Re: dnsmasq

[Artem Chuprina]

Andrey Jr. Melnikov -> debian-russian@lists.debian.org  @ Fri, 9 Mar 2018 
23:30:09 +0300:

 >>  >> Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
 >>  >> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
 >>  >> isc-dhcpd). Про "легковеснее" молчу.

 >>  >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
 >>  >> promiscuous mode, и справляется с ситуацией, когда на файрволе по
 >>  >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
 >>  >> нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
 >>  >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
 >>  >> интерфейса вообще всё, так что нет уверенности, что достаточно было бы
 >>  >> разрешить по минимуму.
 >>  > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;)

 >> Это понятно. Для гостевой сети так и прописано. Кстати, кажется,
 >> достаточно 67. Я про минимум.
 > Ну так может взять в руки генератор правил для фаирволов?

Я уже лет несколько назад начал об этом задумываться. Но в дистрибутиве
их много, изучать их все, чтобы выбрать годный — изрядное количество
ресурса, а iptables и моих знаний о работе сети для моих задач, в общем,
достаточно.

В смысле, "ты не выпендривайся, ты пальцем покажи". Чтобы на выходе был
код для iptables-restore (атомарная загрузка, ага), читабельный (ибо
если что-то не работает, допрашивать все равно придется не генератор, а
непосредственно iptables), и чтобы он был не сложнее, чем собственно
iptables.

А то я как-то видел исходник, от shorewall, что ли... Руками для
iptables то же самое куда понятнее было.

 > [...]

 >> zless /usr/share/doc/dnsmasq/FAQ.gz
 > ^ Вот это в всякие роутеры никогда не
 > кладут.

Ась? В мой кладут. Я его оттуда цитирую.

 >> А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только
 >> client-id. В линуксе-то не проблема...

 > Да пофигу. Взял и прописал 2 мака с одним адресом. и работает. 

Ну, значит, уже починили.

 >>  >> Чего он явно не умеет (в документации нет даже упоминания), так это
 >>  >> трансфера зон.

 >>  > Это затычка для роутеров, оно без внешнего DNS'a работать не умеет.

 >> Спасибо, Кэп, для чего оно предназначено, я в курсе.

 >>  >> Подумываю, не попробовать ли его как второй авторитетный DNS своей зоны.
 >>  > Чем тебя bind не устроил? Тем, что в нем на порядок меньше CVE находят, 
 >> чем
 >>  > в dnsmasq?
 >>  > Сравни
 >>  > 
 >> https://www.cvedetails.com/product/14557/Thekelleys-Dnsmasq.html?vendor_id=8351
 >>  > и
 >>  > https://www.cvedetails.com/product/144/ISC-Bind.html?vendor_id=64
 >>  > для приличия.

 >> Может, конечно, bind и научились писать, но у меня исторически сложилось
 >> ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и
 >> вообще довольно плохо написаны.
 > Плохо - да, дыряво - возможно. Ты только учитывай, что они написаны в начале
 > 80 и всех остальных "секурных" на тот момент еще не было.

Я понимаю, почему они были несекурны. Но синтаксис конфига это не извиняет.

 >> Его затыкают, конечно, куда деваться ??? он reference implementation, и
 >> стоит поэтому везде, где нужна свежая функциональность. Но работает,
 >> судя по слухам, через пень-колоду.
 > Ага, "мне Рабинович по телефону напел".

Ну, у меня самого задачи такие, что он на них, в общем, не
падает. Последний раз падал в 2005-м, кажется. Приходится по слухам.

 >> Собственно, синтаксис их конфигурации и документация на нее с тех пор
 >> лучше не стали.
 > Нет, потому что это не просто a=b,c,d а цельный язык для написания конфигов.
 > А книг про конфигурацию bind'a - один О'Реилли выпустил 5 редакций.
 > Разжованно до немогу.

Спасибо, я пишу эти конфиги больше 20 лет. Язык там, мягко говоря...

 >>  >> i A dnsmasq-base Recommends dns-root-data  

 >>  >> Может, конечно, он оттуда только ключи для DNSSEC хочет...
 >>  > Вот именно. Оно еще и ntp сервер захочет. Чтоб ключи валидировать. И 
 >> будешь
 >>  > ты с kill -HUP ${pid} играться :)
 >> Про это в man тоже есть.
 > Ну если автор настолько одаренный, что по SIGHUP делает ВСЁ - то место этому
 > в роутере. 

