djbdns vs bind [ปิด]


20

ฉันเป็นมือใหม่ที่ต้องการเรียนรู้วิธีตั้งค่า DNS Nameserver ฉันควรใช้ djbdns, BIND หรืออะไรอย่างอื่น?

ความต้องการเครือข่ายปัจจุบันรวมถึงการสนับสนุนโดเมนย่อย SSL และบริการอีเมลทั้งหมดนี้มีปริมาณการใช้งานน้อยมาก ฉันต้องการโซลูชันที่สามารถเพิ่มปริมาณการรับส่งข้อมูลได้มากขึ้นและอาจมีข้อกำหนดที่ยุ่งยากกว่า (เช่นสมดุลภาระ) ในเวลานี้ฉันจะเรียกใช้บน Linux

ฉันได้อ่านว่า BIND มีปัญหาด้านความปลอดภัยหากไม่ได้รับการกำหนดค่าอย่างเหมาะสมและการกำหนดค่านั้นอาจมีความยุ่งยาก ฉันยังได้อ่านว่า djbdns นั้นง่ายต่อการกำหนดค่าความปลอดภัยมากขึ้นและเท่ากับภาระที่มาก ข้อโต้แย้งสำหรับ djbdns ดูน่าเชื่อถือ แต่ฉันไม่มีความเชี่ยวชาญในการประเมินอย่างถูกต้อง ถ้า BIND ดีกว่าฉันจะขอบคุณการอภิปรายของการเรียกร้องเหล่านั้นสำหรับ djbdns

ขอบคุณ


บริการที่มีสิทธิ์หรือซ้ำได้หรือไม่
bortzmeyer

ฉันคิดว่ามีอำนาจ
chernevik

คำตอบ:


14

ฉันเคยทำงานกับ djbdns ในอดีตและปัจจุบันใช้เซิร์ฟเวอร์ BIND เป็นจำนวนมาก

ปัญหาที่ใหญ่ที่สุดของ djbdns คือวิธีที่ครูชั้นประถมศึกษาปีที่หนึ่งของฉันใส่ลงในบัตรรายงานของฉัน: "เล่นได้ไม่ดีกับผู้อื่น" มันไม่ได้ทำตัวเหมือนอย่างอื่นในกล่องยูนิกซ์ในรูปแบบที่เล็กมากที่จะกัดคุณในภายหลัง มันใช้ไวยากรณ์สำหรับไฟล์โซนที่คุณจะไม่เห็นที่อื่น

ข้อได้เปรียบที่ใหญ่ที่สุดของ djbdns คือมันถูกออกแบบมาโดยเริ่มต้นด้วยความปลอดภัยตามเป้าหมาย # 1

หากคุณกำลังจะตั้งค่าเซิร์ฟเวอร์ DNS ให้เปิดเผยกับอินเทอร์เน็ตและไม่เคยดูแลรักษาเลย djbdns จะเป็นวิธีที่จะไป

ในโลกแห่งความเป็นจริงผู้ดูแลระบบส่วนใหญ่ดีกว่าโดยใช้แพ็คเกจ BIND จากผู้จำหน่ายระบบปฏิบัติการและทำการแก้ไขทันทีเมื่อมีการอัพเดท แต่การรันมัน chrooted เป็นความคิดที่ดีและการแยกเซิร์ฟเวอร์ DNS ที่มีสิทธิ์ของคุณออกจากเซิร์ฟเวอร์ DNS Resolver Resverive ของคุณนั้นเป็นแนวคิดที่ดี

หากคุณพบเอกสารสำหรับบางอย่างที่มี DNS ระบบจะรวม BIND และ djbdns จะไม่ถูกรวมไว้ หากคุณใช้ขุดรูปแบบที่ส่งคืนนั้นสามารถวางลงในไฟล์โซน BIND และใช้งานได้ มันทำหน้าที่เหมือนภูตยูนิกซ์ทั่วไปแทนที่จะเป็นบางสิ่งจากดาวเคราะห์ดวงอื่น

