DNS
Petr Novotny
Petr.Novotny na antek.cz
Pondělí Duben 10 09:18:23 CEST 2000
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 7 Apr 00, at 19:27, Jan Kasprzak wrote:
> Aniz bych zpochybnoval nutnost bezpecneho navrhu sitoveho
> serveru, overflow v BINDu neni nebezpecny, dokud existuji snadno
> dostupne (ftp://ftp.fi.muni.cz/pub/linux/people/jan_kasprzak/) baliky
> chrootovaneho BINDu. Samozrejme, spoustet BIND jako root a bez chrootu
> je potencialni sebevrazda.
Reknete to RedHatu. Schvalne, jak se defaultne donedavna
instaloval (a mozna stale jeste instaluje) BIND? Jako root.
Grrr.
> U DNScache je hlavnim zaporem to, ze je to DJBware. A pokud
> se DJB rozhodne, ze neco nepotrebuje, pak to tam neni a mnohdy je
> tezke to doimplementovat. Nemam moc poneti, proc by nebylo mozne
> napsat full-featured DNS server tak, aby byl bezpecny.
Problem je spis napsat ho tak, aby byl rychly.
Kazdopadne, v TETO CHVILI (zdurazneno) je problem v tom, ze
zadny "full-featured bezpecny" DNS server neni. Je mozne
diskutovat o tom, ze by bylo fajn, aby byl, ale vaporware
nenainstaluju.
> Ale proc by DNS server nemel umet CNAME nebo wildcard records
> (i kdyz jsou strongly deprecated), to opravdu nechapu.
Wildcards jsou z duvodu efektivity. Prohledavani s wildcardy je
vyrazne pomalejsi nez prohledavani bez wildcardu.
CNAME z duvodu, ze je DJB nema rad. (Fakt je, ze az prilis casto
ukazuje MX nebo NS na CNAME (chybovy stav). A fakt je, ze
CNAME jsou casto naduzivane. A fakt je, ze jejich resolvovani
zdrzuje, pokud ukazuji out-of-zone, a fakt je, ze uz jsem videl az
moc dangling CNAMEs.)
CNAME v tinydns do zony zavest LZE jako genericky rekord. Jen
to neni tak elegantni. "Odpuzujici z estetickych duvodu", ale jinak
plne podporovane.
> Zajimalo by me, kdy se nekdo dostane k zone, kde by to zacalo
> na rozumnem HW vadit.
Podle lidi z "vetsich americkych ISP" to u nich je problem znacny.
Nemyslim, ze by je DJB podplacel, aby mu to potvrzovali. :-)
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60
Comment: http://community.wow.net/grt/qdpgp.html
iQA/AwUBOPFyMFMwP8g7qbw/EQK7zACgidv0PeDJIUBZ5q9YbjQpbDzM/yYAn2Qq
82LgdO1YuisPfidfCGvNbAow
=HfVy
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
[Tom Waits]
Další informace o konferenci Linux