Нет, как раз на это там есть альтернативный подход.

 >>  > PS: Лучше уж сборку из unbound/atftpd/udhcpd - оно хоть если 
 >> развалиться, то
 >>  > не всё сразу. И дурацких лимитов по умолчанию в 150 паралельных DNS 
 >> запросов не
 >>  > имеет. И внешний DNS не требует.

 >> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него
 >> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не
 > А чем они, эти твои провайдеры - это аргументируют?

А ничем. Просто порты закрыты, и это на сайте документировано.

 > Если тебе не нравиться bind - возьми PDNS, Knot, PowerDNS, MaraDNS если уж
 > так хочется.

На кого-то из них я смотрел. Забыл уже, если честно. Монстры еще круче
бинда. Десяток своих пакетов и стопка зависимостей еще десятка на два. У
меня нет задач на высокопроизводительный DNS-сервер м

Re: dnsmasq

[Andrey Jr. Melnikov]

Artem Chuprina  wrote:
> Andrey Jr. Melnikov -> debian-russian@lists.debian.org  @ Fri, 9 Mar 2018 
> 19:56:40 +0300:

>  >> Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
>  >> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
>  >> isc-dhcpd). Про "легковеснее" молчу.

>  >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
>  >> promiscuous mode, и справляется с ситуацией, когда на файрволе по
>  >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
>  >> нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
>  >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
>  >> интерфейса вообще всё, так что нет уверенности, что достаточно было бы
>  >> разрешить по минимуму.
>  > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;)

> Это понятно. Для гостевой сети так и прописано. Кстати, кажется,
> достаточно 67. Я про минимум.
Ну так может взять в руки генератор правил для фаирволов?

[...]

> zless /usr/share/doc/dnsmasq/FAQ.gz
^ Вот это в всякие роутеры никогда не
кладут.

> Q: My laptop has two network interfaces, a wired one and a wireless
>one. I never use both interfaces at the same time, and I'd like the
>same IP and configuration to be used irrespective of which
>interface is in use. How can I do that?

> Addendum:
>From version 2.46, dnsmasq has a solution to this which doesn't
>involve setting client-IDs. It's possible to put more than one MAC
>address in a --dhcp-host configuration. This tells dnsmasq that it
>should use the specified IP for any of the specified MAC addresses,
>and furthermore it gives dnsmasq permission to sumarily abandon a
>lease to one of the MAC addresses if another one comes along. Note
>that this will work fine only as longer as only one interface is
>up at any time. There is no way for dnsmasq to enforce this
>constraint: if you configure multiple MAC addresses and violate 
>this rule, bad things will happen.
Bad things. Ой вэй. Сказочник великий.

> А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только
> client-id. В линуксе-то не проблема...

Да пофигу. Взял и прописал 2 мака с одним адресом. и работает. 

>  >> Чего он явно не умеет (в документации нет даже упоминания), так это
>  >> трансфера зон.

>  > Это затычка для роутеров, оно без внешнего DNS'a работать не умеет.

> Спасибо, Кэп, для чего оно предназначено, я в курсе.

>  >> Подумываю, не попробовать ли его как второй авторитетный DNS своей зоны.
>  > Чем тебя bind не устроил? Тем, что в нем на порядок меньше CVE находят, чем
>  > в dnsmasq?
>  > Сравни
>  > 
> https://www.cvedetails.com/product/14557/Thekelleys-Dnsmasq.html?vendor_id=8351
>  > и
>  > https://www.cvedetails.com/product/144/ISC-Bind.html?vendor_id=64
>  > для приличия.

> Может, конечно, bind и научились писать, но у меня исторически сложилось
> ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и
> вообще довольно плохо написаны.
Плохо - да, дыряво - возможно. Ты только учитывай, что они написаны в начале
80 и всех остальных "секурных" на тот момент еще не было.

> Его затыкают, конечно, куда деваться ??? он reference implementation, и
> стоит поэтому везде, где нужна свежая функциональность. Но работает,
> судя по слухам, через пень-колоду.
Ага, "мне Рабинович по телефону напел".