เราใช้ตัวโหลดบาลานซ์ฮาร์ดแวร์และโหลดบาลานซ์เซิร์ฟเวอร์ BIND resolver แบบเรียกซ้ำ ใช้งานได้ดี เพียงตรวจสอบให้แน่ใจว่าผู้ใช้ได้รับ IP ต้นทางเดียวกันกับที่พวกเขาส่งคำขอไปและการตั้งค่าการโหลดบาลานซ์ที่มีความสามารถ UDP และ TCP ใด ๆ ควรทำงาน หากคุณใช้ DNS ที่มีสิทธิ์การทำโหลดบาลานซ์นั้นง่ายเหมือนมีเซิร์ฟเวอร์มากกว่าหนึ่งเครื่องและเผยแพร่ทั้งหมดในข้อมูล whois เซิร์ฟเวอร์ DNS อื่นจะโหลดยอดดุลอย่างชาญฉลาด


2
ฉันชอบคิดว่าถ้า djdns ไม่ทำงานมันเป็นความผิดของคุณถ้าเป็นเช่นนั้นแล้วดีเจของมัน
Dave Cheney

2
การอภิปรายทั้งหมดนั้นมีประโยชน์และการใช้คำตอบเดียวดูเหมือนว่าไม่ยุติธรรมสำหรับผู้อื่น อันนี้ใกล้เคียงกับข้อสรุปที่ฉันได้ทำเพื่อตัวเองไม่ว่าจะเป็นความแตกต่างทางเทคโนโลยีใดก็ตาม BIND ก็ได้รับการสนับสนุนจากเอกสารและชุมชนที่ดีกว่า ดังที่ระบุไว้ในคำตอบอื่นการทำความเข้าใจเป็นไปได้ว่าการสื่อสาร DNS ในอนาคตจะง่ายขึ้น ข้อได้เปรียบเหล่านั้นดูเหมือนจะสำคัญกว่าประโยชน์ใด ๆ ที่ djbdns เสนอในการตั้งค่าได้ง่าย
chernevik

9

สำหรับบริการเผด็จการNSD

สำหรับแบบเรียกซ้ำไม่ได้ผูกไว้

ทั้งคู่มีขนาดเล็ก (ดังนั้นอาจมีช่องโหว่ด้านความปลอดภัยน้อยกว่าที่รอการค้นพบ) มีการบำรุงรักษาอย่างแข็งขันและสนับสนุนสิ่ง DNS ล่าสุดทั้งหมด (DNSSEC, IPv6, ฯลฯ )

มิฉะนั้น BIND เป็นซอฟต์แวร์ที่ดี

djbdns เป็นโปรเจ็กต์เดียวที่ไม่ได้ใช้งานมานานและไม่มีความปลอดภัยมากนัก (ผู้เขียนบอกอย่างนั้น) และเว็บไซต์ทางการก็เต็มไปด้วยความผิดพลาด (ตอนนี้ฉันแน่ใจว่าฉันจะได้รับ downvote มากมายจาก djbboys ตัวแทนของฉันสูงเกินไปสำหรับรสนิยมของฉัน :-)


8

ถ้าเป็นของคุณและถ้าคุณต้องการเรียนรู้วิธีการทำงานของ DNS ฉันจะใช้ djbdns

หากคุณต้องการที่จะเข้าใจว่าคนอื่นทำ DNS อย่างไรและวิธีการสนับสนุนการปรับใช้องค์กรทั่วไปให้เรียนรู้การผูก

หากเป้าหมายของคุณคือความพยายามและการสนับสนุนที่น้อยที่สุดและคุณมีความสามารถพอสมควร djbdns มีค่าใช้จ่ายในการสนับสนุนที่ต่ำกว่ามาก

หากคุณอยู่ข้างรั้วสามเณรมากกว่านี้คุณอาจจะมีเวลาที่ง่ายขึ้นในการผูกและวิ่ง แต่โปรดจำไว้ว่ามันมีแนวโน้มที่จะระเบิดด้วยวิธีที่แปลกและแปลกประหลาด

