URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 126587
[ Назад ]
Исходное сообщение
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и DNS-over-HTTPS"
Отправлено opennews , 27-Янв-22 13:05 
После двух лет разработки консорциум ISC представил первый стабильный релиз новой значительной ветки DNS-сервера BIND 9.18. Поддержка ветки 9.18 будет осуществляться в течение трёх лет до 2 квартала 2025 года в рамках расширенного цикла сопровождения.  Обновления для прошлой LTS-ветки 9.11 продолжат выпускаться до декабря 2021 года. Поддержка ветки 9.11 прекратится в марте, а ветки 9.16 в середине 2023 года. Для развития функциональности следующей стабильной версии BIND сформирована экспериментальная ветка BIND 9.19.0...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56589

Содержание
Сообщения в этом обсуждении
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено marten , 27-Янв-22 13:09 
> Обновления для прошлой LTS-ветки 9.11 продолжат выпускаться до декабря 2021 года.

Т.е. уже всё?

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 27-Янв-22 15:36 
Да, считайте что всё.
We will continue maintaining BIND 9.11 through the end of 2021, and will patch any significant security issues through Q1, 2022.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 27-Янв-22 13:12 
Неужели кто-то до сих пор пользует этого динозавра?
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено dalco , 27-Янв-22 13:46 
А почему нет?

Сотню-другую хостов держит без вопросов, с виндовыми DNS`ами дружит. Настройка элементарна, хаутухами весь инет забит. Работает и каши не просит.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 27-Янв-22 14:54 
Пффф, у нас он десятки тысяч хостов держит без каких-либо проблем.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено dalco , 27-Янв-22 15:27 
Ну, мало ли... Может у человека хосты миллионами обрабатываются и чудо-DNS на brainfuсk`е написанный, а мы тут со своим антиквариатом.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 11:59 
Если миллионами - Knot, если хочется удобства и отказоустойчивости - dnsdist+pdns-auth+postgres.

Bind - это когда хочется уявимостей и гемора на ровном месте.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Pahanivo пробегал , 27-Янв-22 23:34 
Хм. Он у меня на третьем пне двухядерном полторы тыщи зон волок да 600-700 резолвов в процессе ....
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено AndreyChe , 28-Янв-22 17:37 
Что такое двухядерный третий пень? Типа Pentium 3 Duo ? :D
Или таки был двухпроцессорный пень 3?
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 23:40 
это когда вот так https://www.google.com/search?q=pentium+3+dual+processor+mot...
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено AndreyChe , 31-Янв-22 17:27 
> это когда вот так https://www.google.com/search?q=pentium+3+dual+processor+mot...

это таки двухпроцессорный

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 02-Фев-22 10:29 
Нет, он видимо про двухпроцессорную плату.
Двухядерные пни начались с недоскота.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 02-Фев-22 10:33 
Даже вру, это был уже не недоскот, а сразу после недоскота - но тоже на нетбурсте. Pentium D назывался.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 27-Янв-22 16:25 
Не на Rustишке написан, мало зависимостей в особенности нет leftpad, не модно и молодёжно, уже повод его не использовать
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 27-Янв-22 23:02 
Не Растишке, потому и работает.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 02:02 
А мы в сарказм не умеем, да?
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 12:09 
Здесь сарказм не очень уместен.
Бинд так плох, что ему не повредит переписывание не то, что на ржавчине - даже на visual basic.
Продукты ISC формируют тот уровень дна, который невозможно пробить.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено nvidiaamd , 28-Янв-22 21:23 
И тут ты такой выходишь и показываешь нам свой код, который написан так что мы от счастья будем плакать, и возьмем его стандарт написания всего и вся. Гдеж ты был раньше? Что не покажешь нам свой код? Его нет у тебя? Мндаааа... странно.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 28-Янв-22 22:26 
Ща предложат какую-нибудь очередную херню на гошечке, написанную на коленке для поддержки одного проекта с одним доменом.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 29-Янв-22 18:58 
https://www.knot-dns.cz/ сойдет?
CZNIC вроде подпадает под определение "одного проекта с одним доменом" (ну, один-то домен там точно есть).
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 29-Янв-22 19:50 
И давно он в рекурсию научился?
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 30-Янв-22 12:10 
У профессиональных разработчиков, auth и rec - это два разных сервера.
Что у knot, что у powerdns.

Это только стильные-модные go-поделки типа coredns и bind совмещают все в одном.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 29-Янв-22 19:52 
Хотя против собственно кнота ничего не имею - если достаточно только auth, то вполне можно брать и его.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 11:55 
> Неужели кто-то до сих пор пользует этого динозавра?

