View previous topic :: View next topic |
Author |
Message |
geforce l33t
Joined: 29 Dec 2003 Posts: 653 Location: Canada
|
Posted: Fri Oct 05, 2007 6:25 pm Post subject: [Bind9 ou TinyDNS] que faire ! |
|
|
Bonjour,
Pour un serveur DNS a relativement grand echelle, quelques centaines de clients pour le CACHE, et plusieurs domaines pour le DNS..
Lequel serait préférable ? Bind 9 ou TinyDNS ?
Merci _________________ User #29433 |
|
Back to top |
|
|
geforce l33t
Joined: 29 Dec 2003 Posts: 653 Location: Canada
|
Posted: Fri Oct 05, 2007 6:48 pm Post subject: |
|
|
Bind a l'air d'avoir encore des vulnerabilities ??? _________________ User #29433 |
|
Back to top |
|
|
guilc Bodhisattva
Joined: 15 Nov 2003 Posts: 3326 Location: Paris - France
|
Posted: Fri Oct 05, 2007 7:03 pm Post subject: |
|
|
geforce wrote: | Bind a l'air d'avoir encore des vulnerabilities ??? |
Non pas la dernière version.
Pour ma part, à la maison, c'est bind, pour sa richesse fonctionnelle, et son support de la charge de très bon niveau (même si il tourne mieux sur Sun que sous Linux).
Au boulot, on ne peut envisager d'utiliser autre chose que bind (chez un FAI français pour ne pas le citer :p).
On a une ferme de 5 serveurs bind 9 sur des Sun T1000 pour tous les abonnés (donc charge assez énorme de plusieurs milliers de requêtes par seconde).
La version 9.4 de bind a été réécrite en profondeur, et supporte encore mieux les RFC qu'avant (l'une des qualités de bind), et règle pas mal de problèmes de gestion mémoire via une meilleure isolation des threads.
Bref bind c'est bon, mangez-en
Quand aux failles sécurités, il y en a TOUJOURS, quel que soit le programme, le tout est qu'elles soient corrigées très vite, ce qui est le cas de bind. Et le fait que ce soit un programme largement utilisé et audité , meme si cela a pour conséquence de sortir plus souvent des failles sécurité, permet aussi d'avoir un programme mieux corrigé et au final plus sûr (un TinyDNS est beaucoup moins audité par exemple : on trouve peut-être moins de failles en fréquence dans les advisories, mais ce n'est pas pour autant qu'il est plus sûr !) _________________ Merci de respecter les règles du forum.
Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing |
|
Back to top |
|
|
F!nTcH Tux's lil' helper
Joined: 15 Jul 2007 Posts: 149
|
Posted: Fri Oct 05, 2007 7:07 pm Post subject: |
|
|
geforce wrote: | Bind a l'air d'avoir encore des vulnerabilities ??? |
J'ai toujours fait confiance à Bind, et maintenant tu peux utiliser le principe des vues, ça limite pas mal les possibilités d'attaques.
En fait, je crois que bind n'a pas de grosses failles permettant la prise de contrôle de l'hôte, mais son souci, c'est qu'il s'autocontrôle, et que la plupart des failles génèrent une incohérence interne, et par sécurité, bind se met tout seul en carafe. Donc on tombe sur des problèmes de DoS ...
Mais si tu fais attention à tes règles (modifications de zone très contrôlées, cache accessible seulement en interne, transferts de zone très contrôlés etc ...) tu limites beaucoup les dégats ...
Pour plusieurs domaines, bind est tout indiqué, et il fait aussi son boulot de cache
Après, chacun a ses goûts et ses couleurs ... _________________ Y'a ceux qui murmurent aux oreilles des chevaux ...
Et puis y'a ceux qui murmurent aux cores de leurs PC ... (oui je sors ... aïe ! tapez pas !!) |
|
Back to top |
|
|
anigel Bodhisattva
Joined: 14 Apr 2003 Posts: 1894 Location: Un petit bled pas loin de Limoges ;-)
|
Posted: Sat Oct 06, 2007 8:15 am Post subject: |
|
|
guilc wrote: | Quand aux failles sécurités, il y en a TOUJOURS, quel que soit le programme, le tout est qu'elles soient corrigées très vite, ce qui est le cas de bind. |
+1, bind est extrêmement robuste. C'est un soft qui vient de l'ISC, ce qui ajoute en plus quelques "garanties" de sérieux. Comme tout soft offrant un service, il peut être vulnérable à un moment ou un autre, ça arrive... Mais c'est toujours corrigé très vite. _________________ Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres. |
|
Back to top |
|
|
Flav Tux's lil' helper
Joined: 11 Sep 2004 Posts: 95 Location: FRANCE /Montpellier
|
Posted: Sat Oct 06, 2007 11:01 am Post subject: |
|
|
salut,
je me permets d'ajouter un lien sur ce topic, j'ai aussi des diffucultés a choisir, entre djbdns+tinydns ou bind.
J'ai dejà un topic ouvert :
https://forums.gentoo.org/viewtopic-p-4333031.html#4333031
si vous pouvez me conseiller.
Merci d'avance !
