Debian 3 - la meno stabile :-\

To: "Debian Italian Mailing List" <debian-italian@lists.debian.org>
Subject: Debian 3 - la meno stabile :-\
From: "Thor" <thor@netcaffe.net>
Date: Thu, 22 Aug 2002 17:31:43 +0200
Message-id: <[🔎] 006f01c249f1$32fd4400$0101a8c0@home>
Hi all,

Sono passate 2/3 settimane da quando ho aggiornato vari server a debian 3
(woody)
e devo dire che per la prima volta (li aggiorno sin dalla debian 1.1) sono
abbastanza
deluso da questa stable.

Ho riscontrato vari problemi in parecchi pacchetti tra i quali alcuni molto
importanti.
Problemi di integrazione con gli altri pacchetti debian, problemi di upgrade
(+ numerosi
rispetto alle altre volte) e cosi' via ...

premetto che gli upgrade li effetto sempre sostituendo tutti i files di
configurazione
con quelli nuovi (quando richiesto) e poi eventualmente riporto le modifiche
sui
nuovi files

tanto per elencare qualche problema/pacchetto :

- Sendmail
se leggo la descrizione del pacchetto trovo
" Sendmail provides Security and SPAM/UCE/UBE protection via several means:
  - STARTTLS(SSL) RFC2487 encryption for mail reception/delivery.
  - STARTTLS(SSL) authentication (certificate based) for access/relay
control."
ebbene, mi sono creato tutti i certificati partendo dal "Root CA" che ho
gia' attivo
da tempo, ho letto tutta la documentazione e ho perso 4 ore a fare prove
per poi scoprire in Debian-specific.gz
"
Removed:-------------------------------------------------------------

        1)      TLS support disabled because the maintainer is in the US,
                he'll need to wait until Debian supports crypto export from
US. "

??? ma se e' stato rimosso perche' allora l'hanno messo sulla descrizione
del pacchetto ?
e poi non c'e' anche non-us.debian per queste cose ?
tra l'altro anche telnettando sulla 25 e chiedendo l'help risulta STARTTLS
ma in effetti anche provando con "openssl s_client -connect
192.168.1.4:25 -prexit -state -tls1 -showcerts"
non c'e' verso di connettersi in modalita' sicura quindi immagino che il
"removed" corrisponda a verita' ... :-(
tra l'altro, l'installazione ora attiva anche MSP oltre all'MTA che e' stato
separato in 2 processi
e per l'MSP utilizza un nuovo file di configurazione submit.mc e apre una
ulteriore porta la 587.
Fosse almeno utilizzato o comunque ben documentato (ancora non mi e' ben
chiaro
a cosa gli serva MSP). Su un server con un buon traffico di posta ho
attivato le statistiche
e in queste 2/3 settimane MSP non e' mai stato utilizzato per una sola email
...

- mailscanner
oltre a far parte di quella ormai grossa schiera di pacchetti che con il man
risponde
 " undocumented  - No manpage for this program, utility or function."
ho trovato non pochi problemi ad integrarlo con sendmail benche' sendmail
sia uno degli MTA supportati oltre ad exim e nella description del pacchetto
ci sia  "It uses sendmail or Exim as its basis, " ...
il fatto e' che anche questa versione e la documentazione allegata spiega
come
installarlo con il sendmail precedente (quello della potato per intenderci)
perche'
assume che lo start di sendmail sia in /etc/init.d/sendmail mentre invece
questo e'
diventato soltanto un wrapper all'helper di sendmail (uno script che fa
tutto) e,
cosa ben + grave, non considera affatto che ora sendmail e' stato
"sdoppiato" in
MTA (a sua volta sdoppiato in "Listener Daemon" e "Queue Daemon") e MSP ...
Infine, pur essendo riuscito a creare le code come richiesto, al momento
mailscanner non passa (ne parsa) le email dalla directory mqueue.in (nelle
quali le trovo) alla directory mqueue per le quali e' in attesa un'ulteriore
processo di sendmail ...

