The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Увидел свет релиз DNS-сервера BIND 9.7.0

17.02.2010 09:30

Вышел первый стабильный релиз новой ветки DNS-сервера BIND 9.7, основные улучшения в которой направлены на упрощения конфигурирования и обслуживания DNSSEC.

Главные новшества:

  • Реализована опция 'auto-dnssec' для осуществления полностью автоматического создания цифровой подписи для динамически конфигурируемых зон - ключи для подписи будут созданы автоматически и подписаны;
  • Упрощен процесс настройки расширения DLV (NSSEC Lookaside Validation), добавлена поддержка элемента конфигурации "dnssec-lookaside auto;", который позволяет избежать некоторых ручных манипуляций с dlv.isc.org;
  • Для упрощения конфигурирования DDNS (Dynamic DNS) добавлена новая утилита командной строки ddns-confgen;
  • Для named реализована опция "attach-cache", позволяющая привязать несколько представлений зоны (view) к общему кэшу;
  • Добавлена защита от "DNS rebinding" атак;
  • Изменены параметры по умолчанию, используемые при генерации ключей утилитой dnssec-keygen - без явного указания теперь генерируется 1024-битный ключ RSASHA1, а при указании опции "-f KSK" - 2048-битный ключ RSASHA1;
  • Поддержка определенной в RFC 5011 технологии автоматического обновления доверительных якорей (Trust Anchors);
  • Режим умного подписывания зон (dnssec-signzone -S), на основе доступных мета-данных определяющий какие ключи нужно использовать для заданной зоны;
  • В libdns представлено предназначенное для использования в сторонних программах новое API, учитывающее особенности работы DNSSEC;
  • Улучшена поддержка PKCS#11, включая поддержку аппаратных HSM-модулей Keyper и возможность явного выбора использования для работы движка OpenSSL.

В анонсе также сообщается, что в редких случаях при выполнении DNSSEC проверок наблюдается утечка памяти. Патч для решения проблемы уже создан, но к сожалению он не успел войти в состав BIND 9.7.0 и будет представлен только в версии 9.7.1.

  1. Главная ссылка к новости (https://lists.isc.org/pipermai...)
  2. OpenNews: Обновление DNS сервера Bind 9.6.1-P2, 9.4.3-P4, 9.5.2-P1 с исправлением уязвимости
  3. OpenNews: Вышел релиз DNS-сервера BIND 9.5.2
  4. OpenNews: Началась разработка DNS сервера BIND 10
  5. OpenNews: Релиз OpenDNSSEC, пакета для автоматизации процесса создания DNSSEC записей
  6. OpenNews: Проект Debian объявил о внедрении DNSSEC
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/25452-DNSSEC
Ключевые слова: DNSSEC, dns, bind
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (9) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 12:44, 17/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А грузить сервер новая версия меньше стала, а то в сравнении с PowerDNS разница мягко говоря большая если не сказать огромная?
     
     
  • 2.2, XoRe (ok), 13:45, 17/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >А грузить сервер новая версия меньше стала, а то в сравнении с
    >PowerDNS разница мягко говоря большая если не сказать огромная?

    Проверьте)

     

  • 1.3, Аноник (?), 14:27, 17/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Ждём bind2
     
     
  • 2.4, terminus (ok), 18:02, 17/02/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Некоторые еще пока только BIND10 ждут.
     
     
  • 3.5, аноним (?), 18:08, 17/02/2010 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Это и есть bind2. "Существуют всего 10 типов людей - которые понимают бинарный код и которые не понимают."
     
     
  • 4.6, XoRe (ok), 21:58, 17/02/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Это и есть bind2. "Существуют всего 10 типов людей - которые понимают
    >бинарный код и которые не понимают."

    Пойдете работать за 1000000 рублей? В бинарном коде, естественно =)

     
  • 4.7, terminus (ok), 22:00, 17/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А в isc.org люди уже в курсе?
     
  • 4.8, Touch (??), 11:52, 18/02/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    эм .. а bind8 эт чё bind0 получается .. а мужики то и не знают (с)
     

  • 1.9, DRVTiny (ok), 11:58, 18/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Лучше бы добавили наконец версионнность зон, а то когда нужно вести внутренний view и внешний view (для внутренних и внешних пользователей соответственно), просто задалбываеь одни и те же записи, общие для внешнего и внутреннего представленийЮ дублировать! Нужен механизм, который позволил бы "пропатчить" внешнюю зону, получив из неё слегка модифицированную версию для внутреннего представления (добавить частные адреса, переопределить чатично имена, используемые во внешней зоне) - или наоборот. Идея лежит на поверхности, но никто не в состоянии это реализовать. Я сделал через скрипт, который фактически является аналогом patch, но для корректирования DNS-зон, только этот костыль как минимум исключает возможность не ручной синхронизации.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру