DNS

Petr Novotny Petr.Novotny na antek.cz
Pondělí Duben 10 09:18:23 CEST 2000


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 7 Apr 00, at 19:27, Jan Kasprzak wrote:

>  Aniz bych zpochybnoval nutnost bezpecneho navrhu sitoveho
> serveru, overflow v BINDu neni nebezpecny, dokud existuji snadno
> dostupne (ftp://ftp.fi.muni.cz/pub/linux/people/jan_kasprzak/) baliky
> chrootovaneho BINDu. Samozrejme, spoustet BIND jako root a bez chrootu
> je potencialni sebevrazda.

Reknete to RedHatu. Schvalne, jak se defaultne donedavna 
instaloval (a mozna stale jeste instaluje) BIND? Jako root.

Grrr.

>  U DNScache je hlavnim zaporem to, ze je to DJBware. A pokud
> se DJB rozhodne, ze neco nepotrebuje, pak to tam neni a mnohdy je
> tezke to doimplementovat. Nemam moc poneti, proc by nebylo mozne
> napsat full-featured DNS server tak, aby byl bezpecny.

Problem je spis napsat ho tak, aby byl rychly.

Kazdopadne, v TETO CHVILI (zdurazneno) je problem v tom, ze 
zadny "full-featured bezpecny" DNS server neni. Je mozne 
diskutovat o tom, ze by bylo fajn, aby byl, ale vaporware 
nenainstaluju.

> Ale proc by DNS server nemel umet CNAME nebo wildcard records
> (i kdyz jsou strongly deprecated), to opravdu nechapu.

Wildcards jsou z duvodu efektivity. Prohledavani s wildcardy je 
vyrazne pomalejsi nez prohledavani bez wildcardu.

CNAME z duvodu, ze je DJB nema rad. (Fakt je, ze az prilis casto 
ukazuje MX nebo NS na CNAME (chybovy stav). A fakt je, ze 
CNAME jsou casto naduzivane. A fakt je, ze jejich resolvovani 
zdrzuje, pokud ukazuji out-of-zone, a fakt je, ze uz jsem videl az 
moc dangling CNAMEs.)

CNAME v tinydns do zony zavest LZE jako genericky rekord. Jen 
to neni tak elegantni. "Odpuzujici z estetickych duvodu", ale jinak 
plne podporovane.

>  Zajimalo by me, kdy se nekdo dostane k zone, kde by to zacalo
> na rozumnem HW vadit.

Podle lidi z "vetsich americkych ISP" to u nich je problem znacny. 
Nemyslim, ze by je DJB podplacel, aby mu to potvrzovali. :-)


-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60 
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBOPFyMFMwP8g7qbw/EQK7zACgidv0PeDJIUBZ5q9YbjQpbDzM/yYAn2Qq
82LgdO1YuisPfidfCGvNbAow
=HfVy
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]


Další informace o konferenci Linux