linux-l: dns-server

Markus Hubig lord.aragon at gmx.net
Mi Jan 9 01:01:42 CET 2002 

Moin Steffen!

Steffen Dettmer schrieb am Montag, den 07. Januar 2002:

> * Thomas Knop wrote on Mon, Jan 07, 2002 at 11:23 +0000:
>> * Steffen Dettmer <steffen at dett.de> [07.01.02]:
>>>* Thomas Knop wrote on Fri, Jan 04, 2002 at 13:22 +0000:
>> [..]
>>>Na ja, die neuen Versionen wurden ja nun nicht wegen der Bugs
>>>entwickelt. Bind 8 kann eben mehr und schicker als 4 und 9 kommt
> 
>> genau liegt der Haken. Die Entwickler haben eine
>> grundsätzliches Prinzip von guter  und sicherer Software nicht
>> verstanden: Ein Programm erledigt (genau) eine Aufgabe; das
>> aber _gut_ und _sicher_ [1].
> 
> Was natürlich immer ein Kompromiß ist. Gerade sicher wird bei DNS
> schnell sehr aufwendig. Sicher ist überhaupt fast immer sehr
> aufwendig.

Nee, ich denke das ist ein grundsetzliches Verstaendnissproblehm.
Sicherheit ist kein Programierkuststueck sondern vor allem eine Frage
des Konzeptes. Vor Unachtsamkeiten und (kleineren) Fehlern im Code ist
man nie gefreit und es braucht meist sehr lange um alle zu entdecken.
Wenn aber schon das Konzept der Software auf Sicherheit ausgelegt ist,
dann sind auch Fehler im Code nicht so tragisch.

Und gute Beispiele fuer ein hervorragendes sicherheitsbewustes 
Software-Konzept sind nun mal djbdns, qmail und publicfile.


>> Trotzdem hat natürlich jeder/jede die Freiheit Bind weiterhin
>> zu benutzen (und regelmäßig auf Sicherheitsupdates zu prüfen).
> 
> Mag ja sein, daß Bind so schlecht ist; aber solange es nichts
> gibt, was man als replacement verwenden kann, hilft's wieder nix.
> Und ob ein Server gut cachen kann oder nicht, ist für micht
> weniger interessant. Da muß man ja auch bei bind nix weiter
> machen, geht immer. Bloß eben viele Zonen verwalten, die dann
> teils von anderen Slaves bedient werden und so, daß ist nicht so
> ganz einfach. Da braucht's dann NOTIFICATIONs und sowas, geht
> eben nicht anders. Ich hab auch lieber sorgfältig entwickelte und
> saubere Software, aber nur, wenn sie auch funktioniert :) Und
> soweit ich mich erinnere, konnte die "kleinen" Server immer
> mindestens eine wichtige Funktion nicht...

Also das ist kein Argument, denn djbdns kann IMHO bind vollständig
ersetzen! Und wenn dir Zone-Trasfers so wichtig sind schau dir doch
mal 

| http://cr.yp.to/djbdns/axfrdns.html 
und das hier
| http://cr.yp.to/djbdns/frombind.html

an! Auserdem gibt es ein Tool welches wie geschaffen ist fuer
Zone-Trasfers: rsync. Hir mal ne kleine Tabelle die die Vorteile von
rsync gegenueber Zone-transfers auflistet. 

| Here's a table summarizing the situation as of July 2001:
| 
| 			     Zone transfers | rsync over ssh
| ------------------------------------------------------------
| Automatic handling of new zones	No  |	Yes
| ... and client differentiation	No  |	Yes
| ... and scheduled record changes	No  |	Yes
| Replication soon			Yes |	Yes
| ... which means now			No  |	Yes
| Success reported locally		No  |	Yes
| Errors reported locally		No  |	Yes
| Compressed transfers			No  |	Yes
| Incremental transfers			Yes |	Yes
| ... of data added by hand		No  |	Yes
| ... or by common web tools		No  |	Yes
| Encrypted transfers			No  |	Yes
| Authenticated transfers		Yes |	Yes
| Usable for other services		No  |	Yes
| Supported by the BIND company		Yes |	No

( Lesenswerte Quelle http://cr.yp.to/djbdns/faq/axfrdns.html )

	Gruss Markus

-- 
Markus Hubig <mhubig at web.de>++++Ulrichswiesen 8++++75387 Neubulach++
[tele: +049 7053 967197]**[reg. Linux user #204961]**[ICQ# 98188685]
Key fingerprint = 3078 2396 9712 5FAD E9F2  B20A F352 EB64 589A EFDC
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 248 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20020109/8d083301/attachment.sig>

Mehr Informationen über die Mailingliste linux-l