djbdns vs bind [ปิด]

ฉันเป็นมือใหม่ที่ต้องการเรียนรู้วิธีตั้งค่า DNS Nameserver ฉันควรใช้ djbdns, BIND หรืออะไรอย่างอื่น?

ความต้องการเครือข่ายปัจจุบันรวมถึงการสนับสนุนโดเมนย่อย SSL และบริการอีเมลทั้งหมดนี้มีปริมาณการใช้งานน้อยมาก ฉันต้องการโซลูชันที่สามารถเพิ่มปริมาณการรับส่งข้อมูลได้มากขึ้นและอาจมีข้อกำหนดที่ยุ่งยากกว่า (เช่นสมดุลภาระ) ในเวลานี้ฉันจะเรียกใช้บน Linux

ฉันได้อ่านว่า BIND มีปัญหาด้านความปลอดภัยหากไม่ได้รับการกำหนดค่าอย่างเหมาะสมและการกำหนดค่านั้นอาจมีความยุ่งยาก ฉันยังได้อ่านว่า djbdns นั้นง่ายต่อการกำหนดค่าความปลอดภัยมากขึ้นและเท่ากับภาระที่มาก ข้อโต้แย้งสำหรับ djbdns ดูน่าเชื่อถือ แต่ฉันไม่มีความเชี่ยวชาญในการประเมินอย่างถูกต้อง ถ้า BIND ดีกว่าฉันจะขอบคุณการอภิปรายของการเรียกร้องเหล่านั้นสำหรับ djbdns

ขอบคุณ

ฉันเคยทำงานกับ djbdns ในอดีตและปัจจุบันใช้เซิร์ฟเวอร์ BIND เป็นจำนวนมาก

ปัญหาที่ใหญ่ที่สุดของ djbdns คือวิธีที่ครูชั้นประถมศึกษาปีที่หนึ่งของฉันใส่ลงในบัตรรายงานของฉัน: "เล่นได้ไม่ดีกับผู้อื่น" มันไม่ได้ทำตัวเหมือนอย่างอื่นในกล่องยูนิกซ์ในรูปแบบที่เล็กมากที่จะกัดคุณในภายหลัง มันใช้ไวยากรณ์สำหรับไฟล์โซนที่คุณจะไม่เห็นที่อื่น

ข้อได้เปรียบที่ใหญ่ที่สุดของ djbdns คือมันถูกออกแบบมาโดยเริ่มต้นด้วยความปลอดภัยตามเป้าหมาย # 1

หากคุณกำลังจะตั้งค่าเซิร์ฟเวอร์ DNS ให้เปิดเผยกับอินเทอร์เน็ตและไม่เคยดูแลรักษาเลย djbdns จะเป็นวิธีที่จะไป

ในโลกแห่งความเป็นจริงผู้ดูแลระบบส่วนใหญ่ดีกว่าโดยใช้แพ็คเกจ BIND จากผู้จำหน่ายระบบปฏิบัติการและทำการแก้ไขทันทีเมื่อมีการอัพเดท แต่การรันมัน chrooted เป็นความคิดที่ดีและการแยกเซิร์ฟเวอร์ DNS ที่มีสิทธิ์ของคุณออกจากเซิร์ฟเวอร์ DNS Resolver Resverive ของคุณนั้นเป็นแนวคิดที่ดี

หากคุณพบเอกสารสำหรับบางอย่างที่มี DNS ระบบจะรวม BIND และ djbdns จะไม่ถูกรวมไว้ หากคุณใช้ขุดรูปแบบที่ส่งคืนนั้นสามารถวางลงในไฟล์โซน BIND และใช้งานได้ มันทำหน้าที่เหมือนภูตยูนิกซ์ทั่วไปแทนที่จะเป็นบางสิ่งจากดาวเคราะห์ดวงอื่น