ถ้าฉันไม่รู้จัก djbdns (และผูก) ฉันจะดู powerdns และ maradns ด้วย แต่ฉันสงสัยว่าสำหรับการติดตั้งเล็ก ๆ มันดีกว่า djbdns suite

ไม่ว่าแม้ว่าคุณจะใช้การเชื่อมโยงโฆษณา DNS ของคุณกับอินเทอร์เน็ตก็ตามคุณยังควรเรียกใช้ dnscache (ส่วนหนึ่งของชุด djbdns) ที่รันบน localhost สำหรับตัวแก้ไขระบบของคุณ


6

ข้าม djbdns แม้ว่า djb เป็นฮีโร่ แต่เขาก็ยังถือเอาซอฟต์แวร์ที่หยิ่งยโส ความจริงที่ว่ามันไม่ทำงานเหมือนซอฟต์แวร์อื่น ๆ ที่เกี่ยวข้องกับการเริ่ม / หยุดมันอาจเป็นการสาธิตที่ดีของเทคนิคที่ชาญฉลาดในการจัดการ daemons แต่คุณจะต้องดึงเอกสารออกมาถ้าคุณไม่ใช้มันเป็นประจำเพราะทุกอย่างแตกต่างกันมาก หากคุณตั้งค่าบนระบบที่คนอื่นดูแลเช่นกันคุณจะต้องเขียนเอกสารที่ชัดเจน - ซึ่งพวกเขาจะต้องอ่านอย่างครบถ้วนเพื่อดำเนินการอย่างง่าย สิ่งที่วิ่งออกมาจาก init น่ารักและฉลาด แต่มันก็น่าสะพรึงกลัวน่าประหลาดใจและไม่เป็นมาตรฐาน

นอกจากนี้ฉันยังมีปัญหาเกี่ยวกับ djbdns ที่ทำให้เกิดปัญหาร้ายแรงเนื่องจากการยืนยันมาตรฐานที่เคารพเท่านั้นไม่ใช่การทำงานร่วมกันของซอฟต์แวร์ การแก้ไขปัญหาเหล่านี้เป็นเรื่องเสียเวลาเพราะมันแตกต่างกันเล็กน้อยในแพ็คเก็ต DNS

นอกจากนี้ djbdns ยังมีพฤติกรรมแปลก ๆ ในบางกรณีที่จะทำให้คนอื่นแก้ไขปัญหาเซิร์ฟเวอร์ DNS ของคุณด้วยเครื่องมืออื่นนอกเหนือจาก djb (เช่นกับ nslookup) เพื่อให้ได้ผลลัพธ์ที่น่าประหลาดใจ คุณจะเสียเวลาอธิบาย "จริง ๆ แล้วฉันแค่ใช้เซิร์ฟเวอร์ DNS ที่คลุมเครือนี้ชื่อ djbdns ปัญหาคือเครื่องมือวินิจฉัยของคุณให้ข้อความแปลก ๆ แก่คุณ แต่ใช้งานได้ดีถ้าคุณดูที่การจับแพ็คเก็ตนี้คุณสามารถบอกได้ สิ่งนี้ไม่เกี่ยวข้องกับปัญหาที่เกิดขึ้นเมื่อสองสามเดือนก่อนที่ djbdns ทำงานไม่ถูกต้องกับเซิร์ฟเวอร์ DNS ของคุณและไม่เกี่ยวข้องกับปัญหาที่เกิดขึ้นเมื่อสองสามสัปดาห์ก่อนที่ฉันไม่อยู่ที่สำนักงาน เพื่อนร่วมทีมหนึ่งชั่วโมงเพื่อรีสตาร์ทเซิร์ฟเวอร์ DNS "

ปัญหาที่คล้ายกันกับ qmail ทุกรอบ

มีคุณค่าทางการศึกษาในการตั้งค่า djbdns ถ้าคุณถามคำถามและมีเวลาฆ่า คุณสามารถเรียนรู้มากมายได้โดยอ่านเว็บไซต์ของ djb

