Subject: Re: pkgsrc, ipf, 2.0, ftp.cz.netbsd.org, lfs, quota
To: pokus <pokus@eq.cz>
From: Jaromir Dolecek <jdolecek@NetBSD.org>
List: regional-cs
Date: 11/28/2004 12:23:58
> 1) potrebuju z pkgsrc nainstalovat vice stejnych balicku (s ruznymi
> zaplatami) do ruznych adresaru. musim na to nejprve vytvorit ruzne
> balicky, nebo existuje jiny zpusob?
Pro kompilaci stejneho baliku s ruznymi zaplatami by se dalo vyuzit
$LOCALPATCHES s ruznym nastavenim pri kazde kompilaci. Asi je to dost
neprehledne schema - nebylo by lepsi pouzit jen jednu sadu lokalnich
zaplat?
Pokud do "ruznych adresaru" znamena instalaci do ruznych chrootu,
lze pak vyuzit pkg_tarup reseni (viz odpoved v 1d). Jinak by se dalo
zaexperimentovat s ruznym nastavenim $PREFIX - PREFIX urcuje
'root' adresar instalace baliku, default je /usr/pkg.
Musite pak v tom pripade pouzit take ruznou databazi
instalovanych baliku (pomoci $PKG_DBDIR) pro kazdy PREFIX nebo
si upravit jmeno instalovaneho baliku tak, aby byl unikatni pro
kazdy PREFIX. To druhe by se dalo zajistit napriklad lokalni
upravou mk/bsd.pkg.mk tak, aby se do PKGNAME pridaval obsah
nejake promenne prostredi.
> 1a) pokud budu muset tedy mit vlastni balicky, je mozne je - coby
> adresare - nakopirovat do prave pouzivaneho pkgsrc stromu a takto pouzivat?
Ano. Takto funguji baliky napriklad z pkgsrc-wip, ktere jsou
vsechny v jednom podadresari pkgsrc/wip.
> 1b) myslim, ze z pkgsrc se pravidelne oddeluji kazde ctvrtleti
> 'stabilni' vydani. znamena to, ze balicky v ramci tohoto vydani jsou
> pripraveny tak, ze 100% jdou bez problemu nainstalovat a pouzivat ve
> vsech releasech netbsd a nepohadaji se navzajem, ani se systemem?
To je ta zakladni idea. Funguje to tak, ze se vyhlasi docasny stop
pro nove balicky nebo zmeny infrastruktury a pracuje se na doladeni
kompilace existujicich balicku. Toto trva obvykle dva tydny,
pak se tato verze v CVS repository oznaci a vyvoj na hlavni vetvi
pokracuje dal. Na te cvrtletni vetvi se pak aplikuji jen bezpecnosti
aktualizace. Kompilovatelnost baliku by se mela blizit 100%, pocet
nezkompilovatelnych baliku je obvykle nekde v radu desitek (z
nejakych ~5000) a jsou to ruzne exoticke veci.
Oficialne podporovane jsou dve posledni major release, tj. v tuto
chvili rada 1.5.x a 1.6.x. Starsi release nejsou nejak explicitne
nepodporovane, ale pripadne problemy s temito starsimi verzemi uz
se neopravuji. Se systemem ani navzajem se balicky nepohadaji,
instaluji se mimo zakladni system (default pod /usr/pkg).
> pouzivate pkgsrc tak, ze mate nainstalovano prave takove ctvrtletni
> vydani, nebo jste stale 'current'? co je pak nejlepsi udelat v pripade,
Ja osobne pouzivam 'current', ale cvrtletni branch je lepsi, chcete-li
mit garantovanejsi kvalitu.
Pouzivate-li cvrtletni branch a balik nema opravu, kterou chcete, je casto
mozne udelat cvs update -A jen u toho baliku, kde chcete posledni
verzi. Toto ale nefunguje, pokud se delaly nejake globalni zmeny
v pkgsrc. Mozna lepsi je poslat pozadavek na aktualizaci verze
i ve stabilnim vydani pkgsrc, pomoci send-pr.
> 1c) kdyz budu muset vyrabet vlastni balicky - predstavuju si, ze bych
> vedle pkgsrc mel jeste adresar treba 'moje-pkgsrc', kde by bylo vsecko
> stejne, jako v pkgsrc, jen by tam nebyly vsecky zbytecne adresare (ty,
> ktere by tam byly podruhe - ty bych promazal), a byly by tam ty moje.
> prislusne promenne by tedy byly nastaveny stejne a udaje o baliccich by
> se instalovaly podle predpokladu nekam do /var/db/pkg. bylo by to ok?
> nepohadaly by se?
