Что означает -hardened% ? Насколько я понимаю это относится к безопасности. Флаг случайно отвалился или это сделано с умыслом?
[ebuild R ] sys-boot/grub-0.97-r10 USE="-hardened%"
[ebuild R ] dev-libs/glib-2.28.6 USE="-hardened%"
[ebuild R ] net-im/skype-2.2.0.35-r1 USE="-hardened%"
[ebuild R ] www-client/chromium-12.0.742.112 USE="-hardened%"
[ebuild R ] net-libs/xulrunner-1.9.2.17 USE="-hardened%"
[ebuild R ] app-office/libreoffice-3.3.3 USE="-hardened%"
Вчера напоролся на эту мину. Результат - полностью неработоспособная система. Эффект как в винде заражённой опасным вирусом. Спас меня только откат на резервную копию, правда копия двухмесячной давности, приходится обновлять, практически всю систему. У меня CLS amd64.
Сочувствую. Действительно как то нелепо порою с обновлениями получается.
А я собственно хотел выполнить emerge -aegkDN world, чтобы скомпилировать оставшиеся пакеты и заметил, что мне подсовывают снова libreoffice и chromium, скомпилированные и сохраненные пакетами несколько дней назад. Само собой версии пакетов одинаковые. В системе ничего не менялось. Вот я и удивился очень. Выставление флага hardened в make.conf также предлагает компилировать уже готовые пакеты. Выходит флаг недавно ввели? Нужно с -hardened% компилировать или с hardened? Поясните, пожалуйста. Да и вообще что делать в этой ситуации?
P.S.
Обновил оверлей и портежи layman -s calculate && eix-update && eix-sync. Те флаги пропали, но выплыло www-client/firefox-3.6.17 USE="(-hardened)". Причем firefox вчера компилировал с созданием пакета установки. Чудеса блин. И запись отличается**(-hardened)**.
Чудес не бывает. Мантейнеры крутят флаги постоянно работают над пакетами. К сожалению изменения касаются существующих версий. Стоит немного задержать выпуск бинарных обновлений, как все болезненно начинают чувствовать выполнение флага “-N (--newuse)”. Это временно, т.к. бинарный репозиторий со средней задержкой в сутки приводится в соответствие с портежами.
В качестве мер защиты от подобных изменений в бинарном профиле, мы маскируем версии собираемых пакетов и фиксируем USE-флаги. Это исключает большую часть изменений, но не исключает подобные “-hardened” глобальные флаги.
Насколько я понимаю, эта проблема сейчас выходит на первый план. Я пока вижу два пути её решения:
# Переносить ebuild-ы собираемых пакетов в оверлей.
# Пойти по пути funtoo, держа копию репозитория на своем сервере, возможно даже в Git.
Уже сутки мардуюсь с рухнувшей системой. После возврата на бэкап, двухмесячной давности, запустил обновление мира, обновилось около 300 пакетов, застряло на phonon-gstremer, но важно не это, результат оказался аналогичен первому падению. Снова крякозябры вместо кирилицы, видеодрайвер в ауте, дэфолтные настройки, после перезагрузки иксы отказались запускаться. Так и не понял, какой пакет снова всё обвалил? Похоже круг замкнулся, откатился обратно на 11,3…
застряло на phonon-gstremer
phonon-gstreamer не входит в состав CLD, здесь я ничего сказать не могу.
Снова крякозябры вместо кирилицы
Кракозябры, в X-ах или в консоли? Если в консоли, попробуйте восстановить: <<cl-install --live>>.
видеодрайвер в ауте
Какой видеодрайвер? Если проприетарный Nvidia, тогда понятно. После обновления ядра, его нужно выполнить <<module-rebuild -X rebuild>>.
P.S.
# Не забывайте после обновления обновлять конфигурационные файлы. Для /etc/init.d скриптов это очень актуально.
# Самый безопасный, простой и быстрый способ обновления - иметь второй раздел под систему. CD/USBFlash при этом не требуется. Обновление занимает около 5 минут, не прерывая основной работы.
phonon-gstreamer не входит в состав CLD, здесь я ничего сказать не могу.
У меня CLS, незнаю почему вытягивается этот пакет по зависимостям.
Кракозябры, в X-ах или в консоли? Если в консоли, попробуйте восстановить: cl-install --live.
Везде, кракозябры в иксах, а в консоли кирилица отображается так - ?
Какой видеодрайвер? Если проприетарный Nvidia, тогда понятно. После обновления ядра, его нужно выполнить module-rebuild -X rebuild.
Обязательно выполнял, так как после обновления подгрузилось новое ядро.
Самое главное, что регулярно обновляюсь каждый день, всё было нормально, до этого злополучного дня, когда около десяти пакетов потребовали пересборку под этот злополучный флаг hardened. Меня ещё удивило, что около сорока конфигов после этого потребовали обновления через etc-update. Не обратил особо внимания, выполнил, и после этого началось…
У меня CLS, незнаю почему вытягивается этот пакет по зависимостям.
Потому что в CLS мы изменяем USE флаги по минимуму, т.е. не выключаем флаг “gstreamer”.
Везде, кракозябры в иксах, а в консоли кирилица отображается так - ?
Попробуйте вернуть настройки через <<cl-install --live>>. Приведите вывод <<grep cl_merges /etc/calculate/calculate2.env>>.