เราใช้ตัวโหลดบาลานซ์ฮาร์ดแวร์และโหลดบาลานซ์เซิร์ฟเวอร์ BIND resolver แบบเรียกซ้ำ ใช้งานได้ดี เพียงตรวจสอบให้แน่ใจว่าผู้ใช้ได้รับ IP ต้นทางเดียวกันกับที่พวกเขาส่งคำขอไปและการตั้งค่าการโหลดบาลานซ์ที่มีความสามารถ UDP และ TCP ใด ๆ ควรทำงาน หากคุณใช้ DNS ที่มีสิทธิ์การทำโหลดบาลานซ์นั้นง่ายเหมือนมีเซิร์ฟเวอร์มากกว่าหนึ่งเครื่องและเผยแพร่ทั้งหมดในข้อมูล whois เซิร์ฟเวอร์ DNS อื่นจะโหลดยอดดุลอย่างชาญฉลาด

สำหรับบริการเผด็จการNSD

สำหรับแบบเรียกซ้ำไม่ได้ผูกไว้

ทั้งคู่มีขนาดเล็ก (ดังนั้นอาจมีช่องโหว่ด้านความปลอดภัยน้อยกว่าที่รอการค้นพบ) มีการบำรุงรักษาอย่างแข็งขันและสนับสนุนสิ่ง DNS ล่าสุดทั้งหมด (DNSSEC, IPv6, ฯลฯ )

มิฉะนั้น BIND เป็นซอฟต์แวร์ที่ดี

djbdns เป็นโปรเจ็กต์เดียวที่ไม่ได้ใช้งานมานานและไม่มีความปลอดภัยมากนัก (ผู้เขียนบอกอย่างนั้น) และเว็บไซต์ทางการก็เต็มไปด้วยความผิดพลาด (ตอนนี้ฉันแน่ใจว่าฉันจะได้รับ downvote มากมายจาก djbboys ตัวแทนของฉันสูงเกินไปสำหรับรสนิยมของฉัน :-)

ถ้าเป็นของคุณและถ้าคุณต้องการเรียนรู้วิธีการทำงานของ DNS ฉันจะใช้ djbdns

หากคุณต้องการที่จะเข้าใจว่าคนอื่นทำ DNS อย่างไรและวิธีการสนับสนุนการปรับใช้องค์กรทั่วไปให้เรียนรู้การผูก

หากเป้าหมายของคุณคือความพยายามและการสนับสนุนที่น้อยที่สุดและคุณมีความสามารถพอสมควร djbdns มีค่าใช้จ่ายในการสนับสนุนที่ต่ำกว่ามาก

หากคุณอยู่ข้างรั้วสามเณรมากกว่านี้คุณอาจจะมีเวลาที่ง่ายขึ้นในการผูกและวิ่ง แต่โปรดจำไว้ว่ามันมีแนวโน้มที่จะระเบิดด้วยวิธีที่แปลกและแปลกประหลาด

ถ้าฉันไม่รู้จัก djbdns (และผูก) ฉันจะดู powerdns และ maradns ด้วย แต่ฉันสงสัยว่าสำหรับการติดตั้งเล็ก ๆ มันดีกว่า djbdns suite

ไม่ว่าแม้ว่าคุณจะใช้การเชื่อมโยงโฆษณา DNS ของคุณกับอินเทอร์เน็ตก็ตามคุณยังควรเรียกใช้ dnscache (ส่วนหนึ่งของชุด djbdns) ที่รันบน localhost สำหรับตัวแก้ไขระบบของคุณ

