Portál AbcLinuxu, 9. května 2025 00:36
Status řady 2.5 - dočkáme se řady 2.6? Bezpečná autentizace pro NFS. TTY nemá správce. Kompilace kernelu ne-gcc překladačem.
Do konference přišlo celkem 2320 emailů, nejvíce jich poslali "Martin J. Bligh", William Lee Irwin III, Andrew Morton.
William Lee Irwin III si myslel, že řada 2.5 si vede dobře, takže nastal čas přeřadit na vyšší otáčky a vykopnout řadu 2.6 ven. Zeptal se, které problémy zdržují tento proces. Dave Jones odpověděl, že je zde plno modulů, které nejdou zkompilovat, tuny neportovaného kódu od jádra 2.4.18 a spousty triviálních patchů, které se zratily cestou. Podle něj jsme od jádra '2.6-test' velmi vzdáleni, ale přechod na tvrdší zmražení kódu by byl dobrý nápad. Alan Cox napsal vlastní seznam:
IDE stále není v pořádku a oprava bude trvat aspoň tři měsíce, než vůbec můžeme začít s vylepšováním. Celé zamykání TTY je kompletně špatné a nikdo se ani nepokusil začít s jeho opravou. Prostě vyzkoušejte masivní paralelní aktivitu na tty/pty. Problémy byly už před tím, ale pre-empt jej zničil a pohřbil. Většina ovladačů není možné ani zkompilovat.
Podle mně je důležité dostat se do stavu, kdy můžeme říci:
Jinak si všichni budou myslet, že ".0-pre" znamená ".0 jako ve Windows", což by znamenalo ztrátu základny testerů.
Když vezmeme v úvahu, že nové věci je nutné začlenit, měl by Linus dostat dovnitř opravy z řady 2.4 a opravy chyb při kompilaci modulů a pokud by to nepomohlo, měl by být vyřazen.
Prosím, už žádné přepisy "ISAPnP TNG" a modulů
Ohledně posledního bodu panoval obecný souhlas a Jochen Friedrich přidal, že framebuffer je také smetí, stejně jako ISDN a (trochu méně) USB.
Trond Myklebust implementoval části RFC 2203 a oznámil:
Následujících šest patchů implementuje podporu bezpečnostního protokolu RPCSEC_GSS (pouze autentifikace) a bezpečnostního mechanismu Kerberos V5.
RPCSEC_GSS je bezpečnostní mechanismus vyžadovaný pro všechny implementace NFSv4. Poskytuje protokol pro bezpečné přihlášení a přenos dat na bázi pro jednotlivé uživatele. Funguje takovým způsobem, že nezávisí na aktuálně použitém bezpečnostním mechanismu, ale podporuje jich širokou řadu. Mechanismy požadované RFC 3010 pro NFSv4 jsou Kerberos V5 (viz RFC 1964), SPKM-3 (RFC2025) a LIPKEY (RFC2847).
Naší snahou je poskytnout základní kernelovou RPC klientskou podporu pro RPCSEC_GSS protokol a pro komunikaci s démonem, který provádí vlastní výměnu bezpečnostního kontextu s RPC serverem. Komunikace mezi kernelem a uživatelským prostorem se uskutečňuje skrze skupinu pojmenovaných rour [named pipe] v soukromém souborovém systému podobném ramfs.
Dax Kelson odpověděl:
Jako uživatel a administrátor jsem na toto čekal po DLOUHOU dobu. Standardní bezpečnost/autentizace NFS stojí za starou belu [sucks]. Bez této podpory NFS servery s domovskými adresáři jen čekají na vyloupení ze strany škodolibého (nebo kompromitovaného) roota na klientském počítači.
NFSv4 s RPSEC_GSS je konečně nativní unixovské řešení sdílení souborů, za které se nestydím při konverzaci s administrátory těch ostatních operačních systémů.
Paul Jakma poznamenal, že root z klienta může stále vyloupit server, ale Dax Kelson vysvětlil, že zlý root může s RPSEC_GSS přistupovat / měnit / mazat soubory na serveru jen uživatelům, kteří jsou na klientovi přihlášeni. Takže dobrým zvykem by mělo být odstranění cachovaných osobních údajů [credentials] při odhlášení. Trond však napsal, že pokud byl root kompromitován, hra skončila, takže je zbytečné se bát, co by mohl provést. Bezpečnostní model RPSEC_GSS není míněn jako ochrana před rootem, ale jako ochrana před třetí stranou podhazující RPC požadavky vašim jménem (silná autentifikace), poškozování či úpravě platných RPC požadavků (kryptografická kontrola integrity dat) nebo odposloucháváním komunikace mezi serverem a klientem (soukromí dat).
Russell King zjevně dostával příliš hodně emailů týkajících se TTY a měl toho dost. Vysvětlil:
Rád bych vyjasnil následující bod:
Nejsem, opakuji nejsem správce TTY subsystému. Mám příliš mnoho jiných povinnosti na to, abych se jim stal.
Nicméně, čas od času si prohlédnu patche z TTY vrstvy a poskytnu (doufám že) užitečný názor. Patche si však budu vybírat sám a bude to záležet na tom, čeho se týkají, jak jsou komplexní a jak moc jsem zaneprázdněn.
A pro úplnost, neposílejte mi žádné záplaty pro TTY.
Henrik Andersen se zeptal, zda je možné zkompilovat jádro překladačem C++ od Intelu. John Bradford o tom pochyboval, neboť Linux výrazně používá rozšíření GCC. Nicméně Jeff Garzik napsal, že zmíněný překladač funguje pěkně na jádru. Jun Nakajima to potvrdil. Ville Herva dodal, že Intel se snaží o maximální kompatibilitu s gcc.
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.