- logcheck
ha una nuova struttura con le directory al posto dei files di configurazione
e facendo l'upgrade ci si trova con i vecchi files e le nuove directory
oltre
a dei nuovi files. Per scoprire quali erano i files ancora utilizzati mi
sono dovuto
fare la lista di quelli ancora utilizzati guardando il programma e
spostartli
in una directory old per fare un po' di pulizia e riportare le
personalizzazioni
nei nuovi files ... la cosa poteva essere fatta comodamente con uno script
di pre e post install

- snort
questo e' l'aggiornamento + bello ;-)
praticamente dopo aver aggiornato risulta completamente morto,
pur essendo in esecuzione, per la mancanza di una riga nel syslog.conf
e nei suoi file di configurazione standard ... oltre a questo, il fatto
di aver cambiato le descrizioni mettendo la parola "attack" in quasi
tutti i rilevamenti (inclusi quelli per i worm di IIS tipo "Red Code"
dei quali proprio non ce ne cala nulla) rende i rapporti di logcheck
immensi e non filtrabili (perche' su logcheck manca l'ignore
per il relativo file di cracking) a meno di non togliere la parola
"attack" dal file logcheck.cracking perdendo in questo modo
gli avvisi di attacco verso gli altri servizi ...
Non vi dico poi il report statistico che genera. Oltre a mancare
l'oggetto (vuoto) che ritrovo nel body dell'email (probabilmente
hanno messo i 2 LF prima di subject e non dopo) risultano
ora praticamente inutili perche' mentre prima ragruppavano
per ip sorgente e destinazione il tipo di attacco, ora danno
semplicemente uno sterile e inutile elenco di questo tipo

PORTSCANS:
03:17:35 Aug: time(24s) hosts(14) TCP(17) UDP(0)
04:52:06 Aug: time(26s) hosts(20) TCP(23) UDP(0)
05:55:08 Aug: time(23s) hosts(15) TCP(18) UDP(0)
....

bello eh ? ;-)
sembra che lo script non sia stato adattato ai log ...
almeno cosi' voglio sperare perche' se questo
era invece lo scopo finale ... bah

- Xfree
ovviamente ho aggiornato anche alcune workstation
e non soltanto i server ;-). Nella 3.0 viene fornito la versione 4.1
quindi mi sembra ovvio l'upgrade. Ebbene, alcune workstation
con schede video S3 ho dovuto downgradare a 3.3 perche' le
S3 non sono ancora supportate e un portatile con il LynxEM
(Silicon Motion) ho dovuto scaricare e upgradare a 4.2
perche' funzionava da cani mentre con 3.3 andava benissimo.
N.B: anche le altre workstation ho provato ad upgradare a 4.2
per le quali c'e' un minimo di supporto S3 ma era veramente
instabile.


domandona finale : sono stato brutalmente puntato da murphy
per avere una sfiga galattica oppure veramente non e' + la debian
(o i manteiner) di una volta ? O l'uscita e' stata precipitosa ?
Che sia giunto il momento di provare la distribuzione di Theo ? ;-)

In realta' ho scritto questo poema con 2 propositi (e non per fare futili
critiche):
- aiutare chi si trova in situazioni analoghe
- ricevere qualche indicazione che magari mi e' sfuggita

flame >/dev/null


P.S: ciliegina sulla torta : oggi www.debian.org non e' raggiungibile ;-)


--
;---+---;
bye |
bye |hor
Reply to:
Follow-Ups:
- Re: Debian 3 - la meno stabile :-\
  - From: Federico Di Gregorio <fog@initd.org>
Prev by Date: lopster
Next by Date: kernel: spurious 8259A interrupt: IRQ7
Previous by thread: Re: lopster
Next by thread: Re: Debian 3 - la meno stabile :-\
Index(es):
- Date
- Thread