NIC a AXFR (was Re: ACL v BINDU - vyznam...)

Petr Novotny Petr.Novotny na antek.cz
Pátek Srpen 20 19:28:42 CEST 1999 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

> > To je dobre. Jeste by mel udelat kontrolu SMTP, WWW, zjistit, 
> > zda nepouziva derave verze programu, atd.

[zvlastni, ze na tohle nikdo nereaguje]

> > Je to hrube nad ramec toho, co ma delat - registrovat domeny. 
> > Podminkou registrace (technickou) by mela byt existence 
> > funkcnich nameserveru. Zadne RFC _neprikazuje_, aby bylo AXFR 
> > povolene, takze nameserver, ktery AXFR nepovoli, neni podle 
> > zadneho RFC nefunkcni, a CZ NIC by se tim nemel dale zabyvat.
> 
> Tady s tebou ovsem nesouhlasim. Pokud je pri registraci domeny provedena
> zakladni kontrola zaznamu, urcite to prispiva k dobre funkcnosti Internetu
> jako celku. Nevim, jake mas zkusenosti ty, ale ja osobne vim, ze bordel v DNS
> muze zpusobovat (a zpusobuje) mnoho komplikaci, stejne jako nedodrzovani
> mnoha jinych standardu. Navic, CZ NIC odpovida za provoz domeny .cz a jako
> takovy ma podle mne pravo kontrolovat subdomeny v ni.

A co tim AXFR zkontroluje? Bude rekurentne prochazet i 
subdomeny, a hledat konzistentnosti v forward<->reverse DNS 
lookupech? Bude zkouset, zda stroje, ktere jsou v DNS uvadeny, 
existuji? Zkousi vubec, zda nekdo na adrese v SOA cte maily a 
rozumi jim? Jestli ne, tak zkouska s AXFR neprinasi zadnou 
dodatecnou kontrolu kompetentnosti adminu.

Ostatne NS zaznamy ukazujici na CNAME (ci MX zaznamy 
ukazujici na CNAME) mam v logu furt, a to i od domen pomerne 
frekventovanych... A nikdo je nerusi.

> CZ NICu bych vytknul mnoho veci, ale zrovna tex AXFR mi nijak zvlast nevadi.

Ale jiste, mne taky nevadi, a to presne do okamziku, kdy mi 
odmitne zaregistrovat domenu, ze se jim nepovedlo ls -d v 
nslookupu. Pak se nas*ru.

> Na druhou stranu si ale nejsem ani uplne jisty, jestli souhlasit s Martinem a
> povolovat AXFR uplne vsem. Myslim, ze minimalne za urcitych okolnosti neni od
> veci jej zakazat (napriklad kdyz nechci, aby si nekdo vylistoval vsechny
> domeny tretiho radu apod.). 

Znovu se ptam: Proc ho vubec povolovat jinym nez sekundarum (a 
mozna NICu)? Kdo kdy potrebuje neco vedet o vnitrnostech u me 
na siti?

Tohle je teziste me argumentace - ne "Proc zakazat", ale "Proc 
povolit". Nazory?

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60 
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBN72QSVMwP8g7qbw/EQIfhQCfaaPNw3QQJ6fOsWgsbehKyqbgSZgAoO2p
92dY6x+FVOmkKXyyLRLwb1wl
=Nhe0
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]

Další informace o konferenci Linux