มีปัญหาด้านความปลอดภัยสองชุด ช่องโหว่ที่อนุญาตให้ผู้โจมตีเข้าถึงระบบ - djbdns เกือบจะแน่นอนไม่มีสิ่งเหล่านี้ หลายปีก่อนการผูกมีสิ่งที่น่าอายค่อนข้างน้อยที่ค้นพบในระยะเวลาอันสั้นรวมถึงการออกแบบที่ไม่ดี ฉันคาดหวังว่าตลอดหลายปีที่ผ่านมามันถูกเขียนใหม่ทั้งหมด หากคุณต้องการที่จะปลอดภัยในแง่นี้จริงๆให้เรียกใช้ภายใต้เครื่องเสมือน (เช่น Xen) นอกจากนี้ควรพิจารณาหากคุณใช้งานบนระบบ Linux ด้วย SELinux ในโหมดเป้าหมายคุณจะมีการตั้งค่าการเชื่อมโยงและอาจไม่รบกวนการเชื่อมต่อหนึ่งสำหรับ djbdns ระบบ bind + SELinux นั้นมีความปลอดภัยมากกว่า

ปัญหาอื่น ๆ คือความปลอดภัยต่อการเป็นพิษของแคช ฉันเดาว่า djbdns นั้นดีกว่าเมื่อมันเปิดตัวและการผูกอาจดีกว่าในตอนนี้เนื่องจากความสนใจที่มากขึ้น นี่อาจเป็นสาเหตุของการได้ยินที่ผูกไม่ปลอดภัยเว้นแต่ "กำหนดค่าอย่างเหมาะสม" อย่างน้อยคุณควรทำการวิจัยและทำความเข้าใจกับปัญหานี้ ในกระบวนการคุณอาจพบว่ามีความเสี่ยงในการกำหนดค่าใดบ้างสำหรับเซิร์ฟเวอร์ DNS ทั้งคู่

พฤติกรรมภายใต้ภาระหนักเป็นเกณฑ์ไร้สาระสำหรับผู้ใช้ส่วนใหญ่ ระวังประสิทธิภาพที่ใช้เป็นเกณฑ์ในการประเมินซอฟต์แวร์ที่ไม่ค่อยมีปัญหาคอขวด คุณไม่ได้โฮสต์เซิร์ฟเวอร์แคช DNS สำหรับฐานผู้ใช้จำนวนมากซึ่งคุณอาจได้รับคำขอในอัตราที่สูง คุณใช้ DNS ที่เชื่อถือได้เพื่อให้บริการที่อาจทำงานอยู่ในระบบเดียวกัน บริการเหล่านี้แพงกว่า DNS หลายพันเท่า ลิงก์อินเทอร์เน็ตของคุณอาจไม่เพียงพอสำหรับการโหลดเซิร์ฟเวอร์ DNS ของคุณหนัก แต่ถ้าคุณได้รับการโหลดจำนวนมากเช่นบริการที่คุณให้ไว้ DNS จะไม่เป็นปัญหาคอขวด


5

คุณอาจต้องการดูMaraDNSเซิร์ฟเวอร์ DNS ที่คำนึงถึงความปลอดภัย

  • การรักษาความปลอดภัย MaraDNS มีประวัติความปลอดภัยดีหรือดีกว่าเซิร์ฟเวอร์ DNS อื่น ตัวอย่างเช่น MaraDNS มีการสุ่มตลอดเวลาโดยใช้ตัวสร้างหมายเลขสุ่มที่ปลอดภัย, Query ID และพอร์ตต้นทางของการสืบค้น DNS และไม่เคยเสี่ยงที่จะถูกโจมตีจากการ "พิษ" ของแคช

