Summary: | control openssl-gost портит openssl.cnf | ||
---|---|---|---|
Product: | Sisyphus | Reporter: | Slava Aseev <ptrnine> |
Component: | openssl-gost-engine | Assignee: | manowar <manowar> |
Status: | CLOSED FIXED | QA Contact: | qa-sisyphus |
Severity: | normal | ||
Priority: | P5 | CC: | aen, cas, glebfm, manowar, ptrnine, rider |
Version: | unstable | ||
Hardware: | x86_64 | ||
OS: | Linux |
Description
Slava Aseev
2020-01-24 17:36:43 MSK
Принципиально, я не против переделать скрипт. Но мне нужно какое-то доказательство, что при наличии строчки openssl_conf=секция, параметры, как вы правильно указали, вне всякой секции вообще учитываются OpenSSL. Мне кажется, что openssl_conf=секция говорит OpenSSL, что "конфиг теперь начинается с <секция>, а всё, что выше, нужно отбросить". (Ответ для manowar@altlinux.org на комментарий #1) > Принципиально, я не против переделать скрипт. Но мне нужно какое-то > доказательство, что при наличии строчки openssl_conf=секция, параметры, как > вы правильно указали, вне всякой секции вообще учитываются OpenSSL. Мне > кажется, что openssl_conf=секция говорит OpenSSL, что "конфиг теперь > начинается с <секция>, а всё, что выше, нужно отбросить". Тут как раз таки проблема в том, что параметры, которые были глобальными, после отработки скрипта теперь входят в openssl_conf. Вот начало конфига с пометками, чтоб было понятнее: openssl_conf = openssl_def #### Эти строки были вставлены скриптом [ openssl_def ] engines = engine_section # #### Файл раньше начинался вот здесь # OpenSSL example configuration file. # This is mostly being used for generation of certificate requests. # # Note that you can include other files from the main configuration # file using the .include directive. #.include filename # This definition stops the following lines choking if HOME isn't # defined. HOME = . #### упс, кажется этот был параметр без секции, а теперь входит в [ openssl_def ] # Extra OBJECT IDENTIFIER info: #oid_file = $ENV::HOME/.oid oid_section = new_oids #### и этот тоже # To use this configuration file with the "-extfile" option of the # "openssl x509" utility, name here the section containing the # X.509v3 extensions to use: # extensions = # (Alternatively, use a configuration file that has only # X.509v3 extensions in its main [= default] section.) [ new_oids ] ..................... То есть, параметры HOME и old_section теперь попадают в [ openssl_def ], хотя были глобальными ping Хорошо. Я сейчас проверю отладчиком как раз на "oid_section". Если выяснится, что он читается только вне всякой секции, то поправлю контрол. Да, действительно, секция [ openssl_def ], объявленная в самом начале ломает нормальное чтение конфига. И я нашёл два способа починить это. Самый простой заключается в том, чтобы просто назвать эту первую секцию специальным именем [ default ]. Тогда "глобальные" переменные читаются. В итоге будет: openssl_conf = default [ default ] engines = engines_section ... # и дальше исходный файл, затем ... [ engines_section ] # и всё гостовое Второй способ заключается в том, чтобы назвать секцию, где объявляются engines другим именем (имя default использовать в этом случае нельзя) и поместить эту секцию в середину или же в конец: # OpenSSL example configuration file. # и дальше исходный файл, затем ... openssl_conf = default_modules [ default_modules ] engines = engines_section [ engines_section ] # и всё гостовое Какой вариант больше нравится? по мне так оба варианта выглядят рабочими. Просто исходя из того, что использование секции default выглядит костылём, я бы предпочёл объявление в конце файла с другим именем. Но тебе виднее, как мне кажется. (Ответ для manowar@altlinux.org на комментарий #5) Лучше в конец. (In reply to manowar@altlinux.org from comment #8) > http://git.altlinux.org/tasks/252666/ Ping? Если новое поведение подходит, то мне нужен approve, чтобы наконец обновить в Сизифе. Ping $ ssh girar task show 252666 id=252666 locked=no shared=no fail_early=yes test_only=yes repo=sisyphus owner=manowar state=EPERM try=1 iter=1 age=23w build_time=2020-Jun-01/17:42:03 100:dir=/people/manowar/packages/openssl-gost-engine.git 100:tag_name=v1.1.0.3.0.255.ge3af41d.p1-alt3 100:tag_id=167c32d1e5f49908d58d8fbd7f3786fb7b6d7d84 100:tag_author=Paul Wolneykien <manowar@altlinux.org> 100:fetched=2020-06-01T17:35:22 100:userid=manowar 100:pkgname=openssl-gost-engine $ ssh girar acl sisyphus openssl-gost-engine show openssl-gost-engine glebfm openssl-gost-engine-1.1.0.3.0.255.ge3af41d.p1-alt3 -> sisyphus: Mon Jun 01 2020 Paul Wolneykien <manowar@altlinux> 1.1.0.3.0.255.ge3af41d.p1-alt3 - Fix for the "openssl-gost' control: Don't override the main section (closes: 37922). |