Re: Dienste "beschraenken"

To: debian-user-german@lists.debian.org
Subject: Re: Dienste "beschraenken"
From: Andreas Metzler <ametzler@downhill.at.eu.org>
Date: Sun, 3 Feb 2002 14:15:39 +0000 (UTC)
Message-id: <[🔎] a3jgmb$4c4$1@downhill.at.eu.org>
References: <20020131021053.45f20d25.news@hessmann.de> <E16W766-00032a-00@debian.dyndns.org> <20020131112014.5c9189e0.news@hessmann.de> <E16WH6B-0008AM-00@debian.dyndns.org> <[🔎] 20020201135020.GF776@thinknow.de> <[🔎] 20020201150333.A23964@chemie.uni-hamburg.de> <[🔎] E16Wesp-0003tn-00@debian.dyndns.org> <[🔎] 20020201145029.GB2070@udo.linux.lan> <[🔎] E16WfBL-000449-00@debian.dyndns.org> <[🔎] 20020201234059.F20515@jensbenecke.de> <[🔎] 20020202180116.GD7922@thinknow.de>

Waldemar Brodkorb <waldemar@thinknow.de> wrote:
[...]
>> Wo wir gerade über Sicherheit reden: Warum überhaupt bind? 

> Weil manchen Menschen die Lizensen von Dan Bernstein vielleicht nicht
> zusagen.

Hallo!
Prinzipielles ACK, aber es gibt beXXXXXXXXe Lizenzen und beXXXXXXXXe
Lizenzen, mit der von djbdns kann man leben, man muss die Software
halt selbst kompilieren, aber das ist ja wirklich kein Hexenwerk,
insbesondere da die Software klein ist und schnell kompiliert.

>> Für ein cache-only System gibt es drnd, und für so ziemlich alles
>> andere funktioniert tinydns/dnscache ebenfalls sehr gut, und hat
>> sinnvollere Defaults: läuft nicht als root, läuft chrooted, hat
>> eine (IMHO) übersichtlichere Konfiguration, und ist wenigstens hier
>> _deutlich_ weniger anspruchsvoll (CPU/Speicherbedarf).  Comments?

> bind läßt sich ebenfalls chrooted betreiben. 
[...]
djbdns ist es per default, ohne zusaetzliche Arbeit.

> Im Endeffekt genauso Geschmackssache wie bei der Wahl von MTA's,
> MUA's und sonstigen Dämonen und Applikationen.

"Im Endeffekt" - ACK.

> Mit einer Einschränkung, root-exploits bei Dan Bernsteins software
> sind mir bisher nicht bekannt.

Bei MTAs ist die Lage aber schon etwas anders. Die grossen boesen Bugs
sind schon lange (sendmail 8.9.2 ?) her und es gibt mit exim und
postfix noch zwei ernsthafte Mitspieler neben qmail und sendmail. Bei
DNS gibt es momentan aber nur nur Skylla und Charybdis (MaraDNS ist
iirc noch nicht ernstzunehmen):
bind: feature complete, vergleichsweise fett, sicherheitsmaessig
      suboptimal, kryptisch.
djbdns: +schlank, klein, sicher, modular.
        --Bernsteins soziale Kompetenz.
        +Imho wesentlich einfacher zu konfigurieren. Wer gegenteiliges
         behauptet, haelt sicher auch sendmail fuer einfacher als