linux-l: dns-server

Ralph Angenendt ralph at strg-alt-entf.org
Mi Jan 9 02:58:59 CET 2002 

On Wed, Jan 09, 2002 at 01:01:42AM +0100, Markus Hubig wrote:
> Steffen Dettmer schrieb am Montag, den 07. Januar 2002:

[BIND, Security und Ersatz von BIND]

> Wenn aber schon das Konzept der Software auf Sicherheit ausgelegt ist,
> dann sind auch Fehler im Code nicht so tragisch.
> 
> Und gute Beispiele fuer ein hervorragendes sicherheitsbewustes 
> Software-Konzept sind nun mal djbdns, qmail und publicfile.

Komisch, dass mir noch nie jemand einen djbdns zeigen konnte, der mehr
als 1.000 Zonen beherbergt. Mit mehr als 50 Secondary Servern.
Eventuell sogar mit Hidden Primaries. Das sind aus irgendwelchen
Gründen immer BINDs.

>> Mag ja sein, daß Bind so schlecht ist; aber solange es nichts
>> gibt, was man als replacement verwenden kann, hilft's wieder nix.
 
> Also das ist kein Argument, denn djbdns kann IMHO bind vollständig
> ersetzen! Und wenn dir Zone-Trasfers so wichtig sind schau dir doch
> mal 
> 
> | http://cr.yp.to/djbdns/axfrdns.html 

Gut, der ist auch mir neu - bisher wurde immer von "nimm doch rsync"
gesprochen, wenn djbdns im Spiel war. 

> | Here's a table summarizing the situation as of July 2001:
> | 
> | 			     Zone transfers | rsync over ssh
> | ------------------------------------------------------------
> | Automatic handling of new zones	No  |	Yes

Bitte? Ich lege eine neue Slave-Zone in BIND an und sage BIND, er
solle die Config neu lesen: Neue Slave-Zonen werden neu eingelesen.
Wenn der Master neue Zonen hat, kann der Slave das nicht wissen. Auch
bei rsync nicht. Oder nimmt djbdns jedes neue Zonefile an, welches ich
im unterjubele, ohne beim Master nachzufragen?

> | ... and client differentiation	No  |	Yes

Was immer das heissen soll. Views? Kann Bind 9. 

> | ... and scheduled record changes	No  |	Yes

Errrm. Was soll das heissen? 

> | Replication soon			Yes |	Yes
> | ... which means now			No  |	Yes

Notification Requests an die Slaves gehen *sofort* raus, wenn eine
Zone geändert wird und BIND davon erfährt.

> | Success reported locally		No  |	Yes

Ach Quatsch. Wenn Fehler auftauchen, sehe ich das sofort im Log.
Erfolg sehe ich auch sofort. Nicht auf dem Master, aber auf den
Slaves. Mit rsync muss ich mir was eigenes basteln, was Fehler
anzeigt.

> | Errors reported locally		No  |	Yes

Quatsch. BIND zeigt Fehler in den Zonen sofort an. 

> | Compressed transfers			No  |	Yes

ZXFR existiert. Mann, das war der letzte grosse BIND-Exploit.

> | Incremental transfers			Yes |	Yes
> | ... of data added by hand		No  |	Yes

Huh? Okay, die ganze Zone wird transferiert. Und IXFR gibt es auch,
ich habe mir das aber noch nicht angesehen.

> | ... or by common web tools		No  |	Yes

Bitte? Natürlich gibt's Webtools um BIND-Zonen zu verwalten.

> | Encrypted transfers			No  |	Yes

Seit BIND9 (das gab's im Juli schon) ist das kein Problem.

> | Authenticated transfers		Yes |	Yes
> | Usable for other services		No  |	Yes

Ne. Klar. Unixphilosophie: Have One Tool Do One Job.

> | Supported by the BIND company		Yes |	No
> 
> ( Lesenswerte Quelle http://cr.yp.to/djbdns/faq/axfrdns.html )

Ach, Bullenscheisse. BIND ist unsicher - zumindest die 8er Version war
nicht toll. Dafür hat djbdns andere Nachteile: Die Zonenfiles sind
nicht dafür gedacht, von Menschen gelesen zu werden - klar, bei
kleinen Servern mag das kein Problem sein, aber bei mehr als 500 Zonen
auf einem Nameserver ist das echt nicht mehr feierlich. 

Mit rsync muss ich als Master auf Slaves schreiben können: Dafür
brauche ich einen SSH-Zugang - was ist, wenn der Kunde mir den nicht
geben will? 

djb mag ja sichere Software schreiben - djbdns mag auch bei kleinen
Setups echt toll sein (ich würde mir das mittlerweile auch für
kleinere Netze angucken, wenn ich sowohl Master als auch Slaves
verwalte), aber ansonsten ist das echt einfach nur Bullenscheisse. Wer
mag, kann sich ja mal den Streit zwischen Felix von Leitner und Daniel
Roesen in de.comp.os.unix.networking vom Anfang des letzten Jahres
ergooglen.

Ralph
-- 
/* Fuck me gently with a chainsaw... */
      --  David S. Miller
      	  in /usr/src/linux/arch/sparc/kernel/ptrace.c
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 232 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20020109/9141ce32/attachment.sig>

Mehr Informationen über die Mailingliste linux-l