ข้าม djbdns แม้ว่า djb เป็นฮีโร่ แต่เขาก็ยังถือเอาซอฟต์แวร์ที่หยิ่งยโส ความจริงที่ว่ามันไม่ทำงานเหมือนซอฟต์แวร์อื่น ๆ ที่เกี่ยวข้องกับการเริ่ม / หยุดมันอาจเป็นการสาธิตที่ดีของเทคนิคที่ชาญฉลาดในการจัดการ daemons แต่คุณจะต้องดึงเอกสารออกมาถ้าคุณไม่ใช้มันเป็นประจำเพราะทุกอย่างแตกต่างกันมาก หากคุณตั้งค่าบนระบบที่คนอื่นดูแลเช่นกันคุณจะต้องเขียนเอกสารที่ชัดเจน - ซึ่งพวกเขาจะต้องอ่านอย่างครบถ้วนเพื่อดำเนินการอย่างง่าย สิ่งที่วิ่งออกมาจาก init น่ารักและฉลาด แต่มันก็น่าสะพรึงกลัวน่าประหลาดใจและไม่เป็นมาตรฐาน

นอกจากนี้ฉันยังมีปัญหาเกี่ยวกับ djbdns ที่ทำให้เกิดปัญหาร้ายแรงเนื่องจากการยืนยันมาตรฐานที่เคารพเท่านั้นไม่ใช่การทำงานร่วมกันของซอฟต์แวร์ การแก้ไขปัญหาเหล่านี้เป็นเรื่องเสียเวลาเพราะมันแตกต่างกันเล็กน้อยในแพ็คเก็ต DNS

นอกจากนี้ djbdns ยังมีพฤติกรรมแปลก ๆ ในบางกรณีที่จะทำให้คนอื่นแก้ไขปัญหาเซิร์ฟเวอร์ DNS ของคุณด้วยเครื่องมืออื่นนอกเหนือจาก djb (เช่นกับ nslookup) เพื่อให้ได้ผลลัพธ์ที่น่าประหลาดใจ คุณจะเสียเวลาอธิบาย "จริง ๆ แล้วฉันแค่ใช้เซิร์ฟเวอร์ DNS ที่คลุมเครือนี้ชื่อ djbdns ปัญหาคือเครื่องมือวินิจฉัยของคุณให้ข้อความแปลก ๆ แก่คุณ แต่ใช้งานได้ดีถ้าคุณดูที่การจับแพ็คเก็ตนี้คุณสามารถบอกได้ สิ่งนี้ไม่เกี่ยวข้องกับปัญหาที่เกิดขึ้นเมื่อสองสามเดือนก่อนที่ djbdns ทำงานไม่ถูกต้องกับเซิร์ฟเวอร์ DNS ของคุณและไม่เกี่ยวข้องกับปัญหาที่เกิดขึ้นเมื่อสองสามสัปดาห์ก่อนที่ฉันไม่อยู่ที่สำนักงาน เพื่อนร่วมทีมหนึ่งชั่วโมงเพื่อรีสตาร์ทเซิร์ฟเวอร์ DNS "

ปัญหาที่คล้ายกันกับ qmail ทุกรอบ

มีคุณค่าทางการศึกษาในการตั้งค่า djbdns ถ้าคุณถามคำถามและมีเวลาฆ่า คุณสามารถเรียนรู้มากมายได้โดยอ่านเว็บไซต์ของ djb

มีปัญหาด้านความปลอดภัยสองชุด ช่องโหว่ที่อนุญาตให้ผู้โจมตีเข้าถึงระบบ - djbdns เกือบจะแน่นอนไม่มีสิ่งเหล่านี้ หลายปีก่อนการผูกมีสิ่งที่น่าอายค่อนข้างน้อยที่ค้นพบในระยะเวลาอันสั้นรวมถึงการออกแบบที่ไม่ดี ฉันคาดหวังว่าตลอดหลายปีที่ผ่านมามันถูกเขียนใหม่ทั้งหมด หากคุณต้องการที่จะปลอดภัยในแง่นี้จริงๆให้เรียกใช้ภายใต้เครื่องเสมือน (เช่น Xen) นอกจากนี้ควรพิจารณาหากคุณใช้งานบนระบบ Linux ด้วย SELinux ในโหมดเป้าหมายคุณจะมีการตั้งค่าการเชื่อมโยงและอาจไม่รบกวนการเชื่อมต่อหนึ่งสำหรับ djbdns ระบบ bind + SELinux นั้นมีความปลอดภัยมากกว่า

