christophe grandjean wrote:
> J'essaie de compiler sous solaris 10 le package INTEGRIT (http://
> integrit.sourceforge.net/)
> permettant d'avoir un équivalent à tripwire.
> Seulement le make se plante sur la libc manquante. En l'occurence c'est
> la libc.a qui manque
> puisque la configuration du makefile est en -static.
>
> J'ai contourné le problème en supprimant l'option static et en passant
> par les librairies dynamique.
> Ce qui s'oppose aux règles d'installation de ce produit car
> effectivement l'exécutable peut-être
> corrompu par une modification des librairies dynamique.
>
> Ma question est : comment se procurer les librairies statiques ?
>
> Je pense bien à opensolaris mais j'ai peur que le travail de
> compilation soit gigantesque.
Merci d'avoir reposté, la question *est* intéressante, et sûrement instructive
pour d'autres.
En fait, c'est normal, et la solution choisie est la bonne. Les bibliothèques
statiques 32 bit du système ont été retirées dans Solaris 10, voir les notes de
livraison, en français
http://docs.sun.com/app/docs/doc/819-0302/6n2o56kt8?a=view#eos-13
Comme indiquées, celles en 64 bit n'ont jamais été fourniées.
Il y a eu des discussions à ce sujet dans des groupes anglophones. Les raisons
avancées me semblaient bonnes.
D'après ce dont je me rappelle (si je me trompe, corrigez-moi), il y a en
particulier un problème de compatibilité binaire, justement: avec la libc
statique, des bouts de code dépendants d'une version donnée du kernel pouvait se
retrouver dans un exécutable, alors même qu'il n'utilisait que des APIs
standards.
Cela pouvoit donc avoir des effets de bords après mise à jour.
Concernant la sécurité, l'intérêt des binaires statiques n'est que relativement
faible. Solaris offre de bon système pour s'assurer qu'un binaire critique
n'utilise que des bibliothèques autorisées.
À l'inverse, maintenir des binaires statiques est un problème: si une
bibliothèque partagées contient une vulnérabilité, on la recompile, et toutes
les applications qui en dépendent sont corrigées.
Pour une statique, il faut tout recompiler, et dans le cas de celles qui sont
ubiquistes, comme libc ou zlib, cela représente beaucoup de boulot -- avec le
risque d'en oublier, et donc de laisser une vulnérabilité.
Bien sûr, ça se discute, je n'ai fait que présenter quelques arguments dans un
sens, il en existe d'autres, pour ou contre.
> Merci d'avance pour vos réponses éclairées.
J'espère que ça aide un peu.
Laurent
--
A hundred thousand lemmings can't be wrong!
___
Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures
Solaris_fr@x86.sun.com
http://x86.sun.com/mailman/listinfo/solaris_fr