> Собственно, синтаксис их конфигурации и документация на нее с тех пор
> лучше не стали.
Нет, потому что это не просто a=b,c,d а цельный язык для написания конфигов.
А книг про конфигурацию bind'a - один О'Реилли выпустил 5 редакций.
Разжованно до немогу.

>  >> i A dnsmasq-base Recommends dns-root-data  

>  >> Может, конечно, он оттуда только ключи для DNSSEC хочет...
>  > Вот именно. Оно еще и ntp сервер захочет. Чтоб ключи валидировать. И будешь
>  > ты с kill -HUP ${pid} играться :)
> Про это в man тоже есть.
Ну если автор настолько одаренный, что по SIGHUP делает ВСЁ - то место этому
в роутере. 

>  > PS: Лучше уж сборку из unbound/atftpd/udhcpd - оно хоть если развалиться, 
> то
>  > не всё сразу. И дурацких лимитов по умолчанию в 150 паралельных DNS 
> запросов не
>  > имеет. И внешний DNS не требует.

> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него
> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не
А чем они, эти твои провайдеры - это аргументируют?

> пускают. А вот насчет unbound на secondary NS можно и подумать.
unbound - это РЕЗОЛВЕР. Оно не умеет работать АВТОРАТИВНЫМ сервером.

Если тебе не нравиться bind - возьми PDNS, Knot, PowerDNS, MaraDNS если уж
так хочется.

Re: dnsmasq

[Eugene Berdnikov]

On Fri, Mar 09, 2018 at 06:50:22PM +0300, Artem Chuprina wrote:
> Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
> isc-dhcpd). Про "легковеснее" молчу.
> 
> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
> promiscuous mode, и справляется с ситуацией, когда на файрволе по
> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
> нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
> пришлось донастроить файрвол.

 Isc-dhcpd не переводит интерфейс в promisc, он просто использует raw socket.
 Приём бродкастов таким образом возможен, и пакетный фильтр здесь не помеха.

 А вот с dnsmasq я столкнулся с такой ситуацией: клиент, пришедший со своим
 ip-адресом (при запросах DHCPREQUEST и DHCPINFORM) вне указанного в конфиге
 диапазона, получает ACK, а не ожидаемый NACK. Огорчило до глубины души. :)
-- 
 Eugene Berdnikov

Re: Краткий обзор систем резервного копирования

[Eugene Berdnikov]

On Fri, Mar 09, 2018 at 06:36:44PM +0300, Artem Chuprina wrote:
> artiom -> debian-russian@lists.debian.org  @ Fri, 9 Mar 2018 13:47:00 +0300:
> 
>  > Выкладываю здесь свой обзор по итогам обсуждения в теме "Backup".
>  > Может, кому пригодится.
>  > Дополнения и исправления приветствуются.
> 
> Спасибо, интересно.
> 
> Для себя сделал вывод, что надежнее самопальной конструкции на базе
> rsync все-таки ничего не придумали.
> 
> Хотя, конечно, дедупликацию к ней добавить было бы приятно... Но
> надежность и простота восстановления в любом случае важнее.

 +1

 К выделенным А.Чуприной "надёжность" и "простота" я бы ещё добавил
 "скорость восстановления", а также возможность выбирать восстанавливаемые
 объекты по критериям, которые заранее неизвестны и, бывает, формулируются
 лишь после аварии. Здесь решениям на основе rsync просто нет равных.
-- 
 Eugene Berdnikov

Re: dnsmasq

[Artem Chuprina]

Andrey Jr. Melnikov -> debian-russian@lists.debian.org  @ Fri, 9 Mar 2018 
19:56:40 +0300:

 >> Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
 >> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
 >> isc-dhcpd). Про "легковеснее" молчу.

 >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
 >> promiscuous mode, и справляется с ситуацией, когда на файрволе по
 >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
 >> нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
 >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
 >> интерфейса вообще всё, так что нет уверенности, что достаточно было бы
 >> разрешить по минимуму.
 > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;)

Это понятно. Для гостевой сети так и прописано. Кстати, кажется,
достаточно 67. Я про минимум.