  • ได้รับการสนับสนุน. MaraDNS มีประวัติอันยาวนานในการดูแลและปรับปรุง MaraDNS ก่อตั้งขึ้นในปี 2544 MaraDNS 1.0 เปิดตัวในปี 2545 และ MaraDNS 1.2 เปิดตัวในเดือนธันวาคม 2548 MaraDNS ได้รับการทดสอบอย่างกว้างขวางทั้งกับกระบวนการ SQA และการใช้งานจริงมากกว่าสี่ปี MaraDNS ยังคงได้รับการสนับสนุนอย่างเต็มที่: มีการเผยแพร่ครั้งล่าสุดเมื่อวันที่ 13 กุมภาพันธ์ 2009 Deadwood รหัสที่จะกลายเป็นส่วนหนึ่งของ MaraDNS 2.0 กำลังได้รับการพัฒนาอย่างแข็งขัน

  • ง่ายต่อการใช้. การกำหนดค่าแบบเรียกซ้ำพื้นฐานต้องการเพียงไฟล์กำหนดค่าสามบรรทัดเดียวเท่านั้น การกำหนดค่าที่มีสิทธิ์ขั้นพื้นฐานต้องการเพียงไฟล์การกำหนดค่าสี่บรรทัดและไฟล์โซนหนึ่งบรรทัด MaraDNS มีเอกสารครบถ้วนทั้งแบบฝึกหัดที่ติดตามได้ง่ายและคู่มืออ้างอิงที่สมบูรณ์และทันสมัย

  • เล็ก MaraDNS เหมาะอย่างยิ่งสำหรับแอพพลิเคชั่นที่ฝังตัวและสภาพแวดล้อมอื่น ๆ ที่เซิร์ฟเวอร์ต้องใช้ทรัพยากรขั้นต่ำที่แน่นอน ไบนารีของ MaraDNS นั้นเล็กกว่าของเซิร์ฟเวอร์ DNS แบบเรียกซ้ำอื่นที่ได้รับการบำรุงรักษาในปัจจุบัน

  • โอเพ่นซอร์ส. MaraDNS เป็นโอเพนซอร์ซอย่างเต็มรูปแบบใบอนุญาตเป็นใบอนุญาต BSD สองข้อซึ่งเกือบจะเหมือนกับใบอนุญาต FreeBSD

ดูหน้าการสนับสนุน maraDNSที่มีการเปรียบเทียบซอฟต์แวร์เซิร์ฟเวอร์ DNS หลายตัวที่อาจช่วยคุณเลือก


MaraDNS ไม่ได้รับการดูแลรักษาโดยผู้เขียนอีกต่อไปตามที่ระบุไว้ในหน้าแรกของโครงการ: maradns.org
Joseph Holsten

1
ในขณะที่ฉันไม่ได้พัฒนา MaraDNS อย่างจริงจังฉันก็ยังคงรักษามันอยู่ (การแก้ไขข้อผิดพลาดการอัปเดตสำหรับคอมไพเลอร์ใหม่และลินุกซ์ distros ฯลฯ ) ในความเป็นจริงฉันเพิ่งวางตลาด MaraDNS ใหม่ในปีนี้ (2014) และอาจจะทำอีกหนึ่งปีถัดไป: maradns.samiam.org/download.html
samiam

4

หากคุณใช้งาน DNS เพียงอย่างเดียว djbdns เป็นแพ็คเกจซอฟต์แวร์ที่ดีกว่า เป็นหนึ่งในไม่กี่แพคเกจซอฟต์แวร์ที่ระบุปัญหาความปลอดภัย DNS ที่สำคัญจากปีที่แล้วและได้สร้าง / แก้ไขเพื่อแก้ไขปัญหาหลายปีก่อนมือ สำหรับการแคช DNS ฉันติดตั้ง dnscache (ส่วนหนึ่งของ djbdns) บนเซิร์ฟเวอร์ทั้งหมดที่ไม่ได้ทำงานเป็นเซิร์ฟเวอร์ DNS ที่มีสิทธิ์ มันทำงานได้ดีกว่า BIND สำหรับรายการส่วนใหญ่ แต่ด้วยฮาร์ดแวร์ของวันนี้น้ำหนักที่เพิ่มขึ้นและความเร็วที่ช้าลงของ BIND นั้นไม่ใช่ประเด็นปัญหา

สำหรับประสบการณ์ฉันจะเรียนรู้พื้นฐานของ BIND โดยไม่คำนึงถึงแพคเกจที่คุณเลือกใช้

Djbdns ได้รับการตั้งค่าให้ง่ายต่อการดูแลจากบรรทัดคำสั่ง การเปลี่ยนแปลงข้อมูล DNS ทั้งหมดจะทำตามคำสั่ง ใน BIND คุณแก้ไขชุดของไฟล์ข้อความ

คุณสามารถรับแพ็คเกจสำหรับทั้งคู่ ฉันดูความแตกต่างเช่น IE กับเบราว์เซอร์อื่น IE มาในตัวและใช้งานได้หลายอย่างและคุณไม่ได้เปลี่ยนจากค่าเริ่มต้น Djbdns นั้นแตกต่างกันและต้องการการแลกเปลี่ยนที่แตกต่างกัน สำหรับ ISP การย้ายจาก BIND ไปยัง djbdns อาจเป็นเรื่องยุ่งยากเล็กน้อยเนื่องจาก BIND โดยค่าเริ่มต้นจะทำการแคชและการแสดงชื่อโดยที่ djbdns แยกสิ่งนี้ออกเป็นสองส่วน โซลูชันความปลอดภัยที่ต้องการนี้ แต่ติดตั้งได้ยากการติดตั้ง BIND จำนวนมากจึงไม่ต้องกังวล


3

โดยส่วนตัวแล้วฉันบอกว่าคุณต้องเรียนรู้พื้นฐานของ BIND เพื่อประโยชน์ในการอ้างอิง แต่การย้ายไปสู่สิ่งอื่นจะทำให้คุณเป็นผู้ดูแลระบบที่มีความสุขมากขึ้นในอนาคต :)

สถานที่ส่วนใหญ่ที่ฉันเคยทำงานในอุตสาหกรรม ISP ดูเหมือนจะใช้ประโยชน์จาก djbdns แต่ก็มีหน่วยการสร้างและฐานรากที่ยอดเยี่ยมในการบริการเลเยอร์ 'ที่จัดการ' บน - การเขียนสคริปต์เพื่อสร้างไฟล์โซนนั้นค่อนข้างเล็กน้อยหมายความว่าคุณสามารถเก็บข้อมูล DNS ทั้งหมดของคุณ ใน SQL ต่อไป มันจัดการกับจำนวนแบบสอบถามที่ไร้สาระต่อวินาทีและมีความปลอดภัยในการบูต

หากคุณต้องการขยายขนาดให้ไปที่http://haproxy.1wt.euแล้วสำรวจเซิร์ฟเวอร์ที่เชื่อถือได้สองสามอย่างที่อยู่ด้านหลัง! ฉันขอแนะนำให้แยกตัวแยกออกจากเซิร์ฟเวอร์ที่เชื่อถือได้ในการตั้งค่าใด ๆ ที่คุณเลือกที่จะใช้งาน

สิ่งอื่น ๆ ที่ควรค่าแก่การอ่าน ได้แก่ MaraDNS และ PowerDNS


2

ฉันใช้ FreeBSD เป็นหลักสำหรับสิ่งเหล่านี้และเนื่องจากมันมาพร้อมกับ BIND ฉันจึงไม่เคยใช้ความพยายามในการเรียนรู้อย่างอื่น เมื่อใดก็ตามที่ฉันพบ BIND ค่อนข้างง่ายต่อการกำหนดค่าและเนื่องจากได้รับการดูแลรักษาในมุมมองด้านความปลอดภัยโดย FreeBSD ฉันต้องติดตามช่องสัญญาณนั้นเพื่อแก้ไขปัญหาความปลอดภัยใด ๆ

