SLT ( Săptămâna de lucru la TFM ) Partea 1

sigla tfm In perioada in care nu am avut timp deloc de scris pe blog mi-a venit o idee. Sa scriu o serie de articole ( cite unul pe saptamina ) despre lucrurile de care m-am lovit sau la care am sapat in saptamina curenta.
Sper sa reusesc sa imi devina obisnuinta.

Saptamina 7-13 August

  • kernel
  • clamav
  • apt
  • kerberos
  • samba
  • squid

Saptamina a inceput cu un update minor de kernel. Oarecum minor. S-a dovedit ca nu a fost minor gratie problemelor pe care le-a creeat. Pe scurt un update am pus niste patchuri pentru

  • USB serial ftdi_sio: Prevent userspace DoS (CVE-2006-2936)
  • IPV6 ADDRCONF: Fix default source address selection without CONFIGIPV6PRIVACY
  • IPV6: Fix source address selection.

Acest lucru a necesitat recompilarea kernelului si testarea rezultatului pe serverele de test. Toate bune si frumoase pina cind am rulat testele intensive (cele care in mod normal se ruleaza doar inainte de un release major). Si asa am descoperit ca suportul pentru iptables era dezactivat si suportul pentru ppp mmpe era dezactivat iar atunci cind rpm-ul incerca sa refaca initrd-ul in anumite conditii uita sa preincarce modulele necesare. Dupa multiple modificari la .spec-ul de kernel am ajus la o varianta care a trecut de teste. Dar a mincat foarte mult timp si nervi.

A urmat apt-ul. Apt-ul ramasese cumva in aer. Suportul pentru el era prezent incepind din tfm2 dar nu a fost inbunatatit pentru ca update-urile pentru clienti se faceau de catre oamenii din TFM si nu s-a preferat varianta manuala sau varianta cu scripturi / serviciu. Numai ca numarul de servere a inceput sa fie din ce in ce mai mare, politicile din ce in ce mai stricte si este necesar sa existe un control foarte strict al update-urilor. Doua tehnologii vor fi necesare. Push si pull updates.
Push se va folosi pentru serviciile / clientii critici. Pull pentru restul . Apt-ul poate asigura lejer tehnologia de push.
Cind am incercat sa folosesc apt-ul pentru clamav am constatat ca configul cu care venea apt-ul era obsolete si a trebuit rescris unul nou. Dupa care la primul apt-get upgrade pe un tfm3-rc a inceput sa se plinga ca nu ii place perl-ul. Si nu i-a placut perl-ul pentru ca avea 2 linii Obsolete in spec care nu-si aveau locul acolo. Fusesera puse la un moment dat de test si ramasesera asa.

Kerberos. Poveste cu kerberos e relativ simpla. A aparut un exploit de kerberos (local privileges escalation CVE-2006-3083) si a necesitat un update precum si o trecere la o versiune mai noua.

Samba si squid. Pina acuma nu ma jucasem cu samba integrat intr-un ADS. Am avut surpriza placuta sa mearga din prima (c)
De ce am avut nevoie de squid au ADS ? Pentru a putea face autentificare / logare / limitare la nivel de user si nu la nivel de ip ca pina acum. Iar pentru o generare de rapoarte la nivel de utilzator si pentru limitari de banda la nivel de utilizator acest lucru e un “Must”

Instalarea TFM in vmware5 creeaza probleme. Pe scurt instalat cu o masina virtuala in regim quick nu detecteaza hardiskul. De ce? Vmware 5 foloseste driverul “SYM53C8XX” in combinatie cu “Fusion MPT ScsiHost drivers for SPI”. Si installerul este un pic in ceata asupra acestui fapt. Totusi asta nu inseamna ca nu se poate instala in vmware. Exista 2 posibilitati de rezolvare. Cind se creeaza masina virtuala se alege custom in loc de typical si se alege la modelul de interfatza scsi BusLogic sau se creeaza drive IDE. O sa fie corectat in noul installer.