А махнул рукой я, потому что там, вообще говоря

 >> Судя по документации, dnsmasq теперь можно обучить практически всем
 >> типам записей, т.е. чуть ли не сделать из него полноценный DNS-сервер,
 >> торчащий наружу. Хотя он вообще-то придуман не для этого. Единственное ???
 >> не помню, можно ли ему объяснить, что наружу можно отдавать запросы по
 >> своей зоне, но нельзя делать рекурсивные. Скорее всего, можно, потому
 >> что про соответствующую атаку авторы в курсе. Просто не помню (пока было
 >> не надо).
 > Ага. Как только научишь его отдавать ОДИН IP адрес на два MAC'a - скажи.
 > Скажу сразу - для ноутбука. У которого или эзернет или вай-вай.

zless /usr/share/doc/dnsmasq/FAQ.gz
Q: My laptop has two network interfaces, a wired one and a wireless
   one. I never use both interfaces at the same time, and I'd like the
   same IP and configuration to be used irrespective of which
   interface is in use. How can I do that?

Addendum:
   From version 2.46, dnsmasq has a solution to this which doesn't
   involve setting client-IDs. It's possible to put more than one MAC
   address in a --dhcp-host configuration. This tells dnsmasq that it
   should use the specified IP for any of the specified MAC addresses,
   and furthermore it gives dnsmasq permission to sumarily abandon a
   lease to one of the MAC addresses if another one comes along. Note
   that this will work fine only as longer as only one interface is
   up at any time. There is no way for dnsmasq to enforce this
   constraint: if you configure multiple MAC addresses and violate 
   this rule, bad things will happen.

А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только
client-id. В линуксе-то не проблема...

 >> Чего он явно не умеет (в документации нет даже упоминания), так это
 >> трансфера зон.

 > Это затычка для роутеров, оно без внешнего DNS'a работать не умеет.

Спасибо, Кэп, для чего оно предназначено, я в курсе.

 >> Подумываю, не попробовать ли его как второй авторитетный DNS своей зоны.
 > Чем тебя bind не устроил? Тем, что в нем на порядок меньше CVE находят, чем
 > в dnsmasq?
 > Сравни
 > https://www.cvedetails.com/product/14557/Thekelleys-Dnsmasq.html?vendor_id=8351
 > и
 > https://www.cvedetails.com/product/144/ISC-Bind.html?vendor_id=64
 > для приличия.

Может, конечно, bind и научились писать, но у меня исторически сложилось
ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и
вообще довольно плохо написаны.

Его затыкают, конечно, куда деваться — он reference implementation, и
стоит поэтому везде, где нужна свежая функциональность. Но работает,
судя по слухам, через пень-колоду.

Собственно, синтаксис их конфигурации и документация на нее с тех пор
лучше не стали.

 >> i A dnsmasq-base Recommends dns-root-data  

 >> Может, конечно, он оттуда только ключи для DNSSEC хочет...
 > Вот именно. Оно еще и ntp сервер захочет. Чтоб ключи валидировать. И будешь
 > ты с kill -HUP ${pid} играться :)

Про это в man тоже есть.

 > PS: Лучше уж сборку из unbound/atftpd/udhcpd - оно хоть если развалиться, то
 > не всё сразу. И дурацких лимитов по умолчанию в 150 паралельных DNS запросов 
 > не
 > имеет. И внешний DNS не требует.

Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него
вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не
пускают. А вот насчет unbound на secondary NS можно и подумать.

Re: dnsmasq

[Victor Wagner]

В Fri, 09 Mar 2018 18:50:22 +0300
Artem Chuprina  пишет:

> Хочу поделиться.
> 
> 
> Судя по документации, dnsmasq теперь можно обучить практически всем
> типам записей, т.е. чуть ли не сделать из него полноценный DNS-сервер,
> торчащий наружу. Хотя он вообще-то придуман не для этого.

Ну мы его примерно так используем, только не совсем наружу. а для
всяких внутриофисных доменов, состоящих их виртуальных машин.

> Единственное — не помню, можно ли ему объяснить, что наружу можно
> отдавать запросы по своей зоне, но нельзя делать рекурсивные. Скорее
> всего, можно, потому что про соответствующую атаку авторы в курсе.
> Просто не помню (пока было не надо).
> 
> Чего он явно не умеет (в документации нет даже упоминания), так это
> трансфера зон.

