Chovani DNS serveru pri signalu HUP

Jan Houstek jan.houstek na mff.cuni.cz
Pátek Srpen 26 07:57:48 CEST 2005


On Fri, 26 Aug 2005, Dalibor Straka wrote:
> Pri reloadu nacte vsechny zony, ale podrizenym sekundarum posila notify
> pouze pri zmene serioveho cisla. Sam ovsem serviruje nova data.

Coz nic nemeni na tom, ze kdyz ta data zmenim, tak musim seriove cislo
zvysit. I kdybych si transfery zajistil nejak jinak.

> > Ono by se to takto melo delat vzdy -- bud je to kes, nebo autoritativni
> > nameserver.
>
> Ne vzdy je to treba. V mnoha pripadech je to plytvani penezi na dva
> nevyuzite stroje.

Kdo rika, ze to musi byt dva stroje? Pokud ma ten stroj dve adresy, muze
bezet kes na jedne a server na druhe.

Problem je v tom, ze michanim obou funkci se obchazi delegace. Napr.
nedavno se mi stalo, ze nefungovalo resolvovani nekterych domen na jedne
DNS kesi GTS. Zjistilo se, ze to bylo tim, ze ten stroj soucasne slouzil
jako autoritativni nameserver a pro tyto domeny byl nastaveny jako slave.
Jenze uz nebyl davno pouzivany, master byl jinde, takze ty zony expirovaly
a on vracel akorat error. Kdyby se nemichaly ty dve funkce, tak ta
zapomenuta konfigurace naprosto nicemu nevadi -- protoze se toho stroje
nikdo na ta jmena nebude ptat.

> > No, treba tinydns (autoritativni nameserver z baliku djbdns) funguje
> > tak, ze data serviruje rovnou z cdb souboru, tj. nekona se zadny
> > reload, jen se pri zmene dat musi znovu vygenerovat ten cdb soubor.
> > Neni to uplne blby napad.
> >
> Hmmm na hrani dobry. Ale abych zajistoval axfr tranfery dalsim demonem
> se mi prici!

sshd ti na tech strojich bezi tak jako tak, jaky dalsi demon? :-)
Aspon je u tech transferu rozumne zajistena bezpecnost a integrita.

-- Honza


Další informace o konferenci Linux