<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Dec 21, 2016 at 11:22 AM, Yves-Alexis Perez <span dir="ltr"><<a href="mailto:corsac@debian.org" target="_blank">corsac@debian.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">> b7754fe changelog: d/rules: Make override_dh_strip a nop<br>
<br>
</span>I don't think this one is ok. Stripping the binaries is a Debian Policy<br>
*should*.<br>
<span class="gmail-">><br>
> The (to be enabled in a later commit in this series) plugin "integrity-test"<br>
> provides a useful extra feature for the cautious strongswan admin.<br>
> It stores checksums of its libraries and can check non-malicious errors to<br>
> avoid accidentially loading bad libraries.<br>
> See <a href="https://wiki.strongswan.org/projects/strongswan/wiki/IntegrityTest" rel="noreferrer" target="_blank">https://wiki.strongswan.org/<wbr>projects/strongswan/wiki/<wbr>IntegrityTest</a> for<br>
> more.<br>
><br>
> It is an experimental feature, but out there for a while and was enabled in<br>
> Ubuntu per user request, so I assume it has its use in the field.<br>
<br>
</span>I have my opinion on this, but I'll keep them to that latter mail.<br>
<span class="gmail-">><br>
> To be able to do so it stores the checksums as part of the build process.<br>
> But to match those sums later on the build is not allowed to strip the<br>
> plugins.<br>
> That is listed in the "conflicts" section of the Wiki page.<br>
<br>
</span>I think it'd be best to store the checksum of the stripped binaries in any<br>
case.</blockquote></div><br>Hi Yves-Alexis,</div><div class="gmail_extra">yeah I expected this to be a more discussion-worth one.</div><div class="gmail_extra"><br></div><div class="gmail_extra">I contacted a few more people and it turns out that those that "really really" need</div><div class="gmail_extra">it e.g. for FIPS create an own checksum checker independent of the integrity-test plugin.</div><div class="gmail_extra"><br></div><div class="gmail_extra">That said I'm totally ok with not taking the stripping change, but in that case we should drop the integrity check plugin since we know it won't be usable.</div><div class="gmail_extra">Change might be something like the following on top on the other enablement bits:</div><div class="gmail_extra"><br></div><div class="gmail_extra"><div class="gmail_extra">diff --git a/debian/control b/debian/control</div><div class="gmail_extra">index 343e0bd..7872360 100644</div><div class="gmail_extra">--- a/debian/control</div><div class="gmail_extra">+++ b/debian/control</div><div class="gmail_extra">@@ -106,8 +106,6 @@ Description: strongSwan utility and crypto library</div><div class="gmail_extra">   - resolve (Writes name servers received via IKE to a resolv.conf file or</div><div class="gmail_extra">     installs them via resolvconf(8))</div><div class="gmail_extra">   - test-vectors (Set of test vectors for various algorithms)</div><div class="gmail_extra">-  - libchecksum (not a plugin, but an integrity check to detect</div><div class="gmail_extra">-    misconfigurations or non-malicious file manipulations)</div><div class="gmail_extra"> </div><div class="gmail_extra"> Package: libstrongswan-standard-plugins</div><div class="gmail_extra"> Architecture: any</div><div class="gmail_extra">diff --git a/debian/rules b/debian/rules</div><div class="gmail_extra">index 03592a9..0c6aeda 100755</div><div class="gmail_extra">--- a/debian/rules</div><div class="gmail_extra">+++ b/debian/rules</div><div class="gmail_extra">@@ -51,7 +51,6 @@ CONFIGUREARGS := --libdir=/usr/lib --libexecdir=/usr/lib \</div><div class="gmail_extra">                --enable-imv-scanner  \</div><div class="gmail_extra">                --enable-imv-swid \</div><div class="gmail_extra">                --enable-imv-test \</div><div class="gmail_extra">-               --enable-integrity-test \</div><div class="gmail_extra">                --enable-ipseckey \</div><div class="gmail_extra">                --enable-kernel-libipsec \</div><div class="gmail_extra">                --enable-ldap \</div></div><div class="gmail_extra">
</div></div>