какая версия bind сейчас лучшая из худших?

Dmitry Kolvakh написал(а) к Eugene Grosbein в Apr 18 12:42:52 по местному времени:


Нi Eugene!

13 Apr 18, Eugene Grosbein wrote to Victor Sudakov:

VS>> Если OP действительно нужен authoritative-only, то почему не
VS>> проверенный временем dns/nsd?

EG> Оно умеет затребованные view?

Я заменяю старый сервер с системным bind 9.9. Да, кроме view еще надо RPZ, забыл указать. Ну и рекурсивная работа тоже. Так что внедрять принципиально иной софт совершенно не к месту.

--
Good Luck! - Dmitry V. Kolvakh aka Keu

--- GoldED+/W32-MINGW 1.1.5-b20060703

Konstantin Stefanov написал(а) к Eugene Grosbein в Apr 18 11:02:38 по местному времени:

From: Konstantin Stefanov <cstef@mail.ru>

On 13.04.2018 0:48, Eugene Grosbein wrote:
> 12 апр. 2018, четверг, в 15:17 NOVT, Dmitry Kolvakh написал(а):
>
> DK> drwxr-xr-x 3 root wheel 512 1 февр. 11:47 bind910
> DK> drwxr-xr-x 3 root wheel 512 1 февр. 11:47 bind911
> DK> drwxr-xr-x 3 root wheel 512 1 февр. 11:47 bind912
> DK> drwxr-xr-x 3 root wheel 512 1 февр. 11:47 bind99
> DK> Сабж. Нужен первичный DNS без особых вывертов, разве что view.
>
> Ставь 9.12, если нет личных причин ставить что-то старее.
Мне с 9.12 пришлось откатиться на 9.11: он выдавал servfail при попытке
рекурсивно запросить A, который ведет через CNAME. Вроде бы сейчас это
уже поправили, но я пока еще подожду.

--
Константин Стефанов

Нас не понять тинейджерам сопливым, их поколенье выбирает лимонад.
--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Alexandr Kruglikov в Apr 18 13:03:12 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Alexandr Kruglikov <Alexandr.Kruglikov@f58.n5053.z2.fidonet.org> wrote:

AK> В "моём" редгаде до сих пор 9.8.2... =(
AK> Этот уже собран руками.
тогда ты, скорее всего, просто забыл ему ткнуть в libopenssl-devel (или он ее
не нашел), я у себя специально отучал ее находить.
В 9.8 действительно не было напрочь (к сожалению, уже давно unsupported).

AK>> Впрочем, отсутствие dnssec означает отсутствие и миллиона дыр в нем,
AK>> включая remote exec. А человеку "без особых вывертов".
AK> Ну если хоть какая-то защита от подмены - это уже выверты, то простите.
она a) никакая by design b) закрывает один вектор из миллиона, в отличие от
tls на самоподписанных и вручную одобренных сертификатах, который закрывает
почти все c) "защщщыта" от слова shit, после шелла от юзера bind тебе уже
не очень пригодится.
И при этом пришита криво-косо-наспех, потому что у них так все сделано.
В .12 наверное уже можно пользоваться, но мне что-то давно перехотелось.


> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Victor Sudakov в Apr 18 13:05:42 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote:

VS> Кто такое сказал? В мане есть опции типа
VS> allow-axfr-fallback: <yes or no>
VS> This option should be accompanied by request-xfr. It (dis)allows
VS> NSD (as secondary) to fallback to AXFR if the primary name
VS> server does not support IXFR. Default is yes.
VS> думаешь не работает?
оно у них было вечнополоманное и работало только в одну сторону - тянуть с
bind может, отдавать не обучен. Если даже и починили - ну их нафиг с таким
подходом. Софт root ns only.


> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Dmitry Kolvakh в Apr 18 13:15:13 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Dmitry Kolvakh <Dmitry.Kolvakh@p1.f89.n5054.z2.fidonet.org> wrote:

DK> Я заменяю старый сервер с системным bind 9.9. Да, кроме view еще надо RPZ,
DK> забыл указать.
чехи и это осилили. views, правда, нет (их принято прокси заменять, наверное,
и правильно)

DK> Ну и рекурсивная работа тоже. Так что внедрять принципиально
DK> иной софт совершенно не к месту.
вообще-то самое время. Потому что a) очевидно что bind уже окончательно
скурвился b) все равно переделывать. Отличный повод научиться чему-то еще.


> Alex

--- ifmail v.2.15dev5.4

Dmitry Kolvakh написал(а) к Alex Korchmar в Apr 18 15:54:40 по местному времени:


Нi Alex!

