LINUX.ORG.RU
НовостиБезопасность

MaraDNS


0

0

Появился новый DNS сервер MaraDNS. Следуя авторскому анонсу в Bugtraq, демон был разработан полностью с "нуля" с целью обеспечения максимальной безопасности и устойчивости к атакам.

>>> Подробности

★★★★★

Проверено:

Я бы лучше djbdns поставил.

anonymous
()

to maxcom:

Во-первых называется то творение MaraDNS. Во-вторых поделка оно никому ненужная.
Типа правильные пацаны все равно юзают Bind, потому что "все его юзают". Мыслящий
пипл, заботящийся о реальной безопасности использует djbdns. Бенштейн дело говорит.
Он не спорит с ними, он просто спрашивает: ребята, сколько денег вы готовы поставить
на кон, если я найду в вашем шибко секьюрном "с нуля писаном" софте баг, который
позволит удаленно захватить управление машиной? На это у них ответа нету.
Молчат в трубочку. Вот это и есть реальные факты, без агиток. Ну и в-третьих,
этой появившейся MaraDNS отроду уже больше года.

anonymous
()

а как там обстоит дело в djbdns с поддержкой А6 и DNAME? попрежнему никак?
у этого парня амбиций до фига. и он уверен что он лучше всех знает что людям надо. и плюет на RFC. а вообще он со своими призывами выдать денег тому кто хакнет djbdns напоминает "неуловимого Джо".

anonymous
()

народ, а новость случайно маленько не устарела? у меня письмо от Bernstein в bagtraq датировано 10.01.2002

anonymous
()

Берштейн - известный флеймер.
Переплюнуть может Огра с Голубым вместе взятых. Так что не надо на него внимания обращать ;)

ivlad ★★★★★
()

Флеймер то может и флеймер, но вот писать софтины он явно умеет без флейма. На корпоративном сервере крутится Qmail и djbdns. Очень легкие и приятные в работе. Поставим их обязательно в следующую версию никому не нужного Мультилинукса.

С Уважением.

Just.

anonymous
()
Ответ на: комментарий от anonymous

> а как там обстоит дело в djbdns с поддержкой А6 и DNAME? попрежнему никак?

Это что такое? Если IPv6, то оно есть отдельным патчем. Насчет DNAME взгляни
на http://cr.yp.to/djbdns/faq/tinydns.html#differentiation. Это не оно?

anonymous
()

Кстати, где он плюет на RFC? Прежде чем ответить, вспомните, что исходный RFC писался
конкретно под Bind, то есть в нем описывался не только протокол, но и "правильная" его
реализация, что само по себе нонсенс в наше время, но тогда это выглядело естественно.

anonymous
()

Собака лает, караван идет.. Много можно спорить на тему прав берштейн, не прав, и т.п. Но его софт работает, стабилен, безгемороен, логичен. А нужен ли еще один DNS сервер сказать трудно, лично мне, нет.

ifconfig
()

А вот мне бы очень даже не помешала еще одна реализация DNS-servera.

Правда, боюсь, такую, какую мне(моей фирме) надо, не напишут... Спрос слишком маленький...

К сожалению, MaraDNS вот тоже не подходит - нужен сервер с ограниченной функциональностью, но способностью обрабатывать большое количество запросов в секунду. Кстати, тесты показали, что djbdns проигрывает в скорости bind8, по крайней мере, на нашем классе задач. И оба они не сказать, чтоб чемпионы...

В общем, ждите ответа от name servera...

BaT ★★★★★
()
Ответ на: комментарий от BaT

> djbdns проигрывает в скорости

А что конкретно ты тестировал? tinydns или dnscache? Какая функциональность нужна?
Может подскажу, я знаю много разных малоизвестных разработок.

anonymous
()

>>но способностью обрабатывать большое количество

Чтобы не быть голословным, КАКОЕ?? т.е. конкретно
а то "большое" пнятие относительное :))

NNN per second для кеша

и

NNN per second для зоны

Ты уж напиши, а то судя по твоим словам, складываеться впечатление какбуд-то ты корневой сервер зоны держать сорбрался..

ifconfig
()
Ответ на: комментарий от ifconfig

Ты знал, ты знал!!! (с) Действительно, корневой... И действительно, сейчас он, бедняжка, страдает от нехватки CPU...

2 anonymous & ifconfig: Я сам такими вещами не занимаюсь - программер, знаете ли, но те, кому положенно - пробовали, тестировали, вертели по разному, но ни к чему не пришли...

