dnscache (was Re: pthreads + dmalloc)
Petr Kristan
petr.kristan na epos.cz
Pondělí Leden 31 12:40:27 CET 2000
> On 31/01/2000, Petr Kristan wrote:
> > > > > Jeste bych rekl dejte tam dnscache misto cachujiciho bindu - DJB
> > > > > je presvedcen o tom, ze bind je nestvura dosahujici (temer)
> > > > > obludnosti sendmailu - ale do toho vam kecat nebudu :-)
> >
> > Mohl by mi nekdo rici, z jakeho duvodu vlastne bezi Bind jako root?
> > Krome toho, ze na porty pod 1024 se muze bindnout jen root. Ale to
> > lze jednoduse vyresit pres redirect.
> > Nekde jsem slysel, ze snad u novych jader bude mozno zrusit toto
> > omezeni.
>
> Jedinym duvodem, proc bezi Bind pod rootem je opravdu bindnuti portu.
> Redirect je v tomto pripade fuj fuj reseni. Kazdy normalni program
> bindne port a pak se setuidne/setgidne na nepriviligovaneho uzivatele.
> Bind neni vyjimkou, viz parametry -u a -g. Pokud Vam bezi pod rootem,
> mel byste se zamyslet nad svym pristupem ke cteni dokumentace :)
Omlouvam se, opravdu jsem to nejak prehledl (-u,-g). Zabyval jsem se
tim uz drive a to to asi neslo.
Ale proc potom vadi deravost programu.
Prinejhorsim mi ho nekdo shodi, ale to uz neni takovy prusvih. Jako
kdyz mi nekdo hackne server.
Proc ale napr. RH6 nespousti named -u?
Metoda povoleni bindnout se na port mi ale pripada lepsi.
Neni nutno upravovat program a pripada mi to bezpecnejsi.
Petr
Další informace o konferenci Linux