идём патчиться ;)

...

и вот еще точно пригодится

http://ezine.daemonnews.org/200110/named-chroot.html

http://www.opennet.ru/docs/HOWTO/Chroot-BIND-HOWTO-2.html

блин раскажите мне что нибудь такое что бы я захотел себе поставить bind?? как говорит DJB используйте djbdns!

да нормальная система... Ну бывают конечно у них там косяки... причём регулярно :-). Что самое прикольное, наш узел ломали два раза и каждый раз - через bind. Воще. Я просто хренею. Весь интернет работает на этом bind. Чего - нельзя сделать его стабильным и без дырок? Вот вам и программирование на C.

Ломали два раза, говорите? Значит поломают и в третий :) Ссылки по теме на два письма выше.

ссылка на патчи к бинду http://cr.yp.to/djbdns.html

И после этого меня еще спрашивают, почему я везде использую djbdns и qmail. ;)

baka-kun, а веб-сервер какой в твоей песочнице крутится?

>И после этого меня еще спрашивают, почему я везде использую djbdns и >qmail. ;) >baka-kun

поддерживаю!

а chroot от ДОС-а не спасёт.

...

да, крипто это вещь, там и public_files обитает ...

> baka-kun, а веб-сервер какой

Представляешь, разные. ;) От boa и thttpd до apache и aolserver. В джейлах.

> в твоей песочнице

Моя "песочница" намного больше садового кольца по площади будет ;)

>Весь интернет работает на этом bind

Ну не весь. Но много.. Потому дырка в бинд более ценна нежели в каком нить раритете. Потому ломали, ломают и будут ломать. мать их.

а где написано про версию 9.3.1? На isc.org последняя - 9.3.0

Для win32 написано тут: ftp://ftp.isc.org/isc/bind/contrib/ntbind-9.3.1beta2/BIND9.3.1beta2.zip

> блин раскажите мне что нибудь такое что бы я захотел себе поставить bind??

его не нужно ставить - он есть в базовой системе FreeBSD :)
настраивается по хэндбуку за пару минут, причем сразу в chroot'e.

>а где написано про версию 9.3.1? На isc.org последняя - 9.3.0

ftp://ftp.isc.org/isc/bind9/9.3.1beta2/

Ну так бета - это ещё не релиз. А вот мне интересно другое, почему FreeBSD не выпустили Security Advisory про BIND 9.3.0 который встроен в FreeBSD 5.3-RELEASE? Кто знает?

Бинд - многолетнее ГОВНО ! Никогда не юзайте бинд !

Наверно причина в том, что при настройках по умолчанию BIND 9.3.0 не подвержен этой уязвимости:

Workarounds

ISC recommends that users that are unable to apply the patch turn off dnssec validation (which is off by default) at the options/view level. The relevant BIND configuration directive is:

dnssec-enable no;

Интересно, кто из тут кричащих использует эту самую dnssec validation?

да кто вообще использует этот bind... ;)
ладно там sendmail, что бы не орали, все-таки промышленный стандарт, фичи, все дела... но уж зону-то публиковать - много ли надо? Так что IMHO перейти на что-нибудь типа djndns - нет проблем.

Пустышка

Проблема в BIND 9.3.0 пустышка, покажите мне хоть одного администратора собирающего BIND с DNSSEC, а по умолчанию он выключен.

я включил и используйю dnssec для удаленного динамического днс.

к 9.3.0 вышел патч

Тут даже спрашивать нечего. Потому что работаешь в мелкой конторе и рулишь 1-2-3 серверами.

отвечу еще раз, так как предыдущее мой ответ убрали

> И после этого меня еще спрашивают, почему я везде использую djbdns и qmail.

И все бл? потому, что тебе не хватило терпения разрюхать рулсеты sendmail и нормально настроить bind. И хватит тыкать djbdns и qmail!

ps. модеры, ну как так поприличней? :-p

Ну да...а ты у нас работаешь в большой конторе и только успеваешь фиксить bind-овские дыры, показывая в отчётах боссу, как ты загружен...

