близко к сердцу, дорогой chip, я в курсе вышеназванных способов. Однако это не меняет различного отношения к поддержке портов и base system, в отличие от ...

фрю тех лет ещё можно поддерживать в работоспособном и безопасном состоянии штатными средствами. я прав?

Нет. Для старых версий ядра патчей никто не делает.

Если баг в ядре, то нужно свежий релиз.

Почему, говорит, в *BSD куча старых пакетов и куча таких же, но новых?

Sunch:

>А потому что bsd - цельная система, в отличие от линукс.

Ну да, так все целостность и видят - в десяти версиях одного и того же пакета. Предлагаю для усиления целостности придумать пакет-менеджер, в котором файлы будут храниться как в cvs - от низшей версии к высшей. Вот тогда это будет несказанная целостность.

Просто целее не будет никогда ;)

P.S. Что удивительно - линукс, где пакеты практически никогда не дублируются (кроме собранных ядер, glibc i386/i686 и - не везде - двух gcc на тему обкатки), в который раз обозвали крошевом. ;)

>ещё такой вопрос: для софта из базовой системы выходят только security-fix-ы, новые фичи из новых версий туда не бэкопортятся? т.е. для поддержания безопасности достаточно апдейтить base, а если нужны новые фичи - то нужно идти в порты. так?

Как правило - security-fix-ы, но не обязательно. Иногда и новые фичи добавляется, если эти фичи важны и их добавление не слишком гиморно с точки зрения сложности переноса и последующего сопровождения кода. Но рано или поздно наступает момент, когда уже проще перенести в base новую версию софта, чем заниматься поддержкой старого кода. Так, например сейчас происходит с BIND-ом.

>готов признать, что такая система обновлений удобна для "долгоиграющих" серверов. потому как на, скажем, RH4.2 сейчас уже новый софт ставить геморройно (ставить так, что бы о нём знал пакетный менеджер), а фрю тех лет ещё можно поддерживать в работоспособном и безопасном состоянии штатными средствами. я прав?

Да

>ещё вопрос: есть ли в BSD штатные средства удаления старого софта из базовой системы, если мы собираемся его заменить софтом из портов? н.п. я хочу заменить libssl базовый на портовый (допустим в нём появились нужные мне фичи, которых нет в базовом), при этом я хочу удалить базовый. как это делать штатными средствами и увидят ли портовый libssl программы слинкованые с базовым libssl-ем?

Ставишь портовый libssl поверх базового. Я не вижу тут проблемы.

>офицер по безопасности

когда английский выучишь?

>Если баг в ядре, то нужно свежий релиз.

пожалуй, да

>всегда отлаженный на предмет совместимости

Т.е. просто собрал и работает в *BSD не получается? ;)

>А порты - это по жизни -CURRENT.

Т.е. там патчей нет? ;)

Как это, почему множество софта в base и ports пересекается?
То что в base - не самое свежее, но пропатченное, отлаженное, гарантированно работающее. Например, OpenSSH:

[(14:37)(40.13%)(p3):~ ] cat /usr/src/crypto/openssh/version.h
/* $FreeBSD: src/crypto/openssh/version.h,v 1.27 2004/04/20 09:46:40 des Exp $ */
/* $OpenBSD: version.h,v 1.40 2004/02/23 15:16:46 markus Exp $ */

#ifndef SSH_VERSION

#define SSH_VERSION (ssh_version_get())
#define SSH_VERSION_BASE "OpenSSH_3.8.1p1"
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
#define SSH_VERSION_ADDENDUM "FreeBSD-20040419"
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
const char *ssh_version_get(void);
void ssh_version_set_addendum(const char *add);
#endif /* SSH_VERSION */


Найдут в openssh уязвимость - выйдет патч (на версию 3.81p1), и все, просивисапившись, дружно сделают следующее:

[(14:37)(39.84%)(p3):~ ] cd /usr/src/secure/usr.sbin/sshd
[(14:38)(38.90%)(p3):/usr/src/secure/usr.sbin/sshd ] make install clean

И фсе, пропатчены.


Но предположем, Васе Красноглазову нужно самую последнуюю версию openssh, потому что только в ней есть новая_рульна_мегафича_нужная_васе.
Ноу проблем:

[(14:40)(36.88%)(p3):~ ] cat /usr/ports/security/openssh-portable/distinfo
MD5 (openssh-3.9p1.tar.gz) = 8e1774d0b52aff08f817f3987442a16e
SIZE (openssh-3.9p1.tar.gz) = 854027

[(14:41)(35.32%)(p3):~ ] cd /usr/ports/security/openssh-portable
[(14:41)(35.32%)(p3):/usr/ports/security/openssh-portable ] make install clean

echo 'sshd_program="/usr/local/sbin/sshd"' >> /etc/rc.conf

/etc/rc.d/sshd restart

И Вася щаслив.



