Re: /etc/make.conf ueberfluessig!

On Fri, Aug 06, 2004 at 05:44:04PM +0200, Ingo Rohlfs wrote:
> Naja, nicht ganz. Nur Einträge wie:
>
> NO_OPENSSL= true
>
> Die kann man sich komplett sparen! Wie ich darauf komme?
> Nun, es gibt so einige Programme in den Ports, die darauf bestehen, gegen
> ein neues openssl aus den Ports zu compilieren. Ist ja auch richtig so, man
> will ja heute Sicherheit. Tja, und nun hat man den ssl-port installiert, aber
> die alten Dateien aus der Basis-Installation sind noch da.
>
> Die einzige Möglichkeit laut Bernd Walter sei es, die zugehörigen Dateien
> einzeln zu identifizieren und zu löschen.
>
> Das sollte man nicht tun, wenn man in Zukunft noch die Welt übersetzen möchte.
> Ein kleines Experiment:
>
> rm -r /usr/include/openssl
> cd /usr/src/secure/usr.bin/bdes
> make
> make: don't know how to make /usr/include/openssl/des.h. Stop
>
> Knurr!

Natürlich - du kannst ohne SSL keine SSL Programme compilieren.
Wenn duj übrigens die Welt übersetzt - so wie man es nun mal macht,
also mit make buildworld, dann braucht der auch kein SSL vom System,
da der sich zuerst seine build Umgebung selber erstellt.

Mir mangelt es aber auch zu 100% am Verständniss warum du überhaupt
ein Problem mit dem Base SSL hast.

> Mancher denkt sich jetzt vielleicht: Dann lass die alten Dateien einfach
> stehen, die stören doch nicht. Wirklich? Was passiert, wenn ich jetzt gegen
> ssl compileren, nimmt er die alten, oder die neuen includes/bibliotheken?
> Und wenn ich openssl aufrufe, wird das Programm aus den ports oder
> vom Grundsystem verwendet? Richtig: hängt vom pfad ab. Also letztlich
> von der Stimmung des Benutzers ...
>
> Doppelknurr!

Wenn du nur einen haben willst, dann tausche den Base doch einfach aus
und gut ist.
Das wird sogar vom Port ganz bequem unterstützt:
OPENSSL_OVERWRITE_BASE

Wenn du gegen eine Wand läufst und fragst wie man die weg bekommt,
dann wird man dir helfen die Wand weg zu bekommen.
Wenn du aber erklärst warum du gegen die Wand läufst kann man dir
evtl auch die Türe in der Wand zeigen.

> Mit anderen Programmen, besonders sicherheitsrelevanten sieht es genauso
> aus (ssh, sendmail).
>
> Es ist sicher richtig, mit dem Grundsystem ein ssh auszuliefern. Damit muss
> man als Abhängigkeit auch ein ssl ausliefern. Und jetzt geht der Ärger los:
> bei mir sind es im Moment ca. 12 Programme, die von ssl abhängen.

Ja und?
Wenn es ein Port ist hängen dich doch auch davon ab.

> Eine Neuauflage des bekannten linux-glibc-problems.
>
> Meine Meinung: das muss geändet werden, es ist einfach zu nervig!
> Z.B. so: ein Grund-Grundsystem ohne ssl/ssh. Und dabei die ssh/ssl
> Erweiterung. Zum Installieren mit pkg_add.

Dann installiere es doch einfach ohne SSL.
Es gibt doch bereits ausreichende Schalter dafür.
Was soll denn da geändert werden?

Warum du ein Problem mit dem SSL hast ist mir aber immer noch nicht
klar.
Mich hat es jedenfalls noch nie gestört.

-- 
B.Walter                   BWCT                http://www.bwct.de
bernd(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message