Re: Funktioniert "WITH_OPENSSL_BASE=yes" noch?

From: Harold Gutch <logix(at)foobar.franken.de>
Date: Mon, 23 Jan 2017 21:47:24 +0100

On Mon, Jan 23, 2017 at 08:21:45PM +0100, Heino Tiedemann wrote:
> Harold Gutch <logix(at)foobar.franken.de> wrote:
> > Daher kannst du jetzt potenziellen Problemen in der Zukunft aus dem
> > Weg gehen indem du ein WITH_OPENSSL_BASE=yes durch ein
> > DEFAULT_VERSIONS+=ssl=base ersetzt. Das ist auch schon der einzige
> > Grund.
>
> Verstanden.
>
> Ich dachte schon es spricht etwas dagegen, das SSL im Base zu haben
> und NICHT aus den Ports zu bauen. Auch da wäre ich
> Beratungsoffen. Spricht etwas gegen SSL=BASE?

Hm, OK, das ist schon eher Geschmackssache. Nachteil: wenn das
Base-OpenSSL ein Sicherheitsproblem hast und du es daher updaten
willst, musst du das ganze Basissystem updaten. Vorteil: Wenn du
zusätzlich ein SSL aus den Ports installiert hast weil dich daran
irgendein Feature interessiert und das updatest kümmert das nicht den
Rest deiner Ports. Die Vor- bzw. Nachteile von ssl={openssl,
openssl-devel,libressl,libressl-devel} sind entsprechend umgekehrt (du
kannst es updaten ohne dass du das ganze OS updaten musst; jedes Mal
wenn du den entsprechenden SSL-Port updatest und der neue mit dem
alten nicht mehr kompatibel ist (gerade bei OpenSSL passiert das recht
gerne) müssen alle davon abhängigen Ports aktualisiert werden. Du
kannst natürlich Updates deines OpenSSL/LibreSSL-Ports einfach
aussitzen - wenn sie nicht gerade sicherheitskritisch sind hat das
lediglich den Nachteil dass "pkg version -l '<'" etc. diesen Port eben
immer als "ist veraltet" auflisten.

Da aber bei einem Sicherheitsproblem des Base-OpenSSL ein Update eh zu
empfehlen ist, hat "ssl=base" nicht wirklich so große Nachteile. Ich
denke du kannst das ruhig guten Gewissens lassen.

> Und wo ich gerade dabei bin: Kann einer meine make-conf ins
> DEFAULT_VERSIONS Sprech übersetzen:
>
> CUPS_OVERWRITE_BASE=yes
> WITH_CUPS=yes
> OVERRIDE_LINUX_BASE_PORT=c10

Bist du sichr dass das c10 ("CentOS 10", das es aber gar nicht gibt)
sein soll und nicht c6 oder f10?

Die Syntax hier lautet stattdessen auf jeden Fall
"DEFAULT_VERSIONS+=linux=c10" (bzw. meiner Meinung nach eher c6 oder
f10).

> OVERRIDE_LINUX_NONBASE_PORTS=c10

Ich bin gerade nicht 100%-ig sicher, aber ich denke das kann
inzwischen weg.

> WITH_GALLIUM=yes
> DEFAULT_VERSIONS+= ssl=base

Genau, das hatten wir ja schon. Die anderen Variablen setzen nur
ja/nein-Werte, da gibt es dann kein DEFAULT_VERSIONS-Äquivalent.

Gruß,
  Harold

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 23 Jan 2017 - 21:47:28 CET

search this site