linux-l: dns-server
Markus Hubig
lord.aragon at gmx.net
Mi Jan 9 01:01:42 CET 2002
Moin Steffen!
Steffen Dettmer schrieb am Montag, den 07. Januar 2002:
> * Thomas Knop wrote on Mon, Jan 07, 2002 at 11:23 +0000:
>> * Steffen Dettmer <steffen at dett.de> [07.01.02]:
>>>* Thomas Knop wrote on Fri, Jan 04, 2002 at 13:22 +0000:
>> [..]
>>>Na ja, die neuen Versionen wurden ja nun nicht wegen der Bugs
>>>entwickelt. Bind 8 kann eben mehr und schicker als 4 und 9 kommt
>
>> genau liegt der Haken. Die Entwickler haben eine
>> grundsätzliches Prinzip von guter und sicherer Software nicht
>> verstanden: Ein Programm erledigt (genau) eine Aufgabe; das
>> aber _gut_ und _sicher_ [1].
>
> Was natürlich immer ein Kompromiß ist. Gerade sicher wird bei DNS
> schnell sehr aufwendig. Sicher ist überhaupt fast immer sehr
> aufwendig.
Nee, ich denke das ist ein grundsetzliches Verstaendnissproblehm.
Sicherheit ist kein Programierkuststueck sondern vor allem eine Frage
des Konzeptes. Vor Unachtsamkeiten und (kleineren) Fehlern im Code ist
man nie gefreit und es braucht meist sehr lange um alle zu entdecken.
Wenn aber schon das Konzept der Software auf Sicherheit ausgelegt ist,
dann sind auch Fehler im Code nicht so tragisch.
Und gute Beispiele fuer ein hervorragendes sicherheitsbewustes
Software-Konzept sind nun mal djbdns, qmail und publicfile.
>> Trotzdem hat natürlich jeder/jede die Freiheit Bind weiterhin
>> zu benutzen (und regelmäßig auf Sicherheitsupdates zu prüfen).
>
> Mag ja sein, daß Bind so schlecht ist; aber solange es nichts
> gibt, was man als replacement verwenden kann, hilft's wieder nix.
> Und ob ein Server gut cachen kann oder nicht, ist für micht
> weniger interessant. Da muß man ja auch bei bind nix weiter
> machen, geht immer. Bloß eben viele Zonen verwalten, die dann
> teils von anderen Slaves bedient werden und so, daß ist nicht so
> ganz einfach. Da braucht's dann NOTIFICATIONs und sowas, geht
> eben nicht anders. Ich hab auch lieber sorgfältig entwickelte und
> saubere Software, aber nur, wenn sie auch funktioniert :) Und
> soweit ich mich erinnere, konnte die "kleinen" Server immer
> mindestens eine wichtige Funktion nicht...
Also das ist kein Argument, denn djbdns kann IMHO bind vollständig
ersetzen! Und wenn dir Zone-Trasfers so wichtig sind schau dir doch
mal
| http://cr.yp.to/djbdns/axfrdns.html
und das hier
| http://cr.yp.to/djbdns/frombind.html
an! Auserdem gibt es ein Tool welches wie geschaffen ist fuer
Zone-Trasfers: rsync. Hir mal ne kleine Tabelle die die Vorteile von
rsync gegenueber Zone-transfers auflistet.
| Here's a table summarizing the situation as of July 2001:
|
| Zone transfers | rsync over ssh
| ------------------------------------------------------------
| Automatic handling of new zones No | Yes
| ... and client differentiation No | Yes
| ... and scheduled record changes No | Yes
| Replication soon Yes | Yes
| ... which means now No | Yes
| Success reported locally No | Yes
| Errors reported locally No | Yes
| Compressed transfers No | Yes
| Incremental transfers Yes | Yes
| ... of data added by hand No | Yes
| ... or by common web tools No | Yes
| Encrypted transfers No | Yes
| Authenticated transfers Yes | Yes
| Usable for other services No | Yes
| Supported by the BIND company Yes | No
( Lesenswerte Quelle http://cr.yp.to/djbdns/faq/axfrdns.html )
Gruss Markus
--
Markus Hubig <mhubig at web.de>++++Ulrichswiesen 8++++75387 Neubulach++
[tele: +049 7053 967197]**[reg. Linux user #204961]**[ICQ# 98188685]
Key fingerprint = 3078 2396 9712 5FAD E9F2 B20A F352 EB64 589A EFDC
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 248 bytes
Beschreibung: nicht verfügbar
URL : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20020109/8d083301/attachment.sig>
Mehr Informationen über die Mailingliste linux-l