ปัญหาอื่น ๆ คือความปลอดภัยต่อการเป็นพิษของแคช ฉันเดาว่า djbdns นั้นดีกว่าเมื่อมันเปิดตัวและการผูกอาจดีกว่าในตอนนี้เนื่องจากความสนใจที่มากขึ้น นี่อาจเป็นสาเหตุของการได้ยินที่ผูกไม่ปลอดภัยเว้นแต่ "กำหนดค่าอย่างเหมาะสม" อย่างน้อยคุณควรทำการวิจัยและทำความเข้าใจกับปัญหานี้ ในกระบวนการคุณอาจพบว่ามีความเสี่ยงในการกำหนดค่าใดบ้างสำหรับเซิร์ฟเวอร์ DNS ทั้งคู่

พฤติกรรมภายใต้ภาระหนักเป็นเกณฑ์ไร้สาระสำหรับผู้ใช้ส่วนใหญ่ ระวังประสิทธิภาพที่ใช้เป็นเกณฑ์ในการประเมินซอฟต์แวร์ที่ไม่ค่อยมีปัญหาคอขวด คุณไม่ได้โฮสต์เซิร์ฟเวอร์แคช DNS สำหรับฐานผู้ใช้จำนวนมากซึ่งคุณอาจได้รับคำขอในอัตราที่สูง คุณใช้ DNS ที่เชื่อถือได้เพื่อให้บริการที่อาจทำงานอยู่ในระบบเดียวกัน บริการเหล่านี้แพงกว่า DNS หลายพันเท่า ลิงก์อินเทอร์เน็ตของคุณอาจไม่เพียงพอสำหรับการโหลดเซิร์ฟเวอร์ DNS ของคุณหนัก แต่ถ้าคุณได้รับการโหลดจำนวนมากเช่นบริการที่คุณให้ไว้ DNS จะไม่เป็นปัญหาคอขวด

คุณอาจต้องการดูMaraDNSเซิร์ฟเวอร์ DNS ที่คำนึงถึงความปลอดภัย

• การรักษาความปลอดภัย MaraDNS มีประวัติความปลอดภัยดีหรือดีกว่าเซิร์ฟเวอร์ DNS อื่น ตัวอย่างเช่น MaraDNS มีการสุ่มตลอดเวลาโดยใช้ตัวสร้างหมายเลขสุ่มที่ปลอดภัย, Query ID และพอร์ตต้นทางของการสืบค้น DNS และไม่เคยเสี่ยงที่จะถูกโจมตีจากการ "พิษ" ของแคช

• ได้รับการสนับสนุน. MaraDNS มีประวัติอันยาวนานในการดูแลและปรับปรุง MaraDNS ก่อตั้งขึ้นในปี 2544 MaraDNS 1.0 เปิดตัวในปี 2545 และ MaraDNS 1.2 เปิดตัวในเดือนธันวาคม 2548 MaraDNS ได้รับการทดสอบอย่างกว้างขวางทั้งกับกระบวนการ SQA และการใช้งานจริงมากกว่าสี่ปี MaraDNS ยังคงได้รับการสนับสนุนอย่างเต็มที่: มีการเผยแพร่ครั้งล่าสุดเมื่อวันที่ 13 กุมภาพันธ์ 2009 Deadwood รหัสที่จะกลายเป็นส่วนหนึ่งของ MaraDNS 2.0 กำลังได้รับการพัฒนาอย่างแข็งขัน

• ง่ายต่อการใช้. การกำหนดค่าแบบเรียกซ้ำพื้นฐานต้องการเพียงไฟล์กำหนดค่าสามบรรทัดเดียวเท่านั้น การกำหนดค่าที่มีสิทธิ์ขั้นพื้นฐานต้องการเพียงไฟล์การกำหนดค่าสี่บรรทัดและไฟล์โซนหนึ่งบรรทัด MaraDNS มีเอกสารครบถ้วนทั้งแบบฝึกหัดที่ติดตามได้ง่ายและคู่มืออ้างอิงที่สมบูรณ์และทันสมัย

