[devel] U: Re: Порядок установки openssl и libkrb5

Evgeny Sinelnikov sin на altlinux.ru
Вт Май 26 13:28:23 MSD 2009


26 мая 2009 г. 13:08 пользователь Sergey Vlasov <vsu at altlinux.ru> написал:
> On Tue, May 26, 2009 at 01:40:04AM +0400, Aleksey Avdeev wrote:
>> Dmitry V. Levin пишет:
>> >Виноват цикл зависимостей:
>> >$ rpmquery -pR libkrb5-1.6.3-alt7.x86_64.rpm |fgrep crypto
>> >libcrypto.so.7()(64bit)
>> >$ rpmquery -pR libssl7-0.9.8k-alt2.x86_64.rpm |fgrep krb
>> >libkrb5.so.3(krb5_3_MIT)(64bit)
>> >
>> >Этот цикл нужно разорвать в правильном
>> >месте, которое надо найти.
>>
>>   Как насчёт дополнения зависимостей openssl
>>   ручным PreReq: libkrb5 (тот вариант что я в
>> качестве NMU предлагаю)? (Есть ли подводные
>> камни?)
>
> Тогда то же самое произойдёт, если кому-то в скриптах потребуются
> библиотеки libkrb5.
>
> Возможно, стоит распилить libssl7, положив libcrypto.so.7 в отдельный
> пакет; тогда пакеты libkrb5 и libssl7 будут зависеть от libcrypto7, а
> у libcrypto7 в зависимостях из библиотек останется только glibc; ещё у
> libssl7 будет зависимость на libkrb5, но цикла в зависимостях уже не
> будет.  Кроме того, станет возможной установка libcrypto7 без libssl7
> (сейчас есть более 100 пакетов, использующих libcrypto, но при этом не
> использующих libssl).
>

Мне нравится этот вариант... Я так понимаю, что в этом случае #20175
теряет смысл.

> Либо можно пилить libkrb5 - ни одна из библиотек оттуда, используемых
> libssl.so.7 (libkrb5.so.3, libk5crypto.so.3), прямо или косвенно не
> использует libcrypto.so.7; зависимость этого пакета от libcrypto.so.7
> возникает из-за /usr/lib/krb5/plugins/preauth/pkinit.so.  Вообще пакет

Да, кстати утечка памяти в контекстах krb5 происходит именно при
инициализации и последующем не освобождении ресурсов при загрузке
модуля pkinit. Я полагаю, что singleton на загрузку модуля openssl, в
загружаемом динамически модуле krb5, является тому причиной.  Как
лечить эту архитектурную болячку krb5 я пока не понял (то есть всё
вроде понятно, но патча у меня пока нет). Если убрать pkinit от
openssl, то загрузка pkinit в krb5 перестаёт работать, но утечка
пропадает...

Может эти модули тоже стоит вынести в отдельные подпакеты?

> libkrb5 на самом деле не совсем похож на обычный пакет вида lib*
> (например, там есть файл /etc/rc.d/init.d/kdcrotate).
>

-- 
Sin (Sinelnikov Evgeny)


Подробная информация о списке рассылки Devel