Я только соучаствовал в проверке опосредованно - подсчеты там на Perle, etc... И то, не сами рез-ты обрабатывал, а код подбросил...

Но, как я понял, проблема в том, что все запросы через NIC проходят. Но вот с какого-то момента сервер не успевает генерировать ответы - не хватает CPU. Конечно, я не уверен, что был сделан оптимальный тьюнинг системы, но как я понимаю, большого выигрыша это бы не дало... OS - Solaris 8.

Большой выигрыш мог дать бы многопотоковый сервер, заточенный именно под разруливание запросов к корневому серверу - там достаточно минимальный набор запросов и ответов, но я не встречал ничего подобного...

BaT ★★★★★
()

А что у djbdns с SRV записями? И вообще -- как-то страшновато связываться с поделием автора который свое поделие умудриялся засунуть в /var. Шизофренией попахивает.

dsa
()

>>поделием автора который свое поделие умудриялся засунуть в /var. Шизофренией попахивает.

Во первых, а какая собсно разница? в var или еще куда :))

Во вторых, никто тебя не заставляет ставать иненно в вар.. ложи куда хочешь, хоть в /etc.. Прога от этого работать не перестанет.

В третих, перед тем как нести бред про шизофрению, рекомендую ознакомиться с курсом лекций по програмированию, которые дорступны был (по крайней мере год назад) на http://cr.yp.to которые читает Берштейн...

ifconfig
()
Ответ на: комментарий от BaT

> Я сам такими вещами не занимаюсь - программер,

Ну и сам подумай, зачем болтать в таком случае? Только выставил сам себя в глупом виде.
Одна фраза "djbdns проигрывает в скорости" уже говорит об уровне знания предмета...
Пакет программ djbdns состоит из четырех серверов и маленькой кучки утилит
для взаимодействия с ними. А в квалификации "тех кому положено" позволь усомниться.
Если выбирать из *bsd, linux и Solaris, то последний окажется самым медленным
из всех трех варинтов для данной работы. Об этом пару раз говорил сам Бернстшейн.
Еще помни, что в его софте все параметры по-умолчанию имеют очень консервативно-безопасные
значения. В-частности, если речь идет о dnscache и нужно выжать из него максимум, то
нужно поднять параметр MAXUDP в 5-10 раз и пересобрать сервер. Можешь передать своим спецам.


anonymous
()
Ответ на: комментарий от BaT 

>Большой выигрыш мог дать бы многопотоковый сервер, заточенный именно 
>под разруливание запросов к корневому серверу - там достаточно 
>минимальный набор запросов и ответов, но я не встречал ничего 
>подобного...

Помнится у djbdns есть вариант для load balancing по нескольким машинам. Пробовали? Настройки какие использовали?

walrus
()
Ответ на: комментарий от walrus

LoadBalansing решается на уровне L3 switch. Нет смысла настраивать софт...

Вопрос именно как от отдельной машины по махиму получить...

BaT ★★★★★
()
Ответ на: комментарий от anonymous

4000 ближе к телу, хотя речь и идет о десятке-другой тысяч.

А конторе нужно как можно больше - наш "малый" DNS сервер держит достаточно зон, чтобы named.conf был в 200Кб, а размер директории с secondary превышает 300Мб(для справки, .ru весит всего 16Мб, хотя ее как раз у нас и нет:)

Правда, с другой стороны .com вот недавно весил почти 1Гб, наверняка уже перешагнул этот рубеж, но это тоже не наша забота :)

P.S> А вот другой anonymous очень смешно сказал про dnscache... Мягко говоря - не в тему. А вот интересно, сколько памяти надо было бы, если бы на root сервере работал cache? Так, из области фантастики...

BaT ★★★★★
()
Ответ на: комментарий от BaT

Bat, ты просто ублюдок.
---------------------------------------
Сообщение удалено BaT по причине '4.2 Вызывающе неверная информация'
Ответ на: Re: Re: Re: Re: Re: Re: MaraDNS от BaT
Re: Re: Re: Re: Re: Re: Re: MaraDNS

> хотя речь и идет о десятке-другой тысяч.

Надеюсь ты объем возникающего при этом трафика посчитал... и понял, что одной машиной
тебе точно не обойтись.

> сколько памяти надо было бы, если бы на root сервере работал cache?
Сам понял, чего сказал?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Безопасность