DNS

[Jan Kasprzak]

Petr Novotny wrote:
: On 6 Apr 00, at 11:10, Hroza Pavel wrote:
: > Co je na BINDu spatneho?
:
: 1. Je to program s dlouhou historii bezpecnostnich der. Podle 
: CERT je overflow v BINDu v soucasne dobe nejpouzivanejsi exploit.

	Aniz bych zpochybnoval nutnost bezpecneho navrhu sitoveho
serveru, overflow v BINDu neni nebezpecny, dokud existuji snadno dostupne
(ftp://ftp.fi.muni.cz/pub/linux/people/jan_kasprzak/) baliky chrootovaneho
BINDu. Samozrejme, spoustet BIND jako root a bez chrootu je potencialni
sebevrazda.

	U DNScache je hlavnim zaporem to, ze je to DJBware. A pokud
se DJB rozhodne, ze neco nepotrebuje, pak to tam neni a mnohdy je tezke
to doimplementovat. Nemam moc poneti, proc by nebylo mozne napsat
full-featured DNS server tak, aby byl bezpecny. U Qmailu jsou nektera
omezeni funkcnosti (EXPN a podobne) dana dekompozici na moduly.
Ale proc by DNS server nemel umet CNAME nebo wildcard records
(i kdyz jsou strongly deprecated), to opravdu nechapu.

: 4. Natazeni zony trva dlouho, nebot zona se musi "zkompilovat".

	Zajimalo by me, kdy se nekdo dostane k zone, kde by to zacalo
na rozumnem HW vadit. I u pomerne rozsahlych zon tento problem nepozoruji.
Tohle je taky jedna z vlastnosti DJBware - totiz to, ze je obvykle provazen
velkym DJB hype.

	Vyse uvedene rikam jako dlouholety pomerne spokojeny uzivatel
Qmailu a dalsiho DJBwaru bez jakehokoli zameru vyvolat flame war.

-Yenya

-- 
\ Jan "Yenya" Kasprzak <kas at fi.muni.cz>       http://www.fi.muni.cz/~kas/
\\ PGP: finger kas at aisa.fi.muni.cz   0D99A7FB206605D7 8B35FCDE05B18A5E //
\\\             Czech Linux Homepage:  http://www.linux.cz/              ///
\You did not allow to drop the packet and machine tries to keep it. It does/
\\ not hang by the way, it simply works too hard to respond 8)8)    --ANK //