© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Fri, Aug 06, 2004 at 07:58:53PM +0200, Bernd Walter wrote:
> On Fri, Aug 06, 2004 at 05:44:04PM +0200, Ingo Rohlfs wrote:
> > Nun, es gibt so einige Programme in den Ports, die darauf bestehen, gegen
> > ein neues openssl aus den Ports zu compilieren. Ist ja auch richtig so, man
> > will ja heute Sicherheit. Tja, und nun hat man den ssl-port installiert, aber
^^^^^^^^^^^^^^^^^^^^
> > die alten Dateien aus der Basis-Installation sind noch da.
...
> > Das sollte man nicht tun, wenn man in Zukunft noch die Welt übersetzen möchte.
> > Ein kleines Experiment:
> >
> > rm -r /usr/include/openssl
> > cd /usr/src/secure/usr.bin/bdes
> > make
> > make: don't know how to make /usr/include/openssl/des.h. Stop
> Natürlich - du kannst ohne SSL keine SSL Programme compilieren.
Aha, ich war nicht deutlich genug:
auf dem System IST ssl installiert. Aber in /usr/local/include/openssl.
> Wenn duj übrigens die Welt übersetzt - so wie man es nun mal macht,
> also mit make buildworld, dann braucht der auch kein SSL vom System,
> da der sich zuerst seine build Umgebung selber erstellt.
Hhm, das macht die Sache wieder schwiriger, s.u.
> Mir mangelt es aber auch zu 100% am Verständniss warum du überhaupt
> ein Problem mit dem Base SSL hast.
s.u.
> > Mancher denkt sich jetzt vielleicht: Dann lass die alten Dateien einfach
> > stehen, die stören doch nicht. Wirklich? Was passiert, wenn ich jetzt gegen
> > ssl compileren, nimmt er die alten, oder die neuen includes/bibliotheken?
> > Und wenn ich openssl aufrufe, wird das Programm aus den ports oder
> > vom Grundsystem verwendet? Richtig: hängt vom pfad ab. Also letztlich
> > von der Stimmung des Benutzers ...
> >
> > Doppelknurr!
Meine Ansicht hierzu ist: Immer, wenn Dateien doppelt vorhanden sind, kann
es passieren, dass man die falsche benutzt. Z.B. das falsche openssl-binary.
Oder die falsche Config-Datei.
Und darum will ich die "toyota-Methode" anwenden: Ein Fehler, den man nicht
mehr machen kann, den macht man auch nicht mehr. So schaffen die ihre hohe
Qualität. In unserem Falle heisst das: weg mit den toten Dateien.
(In meinen Softwareprojekten heisst das: toter Code wird von mir gnadenlos
gelöscht.)
> Wenn du nur einen haben willst, dann tausche den Base doch einfach aus
> und gut ist.
> Das wird sogar vom Port ganz bequem unterstützt:
> OPENSSL_OVERWRITE_BASE
Aha, jetzt wird es spannend.
Gleich mal ausprobieren ... geht. Sogar mit openssh.
Und alle anderen Ports, die bei mir ssl benutzen bauen jetzt mit
dem Basissystem. So gefällt mir das!
(Rhetorische Frage: ist das irgendwo dokumentiert?)
> > Mit anderen Programmen, besonders sicherheitsrelevanten sieht es genauso
> > aus (ssh, sendmail).
Wie geht es mit sendmail? Da lümmeln sich noch jede Menge tote Dateien im Baum
rum.
> > Meine Meinung: das muss geändet werden, es ist einfach zu nervig!
> > Z.B. so: ein Grund-Grundsystem ohne ssl/ssh. Und dabei die ssh/ssl
> > Erweiterung. Zum Installieren mit pkg_add.
>
> Dann installiere es doch einfach ohne SSL.
> Es gibt doch bereits ausreichende Schalter dafür.
Du machst mich neugierig, wo sind diese Schalter? Gelegentliche Blindheit
will ich bei mir keinesfalls ausschliessen.
Mit freundlichem Gruss
Ingo Rohlfs
----------------------------------- _____ __o
- http://dr-rohlfs.de !PGP! ______ _`\<,_
----------------------------------- ____ (_)/ (_)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 07 Aug 2004 - 17:12:27 CEST