Ну что, понятно разжевал?

>Тресь и сервер в дауне, где искать, чё искать, как откатится взад?

Санч, у тебя карма плохая.

>Может вспомним самдрочноый gcc-2.96?

Может вспомним, что он делался, чтобы работал Oracle? Или вспомним, что огромное количество находок из 2.96 перетекло в 3.x.x?

> Т.е. там патчей нет? ;)

понятие -CURRENT не отменяет патчи, оно лишь характеризует то, что в порте - последняя на текущий момент версия программы.

тупить нефиг. портов в системе может и не быть. вообще.

Да я тут ни рылом, ни ухом.

Пареньки обновляли чего автоматом типа up2date.

Ну и достукались дятлы.

Кстати, по поводу патчей в портах - последняя версия демона НЕ отменяет platform-specific исправления.

[(14:53)(22.01%)(p3):~ ] ls /usr/ports/security/openssh-portable/files/
./ gss-serv.c.patch patch-auth2.c patch-regress-test-exec.sh patch-sshd_config sshd.sh
../ patch-auth.c patch-clientloop.c patch-session.c patch-sshpty.c
batch.patch patch-auth1.c patch-loginrec.c patch-sshd.c servconf.c.patch


Это для любителей действовать согласно мысли "анунах это старое гумно и порты, соберу-ка я щас все руками"

>> фрю тех лет ещё можно поддерживать в работоспособном и безопасном состоянии штатными средствами. я прав?

> Нет. Для старых версий ядра патчей никто не делает.

а "старыми" какие версии считаются? вот, допустим, я сегодня ставлю 4.10 я могу узнать заранее когда у неё наступит End Of Life?

> Если баг в ядре, то нужно свежий релиз.

свежий релиз можно получить на имеющейся системе системе просто переключив cvs в src на новую ветку? потом сделать make world и у нас будет всё новое и нигде ничего не сломается?

>>всегда отлаженный на предмет совместимости

>Т.е. просто собрал и работает в *BSD не получается? ;) Получается, но не всегда :) Зависит от того, не про;%ал ли чего нибудь мантейнер пакета при написании Makefile.

>>А порты - это по жизни -CURRENT.

>Т.е. там патчей нет? ;)

Есть, но софт из портов тестируют/патчи пишут коммунити/авторы/мантейнеры, а base поддерживают - комиттеры/core team (это их работа. Разумеется, остальным PR-ки слать тоже не возбраняетя). В результате патчи для base выходят мгновенно, а для софта из портов - в основном зависит от авторов софта.

Более того если уж хочется "свежачка" из портов можно ставить с "перезаписью" base system:

Например,
cd /usr/ports/security/openssl && make -DOPENSSL_OVERWRITE_BASE

Таких success story про любую систему навалом.

мержемастер вроде еще надо запускать, для синхронизации конфигов

я уж не помню

И чем может быть такая система?
ftp-сервером да gateway'ем ил локалки в мир? Это не интересно.

Леша, мне пофиг, что он достаточен "сам для себя". Он недостаточен для меня, т.е. на реальном тазике, а не сферическом и не в вакууме, без портов/пакетов все равно не обойтись.

Удивительно, что никто не вспомнил freebsd-update.

> head -2 /usr/ports/security/freebsd-update/pkg-descr

This is the client half of the FreeBSD Update system; it fetches and
applies binary security updates.

>> ещё вопрос: есть ли в BSD штатные средства удаления старого софта из базовой системы, если мы собираемся его заменить софтом из портов? н.п. я хочу заменить libssl базовый на портовый (допустим в нём появились нужные мне фичи, которых нет в базовом), при этом я хочу удалить базовый. как это делать штатными средствами и увидят ли портовый libssl программы слинкованые с базовым libssl-ем?

> Ставишь портовый libssl поверх базового. Я не вижу тут проблемы.

я смотрел как по умолчанию ставится софт из pkgsrc (как я понимаю аналог фрёвых портов) в NetBSD - всё ставится в /usr/pkg, там свой /usr/pkg/{etc,usr,..}, а базовый софт весь в корне. после обновления того же libssl-я через pkgsrc получалось, что старый продолжает валяться в /usr/lib, а новый лежит в /usr/pks/usr/lib.

штатных средств удаления базовой версии я не нашёл. как с этим во Free?

интересно тебе или нет, а факт имеет место быть

>понятие -CURRENT не отменяет патчи, оно лишь характеризует то, что в порте - последняя на текущий момент версия программы.