Насчёт hardened. Скоро будут готовы бинарные обновления. Пока портежи бегут впереди бинарного репозитория, такие траблы с компиляцией будут. В рассылке я поднял этот вопрос. По всей видимости придется делать зеркало портежей.
http://www.calculate-linux.ru/maillist/message/615
Теперь уже ничего сделать немогу, так как откатился обратно на резерв. Позже попробую снова обновить мир.
Посмотрю сегодня что там с обновлением. Сервер просто не справляется сперва компилировать с -hardened, затем (-hardened) и так для всех десктопов для двух архитектур 
Спасибо за помощь. Надеюсь, преодолеем засаду.
Alexander Tratsevskiy wrote:
Чудес не бывает. Мантейнеры
крутят флагипостоянно работают над пакетами. К сожалению изменения касаются существующих версий. Стоит немного задержать выпуск бинарных обновлений, как все болезненно начинают чувствовать выполнение флага “-N (--newuse)”. Это временно, т.к. бинарный репозиторий со средней задержкой в сутки приводится в соответствие с портежами.В качестве мер защиты от подобных изменений в бинарном профиле, мы маскируем версии собираемых пакетов и фиксируем USE-флаги. Это исключает большую часть изменений, но не исключает подобные “
-hardened” глобальные флаги.Насколько я понимаю, эта проблема сейчас выходит на первый план. Я пока вижу два пути её решения:
# Переносить ebuild-ы собираемых пакетов в оверлей.
# Пойти по пути funtoo, держа копию репозитория на своем сервере, возможно даже в Git.
“К сожалению изменения касаются существующих версий” - мысль очень хорошая. Зафиксировать удачные флаги и не менять их до обновления версии, либо пока они не станут стабильными для этой версии.
“Стоит немного задержать выпуск бинарных обновлений” - это сказывается и на профиле с компиляцией из исходников. Частая смена флагов не позволяет обновлять мир или пересобирать его командой emerge -aebgkDN world из-за плавающих флагов.
Возможно нужно пересмотреть систему управления флагами, чтобы можно было получать желаемый результат независимо от сиюминутных желаний множества мантейнеров.
Так же был удивлен всплывшем hardened, когда второй раз обовление мира показала те же пакеты на сбор ещё раз, подумал прошлый раз обновление было прервано, логи не смотрел, комп нет возможности постоянно контролировать. на текущий момент флага харденед не видно, система работает нормально. Проблема со стороны мейнейнеров генты. Своё дерево портажей на гите было бы здорово, синкатся с основным раз в сутки по аналогии с фунтой, поможет избежать проблем с обновлениями. Разрабам больше работы, пользователям больше комфорта - гуд
С горем пополам востановил систему с 11,3 до 11,6 одни пакеты обновились автоматом, некоторые пришлось обновлять вручную. Осталось один пакет установить и один обновить. http://pastebin.calculate-linux.ru/ru/show/1326 Проблема в том, что никак не хочет вставать пакет media-libs/phonon-gstreamer-4.5.0. После emerge -avuDN world он стоит в очереди на установку, но компиляция вываливается с ошибкою. Из за него libreoffice обновляю вручную. Что делать с этим пакетом?
Что делать с этим пакетом?
Вообще его не ставить. Пропишите в USE=“-gstreamer”, как это сделано в CLD.
Так и сделал, проблема ушла, но настораживает вывод комманды:
http://pastebin.calculate-linux.ru/ru/show/1328
Они действительно не нужны?
Ага.
Подскажите пожалуйста, как нейтрализовать такие флаги?
[ebuild R ] www-client/firefox-3.6.17 USE="-custom-cflags% (-hardened%)"
P.S.
Я компилирую пакеты под свой компьютер сам и лично у меня нет абсолютно никакого желания пересобирать их каждый раз при обновлениях, когда флаги меняются, а потом снова возвращаются в предыдущее состояние. Очень смахивает на извращенное издевательство. Особенно учитывая, как наблюдалось в последних обновлениях, что флаги могут меняться на обратные чуть ли не сразу после их возникновения в дереве портежей. Также не считаю правильным описания флагов в виде огрызков - мол влияет на безопасность "hardened activate default security enhancements for toolchain (gcc, glibc, binutils)". Это отвратительное качество для прозрачной системы. Возможно было бы неплохо застабилизировать набор флагов в дистрибутиве. Мантейнеры могут их менять местами до посинения и мы будем с вами играть в игру туда-сюда-обратно. Где логика? Есть предложения как нормализовать ситуацию? Или только копия портежей может частично спасти ситуацию? Может быть при обновлении портежей мы все же должны принимать решение нужно ли нам конкретное изменение в работе флагов? Вопросов на самом деле тьма, написал тут об этом частично в продолжении темы. Заранее благодарен за помощь.
Частично вышел из затруднительно положения следующей командой, чтобы докомпилировать, оставшиеся нескомпилированными, новые пакеты после переустановки системы из своих заранее скомпилированных пакетов:
# emerge -aebgk --reinstall changed-use world
Разумеется мой вопрос решило отчасти, так как вернуть флаги в исходное положение у меня не получилось и как их оставить в том состоянии, в котором они были скомпилированны мною, я не понимаю. Хуже того я не понимаю мотивов такой смены флагов.