• เล็ก MaraDNS เหมาะอย่างยิ่งสำหรับแอพพลิเคชั่นที่ฝังตัวและสภาพแวดล้อมอื่น ๆ ที่เซิร์ฟเวอร์ต้องใช้ทรัพยากรขั้นต่ำที่แน่นอน ไบนารีของ MaraDNS นั้นเล็กกว่าของเซิร์ฟเวอร์ DNS แบบเรียกซ้ำอื่นที่ได้รับการบำรุงรักษาในปัจจุบัน

• โอเพ่นซอร์ส. MaraDNS เป็นโอเพนซอร์ซอย่างเต็มรูปแบบใบอนุญาตเป็นใบอนุญาต BSD สองข้อซึ่งเกือบจะเหมือนกับใบอนุญาต FreeBSD

ดูหน้าการสนับสนุน maraDNSที่มีการเปรียบเทียบซอฟต์แวร์เซิร์ฟเวอร์ DNS หลายตัวที่อาจช่วยคุณเลือก

หากคุณใช้งาน DNS เพียงอย่างเดียว djbdns เป็นแพ็คเกจซอฟต์แวร์ที่ดีกว่า เป็นหนึ่งในไม่กี่แพคเกจซอฟต์แวร์ที่ระบุปัญหาความปลอดภัย DNS ที่สำคัญจากปีที่แล้วและได้สร้าง / แก้ไขเพื่อแก้ไขปัญหาหลายปีก่อนมือ สำหรับการแคช DNS ฉันติดตั้ง dnscache (ส่วนหนึ่งของ djbdns) บนเซิร์ฟเวอร์ทั้งหมดที่ไม่ได้ทำงานเป็นเซิร์ฟเวอร์ DNS ที่มีสิทธิ์ มันทำงานได้ดีกว่า BIND สำหรับรายการส่วนใหญ่ แต่ด้วยฮาร์ดแวร์ของวันนี้น้ำหนักที่เพิ่มขึ้นและความเร็วที่ช้าลงของ BIND นั้นไม่ใช่ประเด็นปัญหา

สำหรับประสบการณ์ฉันจะเรียนรู้พื้นฐานของ BIND โดยไม่คำนึงถึงแพคเกจที่คุณเลือกใช้

Djbdns ได้รับการตั้งค่าให้ง่ายต่อการดูแลจากบรรทัดคำสั่ง การเปลี่ยนแปลงข้อมูล DNS ทั้งหมดจะทำตามคำสั่ง ใน BIND คุณแก้ไขชุดของไฟล์ข้อความ

คุณสามารถรับแพ็คเกจสำหรับทั้งคู่ ฉันดูความแตกต่างเช่น IE กับเบราว์เซอร์อื่น IE มาในตัวและใช้งานได้หลายอย่างและคุณไม่ได้เปลี่ยนจากค่าเริ่มต้น Djbdns นั้นแตกต่างกันและต้องการการแลกเปลี่ยนที่แตกต่างกัน สำหรับ ISP การย้ายจาก BIND ไปยัง djbdns อาจเป็นเรื่องยุ่งยากเล็กน้อยเนื่องจาก BIND โดยค่าเริ่มต้นจะทำการแคชและการแสดงชื่อโดยที่ djbdns แยกสิ่งนี้ออกเป็นสองส่วน โซลูชันความปลอดภัยที่ต้องการนี้ แต่ติดตั้งได้ยากการติดตั้ง BIND จำนวนมากจึงไม่ต้องกังวล

โดยส่วนตัวแล้วฉันบอกว่าคุณต้องเรียนรู้พื้นฐานของ BIND เพื่อประโยชน์ในการอ้างอิง แต่การย้ายไปสู่สิ่งอื่นจะทำให้คุณเป็นผู้ดูแลระบบที่มีความสุขมากขึ้นในอนาคต :)