13 Apr 18, Alex Korchmar wrote to Dmitry Kolvakh:

DK>> Я заменяю старый сервер с системным bind 9.9. Да, кроме view еще
DK>> надо RPZ, забыл указать.

AK> чехи и это осилили. views, правда, нет (их принято прокси заменять,
AK> наверное, и правильно)

DK>> Ну и рекурсивная работа тоже. Так что внедрять принципиально
DK>> иной софт совершенно не к месту.

AK> вообще-то самое время. Потому что a) очевидно что bind уже
AK> окончательно скурвился b) все равно переделывать. Отличный повод
AK> научиться чему-то еще.

Сейчас пока задача "нэ дэлайте лучше, сдэлайте такой жэ"(с)

Вот возможность собрать два DNS в отказоустойчивый кластер, это было бы интересно.

--
Good Luck! - Dmitry V. Kolvakh aka Keu

--- GoldED+/W32-MINGW 1.1.5-b20060703

Alex Korchmar написал(а) к Dmitry Kolvakh в Apr 18 20:40:55 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Dmitry Kolvakh <Dmitry.Kolvakh@p1.f89.n5054.z2.fidonet.org> wrote:

DK> Сейчас пока задача "нэ дэлайте лучше, сдэлайте такой жэ"(с)
тогда надо ставить такой же. там есть ньюансы между этими версиями,
иногда безобидные, иногда не очень.

Мне вот "очень понравилось" в свое время с "empty-zones", появившимися
в 99. Хорошо, заранее знал и успел выключить.

DK> Вот возможность собрать два DNS в отказоустойчивый кластер, это было бы
DK> интересно.
я это маршрутизацией делал в свое время. dns по большей части у нас stateless,
а если отвалится xfr, так и хрен с ним, потом приедет.


> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Konstantin Stefanov в Apr 18 05:36:24 по местному времени:

13 апр. 2018, пятница, в 09:02 NOVT, Konstantin Stefanov написал(а):

>> Ставь 9.12, если нет личных причин ставить что-то старее.
KS> Мне с 9.12 пришлось откатиться на 9.11: он выдавал servfail при попытке
KS> рекурсивно запросить A, который ведет через CNAME. Вроде бы сейчас это
KS> уже поправили, но я пока еще подожду.

Если учитывать все проблемы, которые когда-то были,
но "сейчас уже поправили", ставить будет нечего.

Eugene
--- slrn/1.0.2 (FreeBSD)

Konstantin Stefanov написал(а) к Eugene Grosbein в Apr 18 09:47:12 по местному времени:

From: Konstantin Stefanov <cstef@mail.ru>

On 14.04.2018 5:36, Eugene Grosbein wrote:
> 13 апр. 2018, пятница, в 09:02 NOVT, Konstantin Stefanov написал(а):
>
> >> Ставь 9.12, если нет личных причин ставить что-то старее.
> KS> Мне с 9.12 пришлось откатиться на 9.11: он выдавал servfail при попытке
> KS> рекурсивно запросить A, который ведет через CNAME. Вроде бы сейчас это
> KS> уже поправили, но я пока еще подожду.
>
> Если учитывать все проблемы, которые когда-то были,
> но "сейчас уже поправили", ставить будет нечего.
Это было два месяца назад, почти сразу после того, как 9.12 стал
production-ready (или как оно там у ISC). То есть типичные детские
болячки .0-RELEASE, но приводящие к серьезным проблемам. Для меня это
стало поводом ждать еще.

--
Константин Стефанов

The ONLY time you have too much fuel is when you're on fire.
--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Konstantin Stefanov в Apr 18 18:42:41 по местному времени:

13 апр. 2018, пятница, в 09:02 NOVT, Konstantin Stefanov написал(а):

>> Ставь 9.12, если нет личных причин ставить что-то старее.
KS> Мне с 9.12 пришлось откатиться на 9.11: он выдавал servfail при попытке
KS> рекурсивно запросить A, который ведет через CNAME. Вроде бы сейчас это
KS> уже поправили, но я пока еще подожду.

В 9.11 вижу:

# cd /usr/ports/dns/bind911 && make extract
# fgrep -A 10 'Bug Fixes' work/bind-9.11.3/doc/arm/notes.html
<a name="relnotes_bugs"></a>Bug Fixes</h3></div></div></div>
<div class="itemizedlist"><ul class="itemizedlist" style="list-style-type: disc; ">
<li class="listitem">
<p>
Attempting to validate improperly unsigned CNAME responses
from secure zones could cause a validator loop. This caused
a delay in returning SERVFAIL and also increased the chances
of encountering the crash bug described in CVE-2017-3145.
[RT #46839]
</p>
</li>


Eugene
--- slrn/1.0.2 (FreeBSD)