не надо пиздеть - это раз. и два, если не хватает мозгов использовать нормальный софт, то не надо доказывать состоятельность дырявого поделия aka bind-a...

Вероятно ты в одном сегменте с корневыми серверами и спонсорами авторы бинда.

можно подумать что пальцевание тем что не пожалел и зазря угробил столько времени ковыряя конфиги сендмыла намного лучше смотрятся. мегалол

>И после этого меня еще спрашивают, почему я везде использую djbdns и >qmail. ;)

по поводу djb... легко писать не взламываемые проги, которые ничего не делают :( и грантию давать на исходник без патчей.

сейчас тот же qmail без заплатки не скомпилится. а раз с заплаткой, то берштейн ничего не гарантирует.

подержи хотя бы 20-30 зон с поддоменами, вторичными, со всеми делами на djbdns. и прикинь что скажет новый админ, когда ты из этой конторы уволишься?

> по поводу djb... легко писать не взламываемые проги, которые ничего не делают :(

Если бы _все_ программы "ничего не делали" на уровне написанных Деном, наступил бы рай на земле. ;)

> сейчас тот же qmail без заплатки не скомпилится. а раз с заплаткой, то берштейн ничего не гарантирует.

Это ты про errno? Ну так напиши ему и спроси, отменяет ли добавление одного .h гарантию ;). Да и вообще, кто просил libc (точнее glibc в линуксе) ломать? ;) А то, что после патча снимается гарантия, это правильно. Как и то, что некоторые авторы патчей и расширения на qmail сами дают денежные гарантии, например, автор qscanq.

Так же верно, что используемый мной qmail очень сильно расширен и адаптирован под текущие задачи, но все патчи оригинального кода ограничились big-todo, QMAILQUEUE и собственным maildir-quota.

> подержи хотя бы 20-30 зон с поддоменами, вторичными, со всеми делами на djbdns.

В соседней новости про dnsmasq ( http://www.linux.org.ru/jump-message.jsp?msgid=779579 ) я уже привел top одного из серверов с tinydns. ;) Он поддерживает 64 реверсных зоны и несколько сотен прямых. И отдает больше гигабайта ответов в день.

> и прикинь что скажет новый админ, когда ты из этой конторы уволишься?

Если я уволюсь, простые админы-то останутся. ;) С djbdns наоборот работать намного проще, его формат data отлично приспособлен как для человеческих глаз, так и для автоматической обработки.

> И после этого меня еще спрашивают, почему я везде использую djbdns и qmail. ;)

не спрашивают. ибо понятно, что если у человека есть выбор -- это гут.

если человеку не нужен dnssec validation, использует он bind или djbdns -- это все детали. а если использует -- у него просто нет этого выбора. =((

> если человеку не нужен dnssec validation

Как любят говорить на LOR -- dnssec не нужен. Или как говорит Ден:

"DNSSEC currently doesn't accomplish anything, even though it is falsely advertised as preventing forgeries. I'm not strongly opposed to it; there simply isn't any benefit for the users."

"In fact, installing DNSSEC does nothing to protect you, and it will continue to do nothing for the foreseeable future. I'm not going to bother implementing DNSSEC until I see (1) a stable, sensible DNSSEC protocol and (2) a detailed, concrete, credible plan for central DNSSEC deployment.".

http://cr.yp.to/djbdns/forgery.html

http://cr.yp.to/talks/2004dns.pdf

baka-kun, да чё ты им объясняешь... это бесполезно. всегда найдётся кучка дебилов ратующих за bind и не способных разобраться в простой настройке djb-шного софта.

> Как любят говорить на LOR -- dnssec не нужен. Или как говорит Ден:

вот пока он не нужен все и в порядке. =))

другое дело, что djb вообще очень критичен в отношении того, что нужно, а что нет, считая что его глюки должны заставлять мир вертеться так, как он хочет. это-то и отталкивает от использования его софта. =((

А что, диджей - это последняя инстанция чтоли?

