linux-l: dns-server

[Thomas Knop]

* Steffen Dettmer <steffen at dett.de> [07.01.02]:
>* Thomas Knop wrote on Fri, Jan 04, 2002 at 13:22 +0000:
[..]
>> - Lange lange, Bug History (8 wurde u.a. wegen der Bugs in vier entwickelt, 9 wegen der Bugs in 8, 
>> wann folgt 10?)
>
>Na ja, die neuen Versionen wurden ja nun nicht wegen der Bugs
>entwickelt. Bind 8 kann eben mehr und schicker als 4 und 9 kommt
>dann mit DNSSec und weiß ich was (hab ich mich noch nicht
>eingehender mit beschäftigt).
Sorry, ich kanns mir nicht verkneifen.
Bind 8 wurde im _wesentlichen_ wegen des schlechten Codes von bind 4 entwickelt.
Leider wurde der Code von Bind 8 aber _nicht_ vollständig neu entwickelt.
Zu den Features: Hier genau liegt der Haken. Die Entwickler haben eine 
grundsätzliches Prinzip von guter  und sicherer Software nicht verstanden: Ein Programm erledigt 
(genau) eine Aufgabe; das aber _gut_ und _sicher_ [1].
Was bietet Bind 8 Schon an tollen Features? Hier mal vier der wichtigsten Neuerungen (geneüber Bind 4):
1. Neue Konfigurationsdatei. Toll, der Parser ist um Faktor N aufwendiger und somit auch um
Faktor N*N fehleranfälliger. Wofür dieser Aufwand?
2. ACL's: Unnötig. Es gibt ander Programme die das besser können.
3. ZonenTransfer: Horror! Unverschlüsselt und (sehr) langsam. Es gibt bessere Programme.
4. Ohne Ende neue Log-Möglichkeiten: Super. Endlich eine Möglichkeit einen Namserver so 
aufzusetzten, das er 98% Load nur mit loggen über den syslogd verbringt.

Zu guter Letzt: Was soll das mit DNSSec in Bind 9? Willst Du wirklich eine Authentifizierungsstelle?
Womöglich dann noch kostenpflichtig, so wie SSL Zertifikate? Ich sage "Nein Danke"!

Trotzdem hat natürlich jeder/jede die Freiheit Bind weiterhin zu benutzen (und regelmäßig auf 
Sicherheitsupdates zu prüfen).

Gruß Thomas

[1]: Das gilt zumindest für sicherheitsrelevante Services; bei einem Anwendungasprogramm, ich
nenne als Beispiel mal einen Editor, kann es duchaus schön sein 6523 Millionen Funktionen zu haben ;-)