Am 05.12.2010 19:33, schrieb Frank Bergmann: > On Sun, Dec 05, 2010 at 05:47:43PM +0100, Patrick Matthäi wrote: >> Tschuldigung, ganz schön viel *** was du verbreitest. > > Nicht halb soviel wie die Maer vom "completely rewrite".
Ja, das ist Marketing Foo, worauf man nicht als techn. Nutzer achten sollte. > Das Faekalwort hast Du benutzt, aber Du willst doch nicht etwa behaupten, > dass BIND toll ist, *weil* es auf Securitybulletins auftaucht, oder? IMHO wurde es dadurch zumindest nicht schlechter, da die Probleme ja auch schnell gefixt wurden. > >> Frage: Auf welchem Betriebssystem lässt du den laufen? > > NS habe ich nur immer unter Linux *86 eingesetzt. Und alles ist nur so sicher wie das schwächste Glied in der Reihe, sprich selbst wenn du einen per se sicheren DNS Server nutzt, können die Lücken im Kernel o.ä. am Ende trotzdem zum Problem werden, darauf wollt ich nur hinaus ;) > > Wenn Du "erfolgreich" seit langer Zeit mit BIND arbeitest: Hast Du mal > andere NS-Server ausprobiert? i.d.R. dann pdns mit einem SQL backend, wobei ich dort zwei Nachteile seh: 1) es wird für frequentierte Server zwingend InnoDB mit row level locking benötigt, damit bei Updates nicht die Querys auf ein release vom lock warten müssen. ebenso sollten sich auch keine MyISAM tabellen, wo größere Joins oder select batch jobs drüber gefahren werden, weil die sehr gerne bei MySQL den gesamten betrieb stören. Da kann ich auch aus eigener Erfahrung reden, als ich für einen Kunden mit ~500 records (wenig) einen hochfreq. MySQL server nutzte, wo es dann ab und an dazu kam, dass das resolving > 2 sekunden dauerte, bei direkter master abfrage. 2) Nach meinen Erfahrungen in den letzten Jahren ist pdns teils etwas träger mit den security fixes Ich will hier nicht BIND schönreden oder dir andere Implementationen kaputtreden, aber BIND komplett als fault abzustempeln + die Leute die es nutzen, ist bestimmt nicht richtig. -- /* Mit freundlichem Gruß / With kind regards, Patrick Matthäi GNU/Linux Debian Developer E-Mail: [email protected] [email protected] Comment: Always if we think we are right, we were maybe wrong. */
signature.asc
Description: OpenPGP digital signature
-- Linux mailing list [email protected] subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
