Linux-Bulgaria.ORG
навигация

 

начало

пощенски списък

архив на групата

семинари ...

документи

как да ...

 

 

Предишно писмо Следващо писмо Предишно по тема Следващо по тема По Дата По тема (thread)

Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)


  • Subject: Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)
  • From: Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>
  • Date: Sat, 18 Oct 2003 13:47:05 +0300
  • Organization: Laboratory of Chemical Physics & Engineering, University of Sofia, Bulgaria

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Всъщност май до сега имаше само коментари по темата. Някой
ще сподели ли дали е пуснал решението. По-специално ме 
интересува имал ли е проблеми с пача за версия 9.2.2. Аз
лично не съм имал, но някои хора се бяха оплаквали по
чуждестранните листи.

Имам една такава идея, която не знам дали ще се понрави на
повечето, но нищо не пречи тя да бъде изложена все пак. Пък
ако се приеме - приеме, ако не - здраве да е.

Всеки, който иска да пусне филтрите, за които вече се говори,
но не се чувства уверен или още не може да схване смисъла
(просто има твърде много работа и мислите му за заети някъде
другаде по разбираеми причини), може да ми се обади чрез
писмо на vlk@xxxxxxxxxxxxxxxxx или на vesso@xxxxxxxxxxxxxxx и
ще намеря време да му помогна да сложи филтъра, да компилира
нова версия на BIND и да я постави в chroot, да управлява 
отделечено демона чрез ключ с помощта на rndc и др. екстри.

Специално за chroot и отдалеченото управление трябва да се
напише едно разбрано ръководство, което да помогне на хората.
Май ще трябва аз да го напиша.

Целта е не само да кажем на хората "ползвайте филтъра за да
избягвате измамата с имената", а да покажем, че сме готови да
помогнем безвъзмездно, когато става дума за общата ни сигурност.

Мисля, че в списъка има и доста други можещи и знаещи по темата
хора, които могат да помогнат.

Ще е добре в момента, когато VeriSign пуснат spoof сървиса си, ние
вече да ме подготвени и да не усетим проблема.

Накрая искам да кажа следното. Има няколко сървъра за имена на ISP,
които са отворени за публични запитвания. Това е похвално, но аз не
съм сигурен, че те не препращат заявките за обслужване, т.е. че не
изпълняват рекурсия. Идеята е тези публични сървъри за имена да
имат филтри и ако някой клиент знае, че сървъра за имена на неговия
доставчик не прилага филтъра, да може да използва публичния сървър
за имена. Казвам това, защото наскоро след един инцидент, се установи,
че сървъра за имена ns.bol.bg не изпълнява рекурсии, а препраща
заявките към ns.spnet.net. В това няма нищо лошо стига ns.spnet.net да
приложи филтъра. Подобни съмнения имам за ns.bitex.com. За ns.uni-sofia.bg
и ady.uni-sofia.bg ще проверя дали са в рекурсия или не (имам съмнения,
че използват сървърите за имена на NetisSat за forwarders). Ще се опитам
да накарам ръководството на Университетския изчислителен центъра да
разреши да преинсталираме ISC BIND и да приложим филтъра. За ns2.digsys.bg
ще е малко трудно, защото смяната на софтуера носи риск от прекъсване
на подаване на заявки за известно време, а сървъра е и
достоверен за TLD BG, но днес ще потърся Даниел Калчев по телефона и
ще видим както можем да направим (макар, че той е на мнение, че не
трябва да се правят филтри, а да се накара ICANN да стегне VeriSign,
което виждаме, че не стана обаче). Може би и при мен ще пусна един
публичен сървър за имена. SpNet биха помогнали неимоверно много, ако
пуснат филтър върху ns.spnet.net.

Накрая искам да кажа нещо за софтуера. Версия 9.2.3rc4 на ISC BIND може
да се използва въпреки, че е RC. В нея не бяха намерени някакви особени
бъгове и почти в същия вид ще бъде предложена като завършена версия.
Чакам Mark Andrews тези дни официално да обяви новата версия.

Засега rc версията и пачовете за версия 9.2.2 са достъпни за изтегляне от
ftp://ftp.lcpe.uni-sofia.bg/LINUX/BIND. Там са и цифровите PGP подписи на ISC
върху тарболите. Моля проверявайте ги!!! Ако искате теглете и от 
ftp://ftp.isc.org/pub/bind9. Изборът е ваш.

  Поздрави 
     Весо
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)

iD8DBQE/kRow+48lZPXaa+MRAqeSAJ97Gqqt4hRkuWaVLUwn3IK07inzPQCgobzn
hRn8ApDjUlYW7kaQQBk3fAY=
=SFiY
-----END PGP SIGNATURE-----

============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================



 

наши приятели

 

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

 

 

Linux-Bulgaria.ORG

Mailing list messages are © Copyright their authors.