สถานที่ส่วนใหญ่ที่ฉันเคยทำงานในอุตสาหกรรม ISP ดูเหมือนจะใช้ประโยชน์จาก djbdns แต่ก็มีหน่วยการสร้างและฐานรากที่ยอดเยี่ยมในการบริการเลเยอร์ 'ที่จัดการ' บน - การเขียนสคริปต์เพื่อสร้างไฟล์โซนนั้นค่อนข้างเล็กน้อยหมายความว่าคุณสามารถเก็บข้อมูล DNS ทั้งหมดของคุณ ใน SQL ต่อไป มันจัดการกับจำนวนแบบสอบถามที่ไร้สาระต่อวินาทีและมีความปลอดภัยในการบูต

หากคุณต้องการขยายขนาดให้ไปที่http://haproxy.1wt.euแล้วสำรวจเซิร์ฟเวอร์ที่เชื่อถือได้สองสามอย่างที่อยู่ด้านหลัง! ฉันขอแนะนำให้แยกตัวแยกออกจากเซิร์ฟเวอร์ที่เชื่อถือได้ในการตั้งค่าใด ๆ ที่คุณเลือกที่จะใช้งาน

สิ่งอื่น ๆ ที่ควรค่าแก่การอ่าน ได้แก่ MaraDNS และ PowerDNS

ฉันใช้ FreeBSD เป็นหลักสำหรับสิ่งเหล่านี้และเนื่องจากมันมาพร้อมกับ BIND ฉันจึงไม่เคยใช้ความพยายามในการเรียนรู้อย่างอื่น เมื่อใดก็ตามที่ฉันพบ BIND ค่อนข้างง่ายต่อการกำหนดค่าและเนื่องจากได้รับการดูแลรักษาในมุมมองด้านความปลอดภัยโดย FreeBSD ฉันต้องติดตามช่องสัญญาณนั้นเพื่อแก้ไขปัญหาความปลอดภัยใด ๆ

ดังนั้นฉันคิดว่าทางออกที่ดีที่สุดสำหรับคุณคือลองทั้งสองชุดแล้วดูว่าห้องใดห้องหนึ่งที่คุณชอบที่สุดนั่นคือถ้าคุณไม่ใช้ระบบปฏิบัติการที่มาพร้อมกับชุดใดชุดหนึ่ง

หากคุณต้องการเรียนรู้เกี่ยวกับ DNS สำเนาของหนังสือ O'Reilly " DNS and BIND " และการติดตั้งการผูกล่าสุดอาจเป็นวิธีที่ดีที่สุด

มันเป็นความจริงที่ BIND มีปัญหาด้านความปลอดภัยมากกว่าในช่วงชีวิตของมัน dnjdns ไม่มีใครเลยจนกระทั่งเมื่อปีที่แล้ว แต่มันมีสถาปัตยกรรมที่แตกต่างกันมากจาก BIND และคุณอาจพบว่ามันยากที่จะรับถ้าคุณไม่คุ้นเคยกับระบบการตั้งชื่อ

หากคุณเพียงแค่ต้องการเรียนรู้เกี่ยวกับวิธีการเรียกใช้เซิร์ฟเวอร์ DNS (ซึ่งต่างจากการเรียนรู้เกี่ยวกับโปรโตคอลและอื่น ๆ ) คุณควรเลือกเพียงหนึ่งและดำน้ำเท่านั้นฉันคาดว่าคุณจะพบแพ็คเกจไบนารีสำหรับทั้งคู่ คุณเลือกอะไรก็ได้ ดังที่กล่าวมามีข้อได้เปรียบบางประการในการรวบรวมจากแหล่งที่มาพร้อมกับซอฟต์แวร์ที่คุณอาจต้องสร้างใหม่หากมีการประกาศช่องโหว่ด้านความปลอดภัย

เช่นเดียวกับบริการอินเทอร์เน็ตอื่น ๆ สามัญสำนึกบางอย่างและการคิดอย่างจริงจังเป็นวิธีที่ดีที่สุดในการไปโดยไม่คำนึงถึงซอฟต์แวร์ที่คุณใช้ หากคุณต้องเปิดใช้งานการปรับปรุงแบบไดนามิกตรวจสอบให้แน่ใจว่ามีการลงนาม หากคุณอนุญาตให้มีการถ่ายโอนโซนให้ จำกัด ผู้ที่สามารถทำได้จากเซิร์ฟเวอร์ของคุณเป็นต้น

ผูก.

หากคุณจะเรียนรู้วิธีกำหนดค่า (ในขณะที่อ่าน RFC ที่เกี่ยวข้องกับ DNS ค่อนข้างน่าเบื่อ) คุณสามารถเปลี่ยนไปใช้เซิร์ฟเวอร์ DNS อื่นในอนาคตได้อย่างง่ายดาย (เพื่อวัตถุประสงค์ใดก็ตาม) ฉันใช้ BIND เป็นเซิร์ฟเวอร์หลักและเซิร์ฟเวอร์รองทุกที่บน FreeBSD, Linux และแม้แต่บนแล็ปท็อป Vista (สำหรับโฮสต์ VMware NAT'ed)

Btw มันสนุกมากที่จะอ่านแหล่งที่มาของ BIND และค้นพบวิธีการเช่นฟังก์ชั่นแบบคลาสสิกเช่น gethostbyname () หรือ gethostbyaddr () ทำงานได้

หลังจากใช้เป็นเวลาหลายปีในที่สุดก็ถึงกับฉันว่าเซิร์ฟเวอร์ส่วนใหญ่ไม่จำเป็นต้องเรียกใช้ DNS daemon ของตัวเองเลย สิ่งนี้อาจใช้ไม่ได้กับคุณ แต่ให้คำนึงถึง: ผู้รับจดทะเบียนโดเมนทุกวันนี้แทบจะไม่เสนอให้กับเซิร์ฟเวอร์ระเบียน DNS ของคุณสำหรับคุณ (โดยทั่วไปจะให้วิธีการทางเว็บในการแก้ไขระเบียน DNS ของคุณ) พวกเขาจัดการกับการให้บริการข้อมูลการจัดการที่สอง ฯลฯ หากคุณลบความต้องการสำหรับเซิร์ฟเวอร์ของคุณเพื่อตอบสนองต่อการค้นหา DNS สิ่งที่เหลืออยู่ก็คือเซิร์ฟเวอร์ของคุณที่จะทำการค้นหา DNS สำหรับสิ่งนี้ฉันชี้ /etc/resolv.conf ของฉันที่ 4.2.2.1 และ 4.2.2.2 ซึ่งเป็นเซิร์ฟเวอร์ DNS ระดับ "anycast" DNS และดูเหมือนว่าจะค่อนข้างรวดเร็วและเชื่อถือได้

โบนัสเพิ่มเติมคือการกำหนดค่าไฟร์วอลล์สำหรับเซิร์ฟเวอร์ของคุณไม่จำเป็นต้องปล่อยใน DNS อีกต่อไป คุณเพียงแค่ต้องใช้กฎ "ที่จัดตั้งขึ้นที่เกี่ยวข้อง" เพื่ออนุญาตให้การสืบค้น DNS ของเซิร์ฟเวอร์ของคุณทำงาน

ตกลงดังนั้นคุณไม่ได้ถามว่าคุณต้องการเรียกใช้ DNS daemon หรือไม่ แต่นั่นเป็นคำถามที่ฉันตอบ เพื่อให้เสร็จสมบูรณ์หากคุณพบว่าคุณต้องเปิดใช้งานฉันขอแนะนำให้ใช้การผูกเพราะมันใช้กันทั่วไปคุณจะพบเอกสารจำนวนมากและช่วยทำให้มันเป็นไปตามที่คุณต้องการ