Как нет упоминания?

--auth-sec-servers=[,[,...]]
  Specify  any  secondary  servers for a zone for which dnsmasq is
  authoritative. These servers must be configured to get zone data
  from  dnsmasq  by zone transfer, and answer queries for the same
  authoritative zones as dnsmasq.


   --auth-peer=[,[,...]]
  Specify the addresses of secondary servers which are allowed  to
  initiate  zone transfer (AXFR) requests for zones for which dns‐
  masq is authoritative. If this option is not  given,  then  AXFR
  requests will be accepted from any secondary.



То есть ОТДАВАТЬ зону посредством zone transfer он умеет и еще как.


-- 
   Victor Wagner 

Re: dnsmasq

[Andrey Jr. Melnikov]

Artem Chuprina  wrote:
> Хочу поделиться.

> Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
> isc-dhcpd). Про "легковеснее" молчу.

> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
> promiscuous mode, и справляется с ситуацией, когда на файрволе по
> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
> нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
> интерфейса вообще всё, так что нет уверенности, что достаточно было бы
> разрешить по минимуму.
-p udp --dports 67:69 - это так сложно прописать в фаирвол? ;)

> Судя по документации, dnsmasq теперь можно обучить практически всем
> типам записей, т.е. чуть ли не сделать из него полноценный DNS-сервер,
> торчащий наружу. Хотя он вообще-то придуман не для этого. Единственное ???
> не помню, можно ли ему объяснить, что наружу можно отдавать запросы по
> своей зоне, но нельзя делать рекурсивные. Скорее всего, можно, потому
> что про соответствующую атаку авторы в курсе. Просто не помню (пока было
> не надо).
Ага. Как только научишь его отдавать ОДИН IP адрес на два MAC'a - скажи.
Скажу сразу - для ноутбука. У которого или эзернет или вай-вай.

Я уже не говорю про такое:
-- cut --
# Transform invalid hostnames
log(concat("hn: ", option fqdn.hostname, ":", option host-name));
if (exists fqdn.hostname) {
if (not (option fqdn.hostname ~~ "^[a-z0-9\-]+[a-z0-9]+$")) {
   ddns-hostname = concat("host-", binary-to-ascii(16, 8, "", 
substring(hardware, 1, 6)));
   log(concat("Transform client fqdn: ", option fqdn.hostname, " => ", 
ddns-hostname));
} else {
  log(concat("Using client fqdn: ", option fqdn.hostname));
  ddns-hostname = lcase(option fqdn.hostname);
}
log(concat("af: ", option fqdn.hostname, ":", option host-name, ":",
ddns-hostname, ":", option fqdn.domainname));
} elsif (not (option host-name ~~ "^[a-z0-9\-]+[a-z0-9]+$")) {
set new_host_name = concat("host-", binary-to-ascii(16, 8, "", 
substring(hardware, 1, 6)));
log(concat("invalid hostname: ", option host-name, " => ", new_host_name));
ddns-hostname = new_host_name;
} elsif (exists host-name) {
log(concat("Using client hostname: ",  option host-name));
ddns-hostname = lcase(option host-name);
}
-- cut --

> Чего он явно не умеет (в документации нет даже упоминания), так это
> трансфера зон.

Это затычка для роутеров, оно без внешнего DNS'a работать не умеет.

> Подумываю, не попробовать ли его как второй авторитетный DNS своей зоны.
Чем тебя bind не устроил? Тем, что в нем на порядок меньше CVE находят, чем
в dnsmasq?
Сравни
https://www.cvedetails.com/product/14557/Thekelleys-Dnsmasq.html?vendor_id=8351
и
https://www.cvedetails.com/product/144/ISC-Bind.html?vendor_id=64
для приличия.

> Чего, опять же, не отследил ??? будет ли он работоспособен без
> вышестоящего _рекурсивного_ DNS-сервера. Однако,
Нет.

> i A dnsmasq-base Recommends dns-root-data  

> Может, конечно, он оттуда только ключи для DNSSEC хочет...
Вот именно. Оно еще и ntp сервер захочет. Чтоб ключи валидировать. И будешь
ты с kill -HUP ${pid} играться :)

PS: Лучше уж сборку из unbound/atftpd/udhcpd - оно хоть если развалиться, то
не всё сразу. И дурацких лимитов по умолчанию в 150 паралельных DNS запросов не
имеет. И внешний DNS не требует.

dnsmasq

[Artem Chuprina]

Хочу поделиться.

Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
isc-dhcpd). Про "легковеснее" молчу.

Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
promiscuous mode, и справляется с ситуацией, когда на файрволе по
данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
интерфейса вообще всё, так что нет уверенности, что достаточно было бы
разрешить по минимуму.

Судя по документации, dnsmasq теперь можно обучить практически всем
типам записей, т.е. чуть ли не сделать из него полноценный DNS-сервер,
торчащий наружу. Хотя он вообще-то придуман не для этого. Единственное —
не помню, можно ли ему объяснить, что наружу можно отдавать запросы по
своей зоне, но нельзя делать рекурсивные. Скорее всего, можно, потому
что про соответствующую атаку авторы в курсе. Просто не помню (пока было
не надо).

Чего он явно не умеет (в документации нет даже упоминания), так это
трансфера зон.

Подумываю, не попробовать ли его как второй авторитетный DNS своей зоны.

Чего, опять же, не отследил — будет ли он работоспособен без
вышестоящего _рекурсивного_ DNS-сервера. Однако,

i A dnsmasq-base Recommends dns-root-data  

Может, конечно, он оттуда только ключи для DNSSEC хочет...

Re: Краткий обзор систем резервного копирования

[Artem Chuprina]

artiom -> debian-russian@lists.debian.org  @ Fri, 9 Mar 2018 13:47:00 +0300:

 > Выкладываю здесь свой обзор по итогам обсуждения в теме "Backup".
 > Может, кому пригодится.
 > Дополнения и исправления приветствуются.

Спасибо, интересно.

Для себя сделал вывод, что надежнее самопальной конструкции на базе
rsync все-таки ничего не придумали.

Хотя, конечно, дедупликацию к ней добавить было бы приятно... Но
надежность и простота восстановления в любом случае важнее.

Краткий обзор систем резервного копирования

[artiom]

Выкладываю здесь свой обзор по итогам обсуждения в теме "Backup".
Может, кому пригодится.
Дополнения и исправления приветствуются.


Системы резервного копирования
--

Проприетарные закрытые решения типа Veeam не рассматриваются, по
условиям политики безопасности.

### Решения на базе unix-утилит

[Решения на основе rsync, tar, rdiff-backup,
etc.](http://www.mikerubel.org/computers/rsync_snapshots/) не
рассматриваются
по причине большого количества работы, которую потребуется выполнить, и
отсутствия необходимого WEB-интерфейса.


### Bareos

[BareOS (Backup Archiving Recovery Open
Sourced)](https://www.bareos.org/en/) - форк Bacula с 2010 года.

Плюсы:

- Стабильная отлаженная система.
- Поддерживает несколько типов агентов под разные ОС.
- Поддерживает различные типы бэкапа: инкрементальный, дифференциальный,
полный.
- WEB-интерфейс очень развит и функционален.
- Гибкая конфигурация.
- Имеется FUSE драйвер, который показывает бэкапы.
- Есть обвязка для Python, позволяющая взаимодействовать с Director.
- Есть агенты для бэкапа специфичных приложений (например, СУБД).
- Все коммуникации между различными компонентами системы аутентифицируются.
- Интеграция с FreeNAS.
- Поддержка большого количества систем хранения.

Минусы:

- Ориентация на ленточный бэкап.
- Многокомпонентная запутанная система.
- Сложная и запутанная конфигурация.
- Требует постоянной поддержки, в случае минимальных изменений.
- Документация обширная (500+ страниц), но несмотря на это, настройка
под типовой вариант использования сложна и занимает много времени.


### BackupPC

[BackupPC](http://backuppc.sourceforge.net) - безагентная система
резервного копирования.

