Názory k článku
Domain name server MyDNS
-
Důvodem proč použít MyDNS, může být právě masové nasazení a monokultura serveru BIND, která je potenciálním nebezpečím při objevení bezpečnostní domain names chyby v BINDu.
-
IMPORTANT: 1.1.0 contains a fix for a query-of-death DoS bug! I strongly urge all users to upgrade to this version immediately!
http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=MyDNS
Plus bych se trochu bál zrovna toho linkování s MySQL knihovnama. A případné další zpracování arbitrary vstupu ze sítě pomocí MySQL, samozřejmě, že upstream autoři udělali vše pro to, aby SQL server nemohl být takto napadnutelný, ale paranoii není nikdy dost.
Osobně si myslím, že SQL backend pro DNS není příliš šťastné řešení, subjektivně se mi takové řešení zdá mnohem lépe DoSovatelné než *statická* databáze s *pevnými* klíči, je to trochu jako lovit komára s rotačním kulometem.
O. -
mysunk (neregistrovaný)Chtel bych upozornit na dalsi vynikajici alternativu PowerDNS, ktery umi pracovat i s LDAP backendem
http://www.powerdns.com/ -
anonymníPokud je konfigurace kontraproduktivni v pomeru k casu straveneho nad ni, vyplati se uvazovat nad jinym produktem. Rika se ze, autor qmailu byl napul genius a napul pekny hovado. Qmail je pekne rozdelen na spoustu malych programku. Tech programku je ale tolik, ze ta rozsegmentovanost presahuje i rozumne meze. To je ale casta vada lidi co jsou v akademicke sfere. Predstavte si ze by v *nixech byl ls extra na vypis sloupcovy a extra na vypis vedle sebe.
Apropo. Zkusil nekdo editovat sendmail.cf bez maker? -
wa (neregistrovaný)V davnej minulosti som pouzival sendmail a bind. sendmail som konfiguroval priamo cez .cf, potom mi kolega doporucil qmail a bolo rozhodnute. Nasledne som presiel i na djbdns. Je to celkom jednoduche a myslim si, ze sa vyplati venovat par minut k pochopeniu konfiguracie a potom uz len tazit z bezproblemovo fungujuceho systemu.
DNSka mam pochopitelne vo svojej databaze a jednoduchym skriptikom si ich generujem do formatu, ktoremu djbdns rozumie. Zo zaciatku mi trochu vadilo, ze dns-cache a name-server nemozu byt na rovnakej IP, ale dnes to takto beriem a chapem, ze je to lepsie. -
Jako velmi dobrá alternativa k BINDu i MyDNS existuje name server NSD, který byl vyvinutý na zakázku RIPE NCC a je již používaný pro TLD (napr. fr, cz, nl) a pro nektere root servery (napr. h nebo k).
NSD v duchu djbdns má statickou databázi záznamů, kterou je před použitím potřeba zkompilovat ze standardních zónových souborů - tedy přechod z BINDu je otázka změny hlavního konfiguračního souboru.
NSD v poslední verzi také podporuje DNSSEC (minimálně TSIG by měl používat každý, kdo provozuje AXFR).
Nicméně MyDNS chválím za to, že je to pouze autoritativní nameserver a neimplementuje rekursivní DNS.
O.