Bylo by to OK. Viz odpoved k 1a).
> 1d) existuje cesta, jak obecne libovolny balicek snadno nainstalovat z
> pkgsrc do chrootu, nebo je potreba se tim pokazde protrapit u kazdeho
> rucne sam (pripadne udelat 'chroot' balicek)?
Nejjednodussi je asi pouziti pkgtools/pkg_tarup. Balicek se
nainstaluje normalne ve standardnim systemu, pak se pomoci pkg_tarup
vytvori binarni balicek, ktery se pak nainstaluje v chrootu pomoci
pkg_add (samozrejme pkg_add spustene v chrootu).
> 2) nasel jsem pekny priklad pouziti ipf a jen se chci ujistit (zatim
> nemam, kde vyzkouset):
> http://www.filibeto.org/sun/lib/security/ipf/securing-hosts-ipfilter.html
> Filtering Examples, prvni priklad - kdyz potrebuju odlisit prijimani
> paketu z lokalni site na branu a z lokalni site za branu (ven, do
> internetu), udelam to tak, ze filtrovani paketu na branu z lokalniho
> rozhrani dam pred povolenim vseho z lokalniho rozhrani?
Podobne by to melo fungovat. Jde tam o specialni zpracovani pravidel
oznacenych jako 'quick'. Na kazdy paket se postupne aplikuji filtrovaci
pravidla v ipf.conf. Odpovida-li paket pravidlu 'quick', zpracovani
tohoto paketu v tom okamziku skonci a dalsi pravidla uz se neaplikuji.
Mate-li tedy povoleno 'pass in quick ..' pro lokalni sit pred 'block in ...',
pro lokalni sit se spojeni povoli.
> 3) soukrome odhady na vydani 2.0? jsou vsechny porty podporovany stejne?
> da se nekde pripadne najit, ktere jsou podporovany hodne a ktere min? :-)
Vsechny porty jsou podporovany stejne co se tyce novych vlasnosti,
popularnejsi porty jsou ale prirozene lepe odtestovane nez ty mene
popularni. Release je nyni ve finalni fazi, zda se ze RC4 uz by
melo byt posledni. Mohlo by to tedy uz "brzo", mozna jen v radu
tydnu max.
> 4) na ftp.cz.netbsd.org je uz nejaky cas k dispozici pouze openbsd.
> nevite, s cim je problem?
Bohuzel ten hosting tam nebyl 100% spolehlivy, stroj mel casto vypadky
konektivity. Proto jsem to tam zrusil a hleda se jine umisteni. Zatim
lze pouzit jiny rychly mirror jako napr. ftp.fi.netbsd.org.
> 5) pouzivate lfs? je podle vaseho nazoru stabilni (bude v 2.0 stabilni)?
V 2.0 rozhodne nebude stabilni. Udelaly se na nem v 2.0 nejake
stabilizace, ale filesystem neni pro rutinni pouziti. Prozatim
je lepsi volba FFS + softdep.
> 5a) pouzivate quoty souboroveho systemu? ma to nejake zjevne nevyhody
> (zatez)?
Nema to zadne zjevne nevyhody. Pouzivani quot samozrejme na nejaky
minimalni overhead (kernel si udrzuje prehled o poctu pouzitych
bloku pro kazde UID), ale neni to neco co by melo nejaky znatelny vliv
na vykon systemu.
> 5b) ma ffs problemy s mnoha soubory/adresari v jednom adresari? kdesi
> jsem kdysi cetl, ze linuxovy ext2 ma - oproti reiserfs (v. 3) - tuto
> nevyhodu.
Ne, nema s tim zadny problem jako takovy. Plati ale to, co psal
Pavel - jmena souboru FFS uklada v adresari netridene a tedy pri
kazdem vyhledavani konkretniho souboru se prohledava vetsi cast
adresare. Tedy stat, rm, mv, ln apod operace v takovem adresari mohou
byt o neco pomalejsi, ale jinak to samozrejme funguje normalne.
> 6) neexistuje nejaky blog/dennik/obcasnik ceskeho/slovenskeho
> netbsdckare (neco ala http://www.feyrer.de/NetBSD/blog.html)?
Ani jsem nevedel, ze si Hubert tohle vede :) Jo, to vypada jako
dobry napad, treba by se neco takoveho dalo zrealizovat na
netbsd.cz :) Uvazoval jsem tam o vedeni strucneho prehledu
novinek, tohle by mohla byt dobra forma.
Jarda
--
Jaromir Dolecek <jdolecek@NetBSD.org> http://www.NetBSD.cz/
-=- We can walk our road together if our goals are all the same; -=-
-=- We can run alone and free if we pursue a different aim. -=-