Когда разработчики какого-либо пакета выпускают новую версию, то часто это именно багфикс. В том же рх обычно на новую версию накладывают свои патчи (все, что были на прошлой версии, если они не ломают программу). Так поступают со всеми пакетами, за исключением критических (например, на ядро и глибси просто кладут патчи).

Часто фиксы являются костылями. Просто работать-то надо уже сейчас. Разработчики затем переписывают все _правильно_ (несомненно, делают новые ошибки, но не в этом суть). Не получается ли так, что base во freebsd - это коллекция костылей и подпорок и когда уже совсем никак не удается удержать эту систему в равновесии, пакет меняют?

Гм. А там, насколько я помню, можно прописать что можно обновлять. Это более правильно, чем обновлять сразу все.

> мне пофиг, что он достаточен "сам для себя". Он недостаточен для меня,
> т.е. на реальном тазике, а не сферическом и не в вакууме, без
> портов/пакетов все равно не обойтись.

кто ж мешает поставить порты? просто есть базовый набор необходимых вещей. мне кажется дикостью, если telnetd или sshd надо ставить отдельно.

>>И чё? У меня в саду тоже куча навоза тонны на 2. >>За всё лето в неё попал только 1 человек, в темноте и по пьяни.

Саныч, пить надо меньше ;-)

>а "старыми" какие версии считаются? вот, допустим, я сегодня ставлю 4.10 я могу узнать заранее когда у неё наступит End Of Life?

Точной даты не существует, всё зависит от того, насколько хороши будут следующие версии. Если 5.XX станет super-puper-rock-stable то пользователи перелезут на неё и поддержка сама собой прекратится (некому будет слать PR ;). А если в 5.XX будет сыро, то в четвёрке и новые релизы будут выходить и поддержка будет.

Сейчас последний поддерживаемый в CVS релиз - 4.8. Ему полтора года. Текущий статус поддержки кода в CVS можно увидеть на http://www.freebsd.org/releng/index.html

Вообще при наличии супер-удобного способа обновления cvsup я абсолютно не вижу причин цепляться за старые версии. Всего то и надо - поправить тэг в конфиге. Обновляйся до RELENG_4 и будешь всегда в шоколаде :)

>свежий релиз можно получить на имеющейся системе системе просто переключив cvs в src на новую ветку? потом сделать make world и у нас будет всё новое и нигде ничего не сломается?

Да. См. выше. Только релизы нет смысла получать, лучше всегда получать branch с последними фиксами (RELENG_4 или RELENG_5). Релиз - это branch, замороженный на определённой дате.

>И чем может быть такая система? ftp-сервером да gateway'ем ил локалки в мир? Это не интересно.

Ещё сервером DNS. Забыл тему топика? ;)

Дык в том то и дело, что делали они так долго и жили щастливо.

Но в один прекрасный момент пришла жопа, а они даже не знали куда

копать и за что хвататься.

Это я к тому что подобные системы обновления развращают молодежь

> Часто фиксы являются костылями. Просто работать-то надо уже сейчас. Разработчики затем переписывают все _правильно_ (несомненно, делают новые ошибки, но не в этом суть). Не получается ли так, что base во freebsd - это коллекция костылей и подпорок и когда уже совсем никак не удается удержать эту систему в равновесии, пакет меняют?

Давай уже определись, ты о ПАТЧАХ или БАГФИКСАХ. Я же выше привел пример, где в порте openssl-portable были ПАТЧИ, ОС-специфик ПАТЧИ
Если же ты про ФИКСЫ, то да, как правило выходит новая версия проги, и она же обновляется в портах. В этом плане в портов ФИКСОВ нет, это и есть суть -current, я выше уже писал, что в сурренте можно найти все СВЕЖЕЕ. В base - да, "костыли и подпорки", как ты выразился, а говоря нормальным языком - критические патчи, когда менять версию демона не резонно, но пропатчить надо. Просто видишь ли, в нормальной системе пакету недостаточно считаться стабильным только за то, что майнтейнер Вася Красноглазов собрал его ручками из сорсов и оно собралось. По целому ряду соображений и из житейского опыта считается разумным держать проверенную старую версию демона, исправляя только критические баги.
Вот, например, тот же OpenSSH. В 4.х, вроде, до сих пор держат 3.5. Последня - 3.9. Тебе лично большая разница? В 3.9 есть то, что нужно тебе, и чего нет в 3.5?
Это и есть mature stability, приятель. Когда самое свежее - не означает лучшее.

Не в том фишка, что ставить отдельно, а в том, чтоб обновлять модульно. Хотя кстати машины без sshd у меня в офисе есть, и делают свое нужное дело они замечательно. А telnetd у меня нету вообще нигде. А, нет, вру: на один свич есть телнет... Но только с одной машины 8)

Только она недавно повилась... менее года, AFAIR. И, кстати, они никак не решает вопрос одновременных двух версий (хоть это и немного другой вопрос).