ดังนั้นฉันคิดว่าทางออกที่ดีที่สุดสำหรับคุณคือลองทั้งสองชุดแล้วดูว่าห้องใดห้องหนึ่งที่คุณชอบที่สุดนั่นคือถ้าคุณไม่ใช้ระบบปฏิบัติการที่มาพร้อมกับชุดใดชุดหนึ่ง


2

หากคุณต้องการเรียนรู้เกี่ยวกับ DNS สำเนาของหนังสือ O'Reilly " DNS and BIND " และการติดตั้งการผูกล่าสุดอาจเป็นวิธีที่ดีที่สุด

มันเป็นความจริงที่ BIND มีปัญหาด้านความปลอดภัยมากกว่าในช่วงชีวิตของมัน dnjdns ไม่มีใครเลยจนกระทั่งเมื่อปีที่แล้ว แต่มันมีสถาปัตยกรรมที่แตกต่างกันมากจาก BIND และคุณอาจพบว่ามันยากที่จะรับถ้าคุณไม่คุ้นเคยกับระบบการตั้งชื่อ

หากคุณเพียงแค่ต้องการเรียนรู้เกี่ยวกับวิธีการเรียกใช้เซิร์ฟเวอร์ DNS (ซึ่งต่างจากการเรียนรู้เกี่ยวกับโปรโตคอลและอื่น ๆ ) คุณควรเลือกเพียงหนึ่งและดำน้ำเท่านั้นฉันคาดว่าคุณจะพบแพ็คเกจไบนารีสำหรับทั้งคู่ คุณเลือกอะไรก็ได้ ดังที่กล่าวมามีข้อได้เปรียบบางประการในการรวบรวมจากแหล่งที่มาพร้อมกับซอฟต์แวร์ที่คุณอาจต้องสร้างใหม่หากมีการประกาศช่องโหว่ด้านความปลอดภัย

เช่นเดียวกับบริการอินเทอร์เน็ตอื่น ๆ สามัญสำนึกบางอย่างและการคิดอย่างจริงจังเป็นวิธีที่ดีที่สุดในการไปโดยไม่คำนึงถึงซอฟต์แวร์ที่คุณใช้ หากคุณต้องเปิดใช้งานการปรับปรุงแบบไดนามิกตรวจสอบให้แน่ใจว่ามีการลงนาม หากคุณอนุญาตให้มีการถ่ายโอนโซนให้ จำกัด ผู้ที่สามารถทำได้จากเซิร์ฟเวอร์ของคุณเป็นต้น


1
ฉันเข้ากับ djbdns, เจอปัญหาการติดตั้งเล็กน้อย, และค้นพบว่ามีชุมชนไม่ใหญ่มากที่ทำเรื่องดังกล่าว. ไม่มีอะไรที่เหมือนกับ "DNS และ BIND" สำหรับมัน แม้ว่าฉันจะผ่านอุปสรรค์นี้ไปแล้วทุกสิ่งที่ฉันอยากทำมีแนวโน้มที่จะพูดคุยเกี่ยวกับโซลูชัน BIND ไม่ว่าจะเป็นเทคโนโลยีที่ดีขึ้นหรือไม่ก็ดูเหมือนว่าจะมีการสนับสนุนที่ดีกว่า
chernevik

เห็นได้ชัดว่าไม่ยากอย่างที่คุณต้องการ ฉันพยายามที่จะทำงานและเลือกสิ่งที่ดีที่สุดที่ฉันสามารถทำได้ในการทำความเข้าใจที่ จำกัด ไม่ทำให้ศักยภาพของเครื่องมือเฉพาะเจาะจงหมดไป ฉันรู้สึกขอบคุณ djbdns และ perl และ lighttpd และฟรี BSD และทุกสิ่งโอเพนซอร์ซอื่น ๆ ที่ฉันไม่ได้ใช้ในปัจจุบัน เกือบทั้งหมดแล้ว แต่ฉันไม่คิดว่าคุณสามารถคาดหวังสามเณรที่จะ RTFM หรือ Look TFM มากกว่าที่ฉันทำ คุณลงทุนชัดเจนใน djbdns และนั่นยอดเยี่ยมมาก หากความคิดเห็นของฉันทำให้คุณรำคาญฉันคิดว่าคุณสามารถหวังสามเณรที่ฉลาดขึ้นหรือคุณสามารถทำงานเพื่อให้ง่ายต่อการค้นหาคำตอบ
chernevik

2

ผูก.

