LINUX.ORG.RU

Вышел DNS-сервер BIND 9.7.0

 ,


0

0

Увидел свет первый стабильный релиз новой ветки DNS-сервера BIND 9.7, основные улучшения в которой направлены на упрощения конфигурирования и обслуживания DNSSEC.

Главные новшества:

  • Реализована опция 'auto-dnssec' для осуществления полностью автоматического создания цифровой подписи для динамически конфигурируемых зон - ключи для подписи будут созданы автоматически и подписаны;
  • Упрощен процесс настройки расширения DLV (NSSEC Lookaside Validation), добавлена поддержка элемента конфигурации «dnssec-lookaside auto;», который позволяет избежать некоторых ручных манипуляций с dlv.isc.org;
  • Для упрощения конфигурирования DDNS (Dynamic DNS) добавлена новая утилита командной строки ddns-confgen;
  • Для named реализована опция «attach-cache», позволяющая привязать несколько представлений зоны (view) к общему кэшу;
  • Добавлена защита от "DNS rebinding" атак;
  • Изменены параметры по умолчанию, используемые при генерации ключей утилитой dnssec-keygen - без явного указания теперь генерируется 1024-битный ключ RSASHA1, а при указании опции "-f KSK" - 2048-битный ключ RSASHA1;
  • Поддержка определенной в RFC 5011 технологии автоматического обновления доверительных якорей (Trust Anchors);
  • Режим умного подписывания зон (dnssec-signzone -S), на основе доступных мета-данных определяющий какие ключи нужно использовать для заданной зоны;
  • В libdns представлено предназначенное для использования в сторонних программах новое API, учитывающее особенности работы DNSSEC;
  • Улучшена поддержка PKCS#11, включая поддержку аппаратных HSM-модулей Keyper и возможность явного выбора использования для работы движка OpenSSL.

В анонсе также сообщается, что в редких случаях при выполнении DNSSEC проверок наблюдается утечка памяти. Патч для решения проблемы уже создан, но к сожалению он не успел войти в состав BIND 9.7.0 и будет представлен только в версии 9.7.1.

>>> Взято с OpenNet

Бинд это монстр типа все в одном. И резолвер и авторитативный сервер. И как обычно у прог, которые берут на себя все задачи что можно, ни одну качественно выполнить не могут. Т.е. он хорош на маленьком сервере, например в организации. А для работы с большим количеством зон очень не удобен. Например если зон у вас больше 10000 то его старт затягивается на несколько часов (slow start).

Для рекурсора предпочитаю unbound

А для авторитативного сервера mydns. И через репликацию раздавать базу на слейвы.

dubrsl
()
Ответ на: комментарий от Werehuman

> Я обкакался увидев эту аватарку.

Блин. А что было-то ? :-)

AS ★★★★★
()
Ответ на: комментарий от dubrsl

> Например если зон у вас больше 10000 то его старт затягивается на несколько часов

Хм. Там нелинейный рост времени запуска ? ~1500, не замечаю тормозов при запуске, а должен бы уже, если при 10K - несколько часов.

AS ★★★★★
()
Ответ на: комментарий от AS

>> Например если зон у вас больше 10000 то его старт затягивается на несколько часов

Хм. Там нелинейный рост времени запуска ? ~1500, не замечаю тормозов при запуске, а должен бы уже, если при 10K - несколько часов.

Ну все это наблюдалось на достаточно загруженных серверах по IO (LA ~5-10). Поэтому приходилось для того чтобы стартовал бинд останавливать mysql и апач.

ЗЫ. Да, я знаю что для такого количества зон нужно выделять отдельную железку, мы тогда юзали cpanel и не знали как это реализовать.

dubrsl
()
Ответ на: комментарий от dubrsl

> Ну все это наблюдалось на достаточно загруженных серверах по IO (LA ~5-10).

Понятно. LA, превышающий количество ядер, не сильно хорошее состояние для сервера, стараюсь такого не допускать.

AS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.