Где можно скачать .iso для FreeBSD 3.x (или 1.x) ?
Искал - не нашёл нигде...

Linux вон от версии 0.01 хранится. :)

ftp://ftp.gamma.ru/pub/FreeBSD-Archive/old-releases/i386/ISO-IMAGES/

> Тресь и сервер в дауне, где искать, чё искать, как откатится взад?

http://snapshot.debian.net/ ?

Debian packages daily archived since 2002/06/04

> ftp://ftp.gamma.ru/pub/FreeBSD-Archive/old-releases/i386/ISO-IMAGES/

Спасибо.
Супер!

>Это я к тому что подобные системы обновления развращают молодежь

Это с одной стороны. С другой, оставил я, например, машинку и ушел из конторы. А обновление работает (новый админ о linux только читал...). Компоненты все стандартные. Красота.

>Это и есть mature stability, приятель. Когда самое свежее - не означает лучшее.

Это уже другой вопрос - если система спроектирована и работает, то лучше ничего руками не трогать, кроме критикал фиксов.

А если твоя система развивается, то одними критикал не обойдешься.

>>>>>>>> Давай уже определись, ты о ПАТЧАХ или БАГФИКСАХ. Я же выше привел пример, где в порте openssl-portable были ПАТЧИ, ОС-специфик ПАТЧИ Если же ты про ФИКСЫ, то да, как правило выходит новая версия проги, и она же обновляется в портах. В этом плане в портов ФИКСОВ нет, это и есть суть -current, я выше уже писал, что в сурренте можно найти все СВЕЖЕЕ. В base - да, "костыли и подпорки", как ты выразился, а говоря нормальным языком - критические патчи, когда менять версию демона не резонно, но пропатчить надо. Просто видишь ли, в нормальной системе пакету недостаточно считаться стабильным только за то, что майнтейнер Вася Красноглазов собрал его ручками из сорсов и оно собралось. По целому ряду соображений и из житейского опыта считается разумным держать проверенную старую версию демона, исправляя только критические баги.
Вот, например, тот же OpenSSH. В 4.х, вроде, до сих пор держат 3.5. Последня - 3.9. Тебе лично большая разница? В 3.9 есть то, что нужно тебе, и чего нет в 3.5?
Это и есть mature stability, приятель. Когда самое свежее - не означает лучшее.

и чем это отличается от дебиана ? тем что в бзд пакеты и патчи в исходниках идут ?

2Jackil

И чем это тогда от винды будет отличаться? (Я - про админов)

Зачем новость офтопиком засырать. Если кому-то не нравится как FreeBSD спроектирована, не пользуйтесь ей. Base system - это собственно операционная система. Порты и пакаджи - довески. Кому хочется в RPM конструктор играться - используйте RedHat & Co. Нечего тут неудовлетворённость свою демонстрировать. По теме говорите, о BIND 9.3.0.

По теме - тормоз он!

Да никому в общем то и не хотелось обижать бздю, просто саныч видимо начитался геологов, и теперь вещает о якобы отстутсвующей целостности линукса.

> Это уже другой вопрос - если система спроектирована и работает, то лучше ничего руками не трогать, кроме критикал фиксов.
> А если твоя система развивается, то одними критикал не обойдешься.

Хм, поясни понятие "развивается" касаемо сервера, все-таки фряха прежде всего для них. Есть у тебя N сотен пользователей, ты предоставляешь им M услуг, что ты вкладываешь в понятие "развития" для такого сервера, для которого главное - качественное обслуживание 24x7? Я так понимаю, на продакшн машине ничего трогать и не надо, кроме секурити-обновлений. Еще свежо в памяти разделение в портах php на base и extensions, когда дружная толпа пионеров-админов просивисапилась и бодро обновила outdated, согласно выводу portversion, порт, не удосужившись даже прочитать /usr/ports/UPDATING. В итоге - крики и стоны на форумах.
Если ты про десктоп - так все десктоп-приложения в портах, а про них мы уже выяснили, они суррент, значит "развиваются".
Так непонятно, что ты имел в виду.

> и чем это отличается от дебиана ? тем что в бзд пакеты и патчи в исходниках идут ?

а фиг его знает, кому как удобнее. вон, Саныч ноет что у него дебьян ломается, а фря - нет. Поверим Санычу, значит, отличается таки фря от дебиана, и не в худшую сторону =)))
По мне так Debian далеко не самый плохой линух дистро в плане стабилити.

В чём причины тормозов?

> По теме говорите, о BIND 9.3.0.

А что о нем говорить? Давно уже отправлен в отставку, сунут в топку, и идет лесом. Djbdns полностью его заменяет. И спать можно спокойно.

Расширение услуг.