Плюсы и возможности:

- Возможен бэкап без агентов.
- Полные и инкрементальные бэкапы.
- Есть WEB-интерфейс.
- Минимизирует количество дисковых операций.
- Дедупликация. Одинаковые файлы сохраняются однократно, даже если это
файлы на разных машинах.
- Возможность сжатия данных.
- Не нужен клиент, могут использоваться SMB, rsync.
- Возможность восстановления файлов прямо через WEB-интерфейс.
- Возможно восстановить как конкретные файлы, так и скачать все файлы
архивом.
- Гибкая конфигурация, как системная, так и отдельная для каждой машины.
- Возможность посылать уведомления.

Минусы:

- Реализован на Perl, требует установки CPAN.
- Безагентный бэкап менее гибок, чем бэкап через агента, хотя и более
безопасен.
- Нельзя выбрать время начала копирования (компенсируется выбором
периодов, когда делать копирование запрещено).


### UrBackup

[UrBackup](https://www.urbackup.org) - клиент-серверная система
резервного копирования.
Поддерживает FreeNAS.

Плюсы и возможности:

- Простая настройка.
- Есть WEB-интерфейс.
- Полные и инкрементальные бэкапы.
- Файловые бэкапы и бэкапы разделов (в т.ч. инкрементальные).
- Клиенты для Windows, Linux, MacOS X.
- Быстрая дедупликация на клиенте: быстро вычисляются изменения в
дереве, и передаются только новые файлы или сектора диска.
- Бэкап разделов при запущенной системе.
- Возможность бэкапа каталогов при изменении.
- Корректные бэкапы используемых приложениями файлов (например, баз
Outlook, клиент знает о распространённых приложениях).
- Дедупликация. Одинаковые файлы сохраняются однократно, даже если это
файлы на разных машинах.
- Настройки бэкапов (частоту, количество и т.п.) клиент может менять для
себя.
- Простая настройка.
- Предупреждение клиента о том, что бэкап не был сделан.
- Возможно восстановить как конкретные файлы, так и скачать все файлы
архивом.
- Возможность посылать уведомления.
- Безопасные и эффективные бэкапы через Internet.
- Метаданные файлов (например, время изменения) сохраняются.
- Поддержка квот на размер бэкапов.
- Простое восстановление бэкапа раздела (например, через подключенную
USB флешку).
- Автоматическое обновление.

Минусы:

- Клиент под Windows, способный отслеживать изменения блоков, платный.
- Бэкап разделов работает только с NTFS.


### Restic

[Restic](https://restic.net/) - инструмент для резервного копирования и
восстановления с консольным интерфейсом.

Плюсы и возможности:

- Простая настройка.
- Использует шифрование для шифрования резервных копий.
- Дедупликация. Одинаковые файлы сохраняются однократно, даже если это
файлы на разных машинах.
- Нет понятия полного/инкрементального бэкапа. Все они равноценные.
Передаются только новые блоки.
- Все данные и метаданные защищены контрольными суммами. Возможность
проверки корректности бэкапа.
- Сервера бэкапа нет.
- Имеется FUSE драйвер, который показывает бэкапы в виде иерархии host/дата.

Минусы:

- WEB-интерфейса нет.
- Требователен к RAM (~2.7GB на 1TB).
- Не сохраняет ACL и расширенные атрибуты.
- Медленное и требовательное к RAM удаление ненужных бэкапов.
- Удаление ненужных бэкапов блокирует работу (производить бэкап в это
время невозможно).
- Ключи шифрования одни на все хосты (в общем случае любой хост может
прочитать все бэкапы). Проблема может быть решена.
- Медленное восстановление с помощью стандартного интерфейса 

Re: Backup

[artiom]

Выложу своё "исследование" отдельной темой. Может кому пригодится.

28.02.2018 13:21, Sergey Spiridonov пишет:
> Привет
> 
> On Thu, 15 Feb 2018 22:59:07 +0300
> artiom  wrote:
> 
>> Подскажите, чем возможно выполнять резервное копирование нескольких
>> машин по сети, чтобы условия ниже были удовлетворены.
> 
> Под описание полностью подходит backuppc. Единственное чего нет из
> коробки - репликации в облако, но это несложно доделать - просто по
> крону закидывать хранилище в облако.
> 
> Бэкап через Интернет и репликация в Интернет накладывает ограничение на
> объём данных/ширину канала, но это не сильно зависит от приложения.
> 
> Я сам пользуюсь backuppc больше десятка лет для бэкапа до 15 машин.
>