Flav |
|
Back to top |
|
|
F!nTcH Tux's lil' helper
Joined: 15 Jul 2007 Posts: 149
|
Posted: Sat Oct 06, 2007 11:17 am Post subject: |
|
|
Dan Bernstein, le dév de DJBDNS n'est pas hyper réglo avec le libre, et certains émettent des doutes quant aux conditions des tests sur lesquels s'appuient Dan pour prouver la solidité de DJBDNS ... moi je suis pas fan, Bind m'a toujours bien contenté, et je suis d'accord, on publie beaucoup d'alertes, mais c'est parce que des gens auditent le code ... Bind convient aussi aux PME, je l'utilise comme DNS Cache pour un réseau supergros : 6 machines ! Et il a tourné sur une très vieille machine que j'avais recyclée en serveur : MMX 90MHz, 64Mo de RAM, et pourtant c'était la machine la plus fiable du réseau, et bind, malgré ce qu'il est capable de faire, sait être très léger et très véloce.
Ce n'est que mon avis après tout _________________ Y'a ceux qui murmurent aux oreilles des chevaux ...
Et puis y'a ceux qui murmurent aux cores de leurs PC ... (oui je sors ... aïe ! tapez pas !!) |
|
Back to top |
|
|
Flav Tux's lil' helper
Joined: 11 Sep 2004 Posts: 95 Location: FRANCE /Montpellier
|
Posted: Sat Oct 06, 2007 12:05 pm Post subject: |
|
|
Salut, Merci de ta réponse
Avec bind pouvons nous choisir de répondre differement à une requete en fonction de l'interface de sortie? (je sais qu'avec les view on peut faire mais partie cliente)
ex:
requete type MX smtp.local.com => smtp.local.com repond 2 adresses. (celle des smtp des fai).
Si le paquet est envoyé sur une interface, comment etre sur qu'il va répondre le bon smtp du fai (eth0 smtp.isp1.com/eth1 smtp.isp2.com) ? Et que ensuite il mail partira toujours sur cette meme interface?
Je ne trouve pas de solution a ce probleme :s.
http://flav.lan-sle.net/lb-smtp.JPG
Merci pour tout conseil. |
|
Back to top |
|
|
Enlight Advocate
Joined: 28 Oct 2004 Posts: 3519 Location: Alsace (France)
|
Posted: Mon Oct 08, 2007 6:09 pm Post subject: |
|
|
ça fait 5 ans que DJB promets 500€ a qui trouvera une faille dans DJBDNS et il a pas eu a sortir un rond... Bind est tout simplement designé de travers et je trouve le "supporte encore mieux" les RFC osé!
de toute façon quand tu choisis un prog s'il existe une version codée par Dan Bernstein tu prends celle là, point barre! |
|
Back to top |
|
|
guilc Bodhisattva
Joined: 15 Nov 2003 Posts: 3326 Location: Paris - France
|
Posted: Mon Oct 08, 2007 6:20 pm Post subject: |
|
|
Enlight wrote: | je trouve le "supporte encore mieux" les RFC osé! |
Ouais, heu, la réécriture de la version 9.4 au niveau du support des RFC a été faite par... l'auteur de la RFC himself, alors bon... il a pas trop de leçons a recevoir, et j'attends qu'il soit mis en défaut la dessus... (on sors bien sur de la les patchs a 2 balles sur bind pour supporter les _ dans le noms et autres co****** qui n'ont rien a voir avec la version officielle de bind...)
Et quant au design de bind, avec l'introduction du acache et a la résolution de problèmes d'isolations de threads, ben la concurrence peut se lever de bon matin pour supporter aussi bien la charge ! Alors le soit disant "mauvais" design de bind, tu repasseras !
[Edit]
Ah ouais, j'oubliais : l'implémentation des RFC de DNS par djb est incompatible avec les autres serveurs DNS... super pratique pour les transferts de zone, qui su coup foirent 1 fois sur 2 suivant le DNS que t'as en face ! (tout ça parceque Môssieur DjB en fait qu'à sa tête, contre l'IETF et l'avis de la communauté...) _________________ Merci de respecter les règles du forum.
Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing |
|
Back to top |
|
|
anigel Bodhisattva
Joined: 14 Apr 2003 Posts: 1894 Location: Un petit bled pas loin de Limoges ;-)
|
Posted: Tue Oct 09, 2007 7:26 am Post subject: |
|
|
@guilc : file lire tes messages privés, au lieu de râler ! _________________ Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres. |
|
Back to top |
|
|
guilc Bodhisattva
Joined: 15 Nov 2003 Posts: 3326 Location: Paris - France
|
Posted: Tue Oct 09, 2007 11:49 am Post subject: |
|
|
anigel wrote: | @guilc : file lire tes messages privés, au lieu de râler ! |
Ah ouais j'avais pas vu !
Plutot discrete la notification sur le forum _________________ Merci de respecter les règles du forum.
Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing |
|
Back to top |
|
|
lesourbe l33t
Joined: 24 Nov 2005 Posts: 710 Location: Champagne !
|
Posted: Tue Oct 09, 2007 2:35 pm Post subject: |
|
|
bind vs bjdns ... hey, les mecs, vous essayez de relancer une flamewar (tm) qui a déjà fait tellement de bruit ! _________________ Is that a banhammer ?
LeSourbe, Member of EPowerforce. |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|