หากคุณจะเรียนรู้วิธีกำหนดค่า (ในขณะที่อ่าน RFC ที่เกี่ยวข้องกับ DNS ค่อนข้างน่าเบื่อ) คุณสามารถเปลี่ยนไปใช้เซิร์ฟเวอร์ DNS อื่นในอนาคตได้อย่างง่ายดาย (เพื่อวัตถุประสงค์ใดก็ตาม) ฉันใช้ BIND เป็นเซิร์ฟเวอร์หลักและเซิร์ฟเวอร์รองทุกที่บน FreeBSD, Linux และแม้แต่บนแล็ปท็อป Vista (สำหรับโฮสต์ VMware NAT'ed)

Btw มันสนุกมากที่จะอ่านแหล่งที่มาของ BIND และค้นพบวิธีการเช่นฟังก์ชั่นแบบคลาสสิกเช่น gethostbyname () หรือ gethostbyaddr () ทำงานได้


2

หลังจากใช้เป็นเวลาหลายปีในที่สุดก็ถึงกับฉันว่าเซิร์ฟเวอร์ส่วนใหญ่ไม่จำเป็นต้องเรียกใช้ DNS daemon ของตัวเองเลย สิ่งนี้อาจใช้ไม่ได้กับคุณ แต่ให้คำนึงถึง: ผู้รับจดทะเบียนโดเมนทุกวันนี้แทบจะไม่เสนอให้กับเซิร์ฟเวอร์ระเบียน DNS ของคุณสำหรับคุณ (โดยทั่วไปจะให้วิธีการทางเว็บในการแก้ไขระเบียน DNS ของคุณ) พวกเขาจัดการกับการให้บริการข้อมูลการจัดการที่สอง ฯลฯ หากคุณลบความต้องการสำหรับเซิร์ฟเวอร์ของคุณเพื่อตอบสนองต่อการค้นหา DNS สิ่งที่เหลืออยู่ก็คือเซิร์ฟเวอร์ของคุณที่จะทำการค้นหา DNS สำหรับสิ่งนี้ฉันชี้ /etc/resolv.conf ของฉันที่ 4.2.2.1 และ 4.2.2.2 ซึ่งเป็นเซิร์ฟเวอร์ DNS ระดับ "anycast" DNS และดูเหมือนว่าจะค่อนข้างรวดเร็วและเชื่อถือได้

โบนัสเพิ่มเติมคือการกำหนดค่าไฟร์วอลล์สำหรับเซิร์ฟเวอร์ของคุณไม่จำเป็นต้องปล่อยใน DNS อีกต่อไป คุณเพียงแค่ต้องใช้กฎ "ที่จัดตั้งขึ้นที่เกี่ยวข้อง" เพื่ออนุญาตให้การสืบค้น DNS ของเซิร์ฟเวอร์ของคุณทำงาน

ตกลงดังนั้นคุณไม่ได้ถามว่าคุณต้องการเรียกใช้ DNS daemon หรือไม่ แต่นั่นเป็นคำถามที่ฉันตอบ เพื่อให้เสร็จสมบูรณ์หากคุณพบว่าคุณต้องเปิดใช้งานฉันขอแนะนำให้ใช้การผูกเพราะมันใช้กันทั่วไปคุณจะพบเอกสารจำนวนมากและช่วยทำให้มันเป็นไปตามที่คุณต้องการ


ดูเหมือนจะสมเหตุสมผล แต่ดูเหมือนจะง่ายกว่าที่จะเข้าใจว่ามันทำงานอย่างไรโดยการโฮสต์ด้วยตัวเองก่อน
chernevik
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.