Фанатизмом попахивает, причём красноглазым фанатизмом.

Да - последняя инстанция, ибо выбирать больше неизчего, да и не нужно. djbdns удовлетворяет всем критериям.

А красноглазый фанатизм - это тупое поклонение bind-у и бесконечный гимор с его дырами.

> вот пока он не нужен все и в порядке.

Так он пока и не работает. Даже стандарта нет. Был rfc, да умер, даже bind ему уже не соответствует. Вот когда все утрясется, когда будет централизованная поддержка, тогда и поговорим. А пока можешь посмотреть на предложение от Дена с ключами в имени.

Если ты внимательно следишь за развитием интернета, и состоишь в списке рассылки IETF, то должен помнить всю историю.

В _1995_ году Пол Викси заявлял: "Мы тут разработали супер крутой dnssec, через год он будет использоваться повсеместно".

В _1999_ появилась минимальная поддержка dnssec в bind 8.

В _2002_ Пол Викси сказал: "мы все еще исследуем, как лучше сделать, rfc-2535 -- труп! Начинаем писать dnssec с нуля".

В _2004_ году: "Мы работаем над dnssec, по дефолту он отключен... А еще мы начали брать деньги за поддержку bind".

Классная фича? Почти _десять_ лет прошло, а они уже второй раз все переписывают. Вот когда будет стандарт, будет поддержка, будет централизованной распределение ключей, тогда и появится фича в прочих серверах. А пока dnssec НЕ РАБОТАЕТ как предполагалось. И он НИЧЕГО не дает.

> другое дело, что djb вообще очень критичен в отношении того, что нужно, а что нет

Естественно. Он целиком и полностью поддерживает букву и дух устоявшейся практики и rfc. "Критичен" -- это очень правильно. Нахрена заморачиваться фичей, которая не работает?

> считая что его глюки должны заставлять мир вертеться так, как он хочет

О каких глюках речь? Если ты про поведение qmail в случае, когда mx отвечает ошибкой, то я это глюком не считаю. Кто не в курсе: если у домена есть несколько mx записей, и один из серверов ответил на rcpt to: ошибкой 5xx, то qmail-remote не будет даже пытаться связаться с другими. Это вполне логично, если подумать. Хотя можешь и пропатчить, чтобы всегда пробовал все mx, это не проблема.

> это-то и отталкивает от использования его софта

Отталкивает консерватизм, привычка и ксенофобия. Хотя djb-софт более UNIX-like, чем bind и sendmail. И но проще, эффективней и безопасней.

> А что, диджей - это последняя инстанция чтоли?

Нет. Просто его прагматизм как никогда хорошо совпадает с моим. А здесь я просто ответил на вопрос, почему в djbdns нет свистелок и перделок. Это просто надежный продукт для реальной жизни, а не площадка для проталкивания ненужных фич.

> Фанатизмом попахивает, причём красноглазым фанатизмом

Прагматизмом, уважаемый, матерым таким нежеланием быть подопытной свинкой. Мне надо, чтобы работало. И чтобы не бегать с бубном, выясняя, в какой момент у кеширующего named съезжает крыша от недостатка оперативки. И почему эта сволочь от этого иногда просто помирает, а иногда начинает дико тормозить или просто переставать отвечать.

Я ведь тоже использовал bind и sendmail. До тех пор, пока первый на стал вешаться от запросов клиентов, и на него не появилось три эксплоита подряд. А второй просто не стал справляться с нагрузкой, не говоря о жутком неудобстве заводить по 100-200 пользователей в день (в момент нашего роста) и поддержке 10000 пользователей (на тот момент). При этом реальная альтернатива bind только одна, и превосходит его в моем случае по всем статьям. Вот с почтарем я поиграл: postfix, exim, zmailer... Но остановился именно на qmail, как на самом модульном, расширяемом и безопасном. И не проиграл -- сотни тысяч виртуальных ящиков во многих доменах; черные, белые, серые списки; антивирус и антиспам, etc...

Прагматизм, ничего больше.