Очень неплох, если потерял SSH-ключи от хоста. Можно ломануть по-быстрому, благо дыр там выше крыши, ребята из ISC дадут фору даже разрабам Exim.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено john_erohin , 30-Янв-22 18:27 
> Очень неплох, если потерял SSH-ключи от хоста.  Можно ломануть по-быстрому

а здесь мы видим типичный случай так называемых "понтов".

на скольких хостах вы восстановили управление таким образом, уважаемый анон ?
я почму-то думаю, что их число строго равно 0 (ноль).

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 27-Янв-22 13:38 
DNS это рак
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 27-Янв-22 13:56 
Предлагаете упразднить доменные имена? URLы чисто айпишниками указывать.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено c0rax , 27-Янв-22 14:00 
и обязательно только в IPv6 формате ;)
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 27-Янв-22 16:30 
Нене прям в двоичной форме,  и не просто в двоичной а в реверсивной для каждого второго запроса… да и вообще клавиатура это зло, водить нужно только по нормальному -  мышкой клацать морзе
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено лютый жабби__ , 27-Янв-22 17:24 
>URLы чисто айпишниками указывать.

на одном IP почти всегда 2+ hostnames

рак это мнения поппеннетчиков

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 27-Янв-22 14:36 
> Прекращена поддержка сборки и запуска для платформы Windows. Последней веткой, которую можно установить в Windows, остаётся BIND 9.16.

Не знал что он там вообще работал.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено john_erohin , 27-Янв-22 15:46 
работал еще как ! вместо чудесного MS DSN server.
на контроллере домена AD через include в зону подключается текстовый файл,
и все потроха AD доступны для запросов. с сервера MS DHCP вытягивается
база в другой текстовый файл, и вся динамика в DNS. юзеры логин скриптами
формируют третий текстовый файл, и видно кто с какой р.станции зашел.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено nvidiaamd , 29-Янв-22 01:55 
Ну теперь все.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 27-Янв-22 14:54 
Ну накотец-то. А то клиенты задолбали DoH/DoT просить.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено john_erohin , 27-Янв-22 15:53 
когда у меня клиенты начали "просить" (на самом деле гадить в) 853/tcp,
я завернул их stunnel-ем на bind 53/tcp. есть ли такая же нашлепка для DoH ?

ps: есть вот такая штука https://dankaminsky.com/phreebird/ но по-моему оно не для этого.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено john_erohin , 28-Янв-22 08:39 
ну и какие альтернативно одаренные пациенты минусуют ?  не нраятся грязные хаки ?
так опишите свой идеологически правильный подход к вопросу.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 28-Янв-22 09:12 
Ну я думал тоже завернуть, но как-то не особо радует на боевые DNS-серверы навешивать лишнее.
Идеологически правильный подход - вот он, в новости :D
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено john_erohin , 28-Янв-22 11:08 
> Ну я думал тоже завернуть, но как-то не особо радует на боевые
> DNS-серверы навешивать лишнее.

там нагрузка мизер. A/B тесты в помощь.

> Идеологически правильный подход - вот он, в новости :D

т.е. я должен был терпеть и ждать этой новости. спасибо, но нет.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 28-Янв-22 22:27 
Ну я думаю что доха там реально дох не будет, да, но у меня и так DNS-трафика за 20 мегабит на каждый из шести резолверов ныне, ну его нафиг.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 12:03 
> Идеологически правильный подход - вот он, в новости :D

А я думал - выбросить недосервер, написанный индусами из ISC за плошку риса (там другие национальности и другие формы оплаты не котируются), и взять DNS-сервер, написанный программистами.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено nvidiaamd , 29-Янв-22 01:57 
Типа ms dns?
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 29-Янв-22 18:50 
С каких пор майкрософт стал нанимать программистов?
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено OpenEcho , 27-Янв-22 17:10 
nginx <-> [dns-over-https][1] <-> unbound

и весь компот  

[1]: https://github.com/m13253/dns-over-https

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 28-Янв-22 09:13 
Когда один проект и полторы зоны - нормально.
А когда сотни тысяч хомячков - уже не очень.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено OpenEcho , 28-Янв-22 15:30 
> Когда один проект и полторы зоны - нормально.

Ну да, для одного бренча более чем достаточно

>А когда сотни тысяч хомячков - уже не очень.

На сколько я понял, то вопрос был именно о применении где НЕ тысячи.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 28-Янв-22 09:18 
Плять, оно ещё и на го. Не, спасибо, сами ешьте.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено OpenEcho , 28-Янв-22 15:32 
> Плять, оно ещё и на го. Не, спасибо, сами ешьте.

В свежих версиях unbound есть опция --enable-dnscrypt и можно вообще обойтись без прослойки если охота каждый раз перекомипилровать на апдейтах.

А чем так Го раздражает то?

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 22:02 
> А чем так Го раздражает то?

Слишком просто и легко собирается. Не unix way.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 28-Янв-22 22:34 
Ца в полтора землекопа.
Т.е. боевых юзкейсов в масштабе хотя бы ISP там около 0, и чего в нём при моей нагрузке вылезет - меня стремает даже проверять.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 28-Янв-22 22:35 
(не говоря уже о том, что эталонный сишный код, который был, есть и будет есть - я разобрать и пофиксить могу без проблем при надобности, а вот каждый год учить новую моднявку - напрягает)
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено nvidiaamd , 29-Янв-22 02:00 
Интересно, а где этот эталонный сишный?
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 29-Янв-22 18:48 
>  (не говоря уже о том, что эталонный сишный код, который был, есть и будет есть - я разобрать и пофиксить могу без проблем при надобности, а вот каждый год учить новую моднявку - напрягает)

Ну, если вы даже предельно простой язык типа гошки освоить не можете, то на сях ваш код будет эталоном разве что для демонстрации различных уязвимостей.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 29-Янв-22 19:48 
То есть теперь чтобы на сях писать, надо гошу осваивать?
Чуден мир у хипстеров.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено DNS , 30-Янв-22 11:07 
True C way: https://www.knot-dns.cz/
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 30-Янв-22 11:32 
Да. Уже выше отметились. Но в рекурсию он не умеет, и к хипстерским язычкам тоже не относится.
К слову, именно то, что лежит во вторичном стеке, на случай падения бинды.
В качестве рекурсоров на тот же случай может быть кратковременно задействована винда.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Rev , 27-Янв-22 15:05 
> в состав добавляется встроенный HTTP-сервер и TLS-библиотека, которые потенциально могут содержать уязвимости и выступать дополнительными векторами для атак.

Правильно читать как:
в состав добавляется встроенный HTTP-сервер и TLS-библиотека, которые содержат уязвимости и будут выступать дополнительными векторами для атак.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено pfg21 , 27-Янв-22 15:48 
классически, ты собираешь бинд без онных серверов и становишся счастливым обладателем не дырявого бинд.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 12:19 
> не дырявого бинд

Это невозможно https://security-tracker.debian.org/tracker/source-package/b...

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 12:20 
> в состав добавляется встроенный HTTP-сервер и TLS-библиотека, которые содержат уязвимости и будут выступать дополнительными векторами для атак.

Ну, в 2022 году BIND используют только преданные последователи идеологии Поттеринга - "чем больше всего запихнуть в блоб, тем лучше".

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 28-Янв-22 22:36 
Ну да, дохи я на основные резолверы не рискну, заведу ещё парочку чисто под дохлого.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 27-Янв-22 15:37 
Ну раз на винде его не будет, то остаётся только unbound. Собственно пользуюсь им. Не без проблем скажу, но работает.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Ivan_83 , 27-Янв-22 18:53 
> Добавлены настройки tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer и udp-send-buffer

Не прошло и 20 лет.
В том же nginx это было 2007 или даже сильно раньше, просто я ничего ранее презентации 2007 по нгинх не смотрел.

Как этот капролит столько смог прожить без этих настроек?
Подозреваю что ответ один - им никто в серьёз не пользовался.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 27-Янв-22 20:52 
> Как этот капролит столько смог прожить без этих настроек?

Раньше настраивали это прямо в ядре.

> им никто в серьёз не пользовался

Админы высоконагруженного локалхоста с LA 0.0 всегда такие смешные. Знаний ноль, но мнение имеют!

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Ivan_83 , 27-Янв-22 23:41 
Для капролитов и сейчас настраивать через ядро глобально для всей системы - единственный выход.
Хайлоад софт это умел 15 лет назад, вот про это спич.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено yet another anonymous , 28-Янв-22 00:01 
Прошу пардону, а ВЫ действительно с highload работали, или так, мимо проходили?
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Ivan_83 , 28-Янв-22 09:37 
Работал, и именно как разработчик.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 12:14 
Странно. Профессиональные разработчики обычно знают, что bufferbloat никак не улучшает работу приложения под нагрузкой.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Ivan_83 , 29-Янв-22 01:02 
bufferbloat - это название симптома, к раздутым буферам оно имеет опосредованное отношение.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Ingener , 28-Янв-22 02:49 
Самое главное чтобы товарищу майору было удобно. Чтобы взлом ДНС был доступен и удобен. И простой UI для рядовых.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 03:03 
>> Последней веткой, которую можно установить в Windows, остаётся BIND 9.16

Если со страницы о новой версии https://www.mail-archive.com/bind-announce@lists.isc.or... перейти по предложенной там ссылке https://www.isc.org/downloads, а дальше на ftp://ftp.isc.org/isc/, то последние бинарники для windows нашёл в каталоге версии 9.17.15:
ftp://ftp.isc.org:21/isc/bind9/9.17.15/BIND9.17.15.x64.zip

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено lockywolf , 28-Янв-22 07:01 
DoH и DoT -- это так же бесполезно, как и dnssec.

Вот пришёл к тебе dnssec пакет со сломанной подписью, что делать будешь? Выкинешь? Ты так без DNS останешься. С DoT будет то же самое -- будут рваться DoT коннекты, и всё.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Djdjcnnekslskcor , 28-Янв-22 07:29 
А почему не выкинуть? Подпись плохая - в трэшЪ
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено lockywolf , 28-Янв-22 10:53 
Ну вот всё, что тебе хотели заблокировать, и заблокируют твоими же собственными дропами пакетов.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 28-Янв-22 09:16 
Зато DoH так-то сложно от HTTPS отличить.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено lockywolf , 28-Янв-22 10:51 
Зачем его отличать? Ты один раз на него шлёшь запрос сам, получаешь ответ, и добавляешь в бан-лист навсегда.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 12:17 
>  DoH и DoT -- это так же бесполезно, как и dnssec.

Нет. Сломанный TLS - проблема отдельно взятого резолвера и авторитатива.
А DNSSEC запросто может сломаться не то, что на уровне TLD, а на корневом уровне, и все подписанные ответы автоматически станут некорректными.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено lockywolf , 28-Янв-22 14:14 
>>  DoH и DoT -- это так же бесполезно, как и dnssec.
> Нет. Сломанный TLS - проблема отдельно взятого резолвера и авторитатива.
> А DNSSEC запросто может сломаться не то, что на уровне TLD, а
> на корневом уровне, и все подписанные ответы автоматически станут некорректными.

У вас есть список ресолверов, которые выбрасывают (и не выбрасывают) ответы со сломанной подписью?

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 29-Янв-22 10:34 
> А DNSSEC запросто может сломаться не то, что на уровне TLD, а
> на корневом уровне, и все подписанные ответы автоматически станут некорректными.

И, надо сказать, он ломается регулярно, поэтому пришлось после ряда жалоб на рекурсивных резолверах проверку такового отключить, если абоненты хотят - включают у себя и наслаждаются^W мучаются.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 18:27 
Лучше, конечно, когда на транзите втихую подменяют ответ, ага.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 22:04 
Ага, эту всю фигню с сертификатами придумали, чтобы хитрозадые юзеры на своих роутерах не резали рекламу и телеметрию на уровне DNS.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 09:07 
>Выпуск DNS-сервера BIND

В условиях Раисии его используют только интернет-провайдеры, я как добрый админ локал хоста прохожу мимо.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 10:14 
> я как добрый админ локал хоста прохожу мимо.

Держи нас в курсе.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 29-Янв-22 14:17 
Не говори за всех. А меня то зачем в курсе держать?
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено john_erohin , 28-Янв-22 11:03 
> добрый админ локал хоста

слишком добрый. сюда смотри:

раз: https://docs.microsoft.com/en-us/windows/privacy/manage-wind...

два:
zone "weather.microsoft.com"
{type master; file "/etc/bind/db.fake"; allow-query {any;}; allow-update {none;};};
zone "wallet.microsoft.com"
{type master; file "/etc/bind/db.fake"; allow-query {any;}; allow-update {none;};};
zone "mediaredirect.microsoft.com"
{type master; file "/etc/bind/db.fake"; allow-query {any;}; allow-update {none;};};
[... и т.д. все что не нравится ...]

три:
$TTL 604800
@ IN SOA localhost. root.localhost. (
5 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS localhost.
@ IN A 127.0.0.1
* IN A 127.0.0.1
* IN PTR fubar
* IN TXT "fubar"

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 28-Янв-22 12:13 
У здоровых людей либо dnsmasq, либо unbound, которые все это позволяют даже без создания дополнительного файла.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 28-Янв-22 22:39 
Целый файл. Ужос. Содомия.
Лучше конечно мудохаться с unpredictable unknown, ага.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 29-Янв-22 18:34 
> unpredictable unknown

Это какая-то мега-фича bind?

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 29-Янв-22 19:53 
Нет, это dnsmasq и unbound. И не фича, а целиком.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 30-Янв-22 12:12 
Не, это называется "недостаточная квалификация для работы админом".
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 30-Янв-22 22:15 
Ну да, услышав dnsmasq и unbound - в админы лучше не пускать.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Палыч , 29-Янв-22 00:21 
Байнд-шмайнд, вот у нас в столовке на заводе такие беляши с капустой и с мясом, бросайте ребзя дурью маяться, стране нужен метал!
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 29-Янв-22 08:19 
> Байнд-шмайнд

Байден-шмайнд

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 29-Янв-22 10:01 
>стране нужен метал!

Не ври! Стране нужны рабы.

>у нас в столовке на заводе такие беляши с капустой и с мясом

Вот-вот, в России подавляющее большинство людей, которым ничего не нужно от жизни, лишь бы давали пожрать 3 раза в сутки, и раздавали бы бесплатно курево.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Гражданин мира , 30-Янв-22 10:36 
Можно подумать, что в других странах, - по другому
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 29-Янв-22 10:35 
Если на байнд забить - возможно, в столовке исчезнут беляши, потому что закупки вовремя не пройдут :D
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено john_erohin , 29-Янв-22 17:10 
у производителей беляшей обычно есть резервные каналы приема заказов
(телефон). и резервные каналы приема оплаты за продукцию (чемодан с кэшем).

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 29-Янв-22 17:24 
Зато у производителей мяуса, муки и масла каналы могут быть чуть менее олдскульные, да и банки явно будут не в восторге )
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 29-Янв-22 18:37 
Ни в одном вменяемом банке безопасники не пропустят в прод поделки от ISC.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 29-Янв-22 19:39 
Бгг, да, только десяточка, только хардкор.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 30-Янв-22 12:14 
bind и десяточка созданы друг для друга. Два дырявых решета, написанных с песнями и танцами.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 30-Янв-22 12:17 
А самый цимес в том, что в отличие от хипстерских всех таких красивых поделок - ими привычно пользуются по всему миру. Потому что в своих задачах работают, и работают неплохо. Ядро Linux - тоже жирный монструозный монолит, нет бы из npm собирать с отдельным васяном на каждые три строчки кода в качестве мейнтейнера. А нет ж - ты посмотри - зохавало весь мир, и ещё хочет.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 30-Янв-22 11:33 
Читал давно в новостных рассылках как в Подмосковье в одном то ли на мясоперерабатывающем, то ли на колбасном обнаружили человеческое ДНК. Ужос! Они мясо бомжей что-ли... ... ну того.

Ну бывает что на консервном заводе в чан могут бычок кинуть.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 30-Янв-22 11:34 
Бггг, да вообще без проблем, кому-то палец подрезало, вот и ДНК.
В эмульсии тех же крыс, подъём прохлопавших, тоже может быть достаточно.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 30-Янв-22 15:10 
Купишь ты колбасу а там фрагменты человечины Тебе будет вообще без проблем.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 30-Янв-22 18:06 
Я знаю как она обрабатывается - и ты вряд ли в этой выварке сможешь крысу от солитёра отличить.
Нет, кусочки ногтя например - это неприятно, случается и такое. Но таки редкость.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 30-Янв-22 18:11 
В здравом уме конечно никто ничего такого страшного сознательно не использует. И не пропустят, потому что таки есть контроль качества, даже в этой стране. Но бывают несчастные случаи, при которых попадание вполне возможно.

Нормальный состав - свинина, говядина, птица в малых дозах (в хорошей колбасе - в больших, но кто ж ныне в этой стране такую делает-то, давно уже не встречал, а %, как в нормальных странах - никто не пишет), остальное - белковая выварка из костей, кожи и гнилого мяса под названием "животный белок" (эмульсия белка) - вот в ней-то как раз в основном всякое бывшее живое и попадается, но он там в таком состоянии, что уже без разницы, чем оно раньше было, пищало, мяукало, ползало, висело гроздьями с труб, или ещё чего. Нитрит натрия, специи, ароматизаторы - по вкусу. Естественно это только часть того, из чего оно состоит.

"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Онаним , 30-Янв-22 18:16 
Просто понимаешь, частично мясо рубится вручную, большущими ножами, и травмы случаются. Сейчас разборка туш уже больше автоматизирована, но всё равно предотвратить полностью - невозможно.
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено www2 , 02-Фев-22 07:18 
Метал или металл?
"Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и D..."
Отправлено Аноним , 29-Янв-22 08:17 
Ну вот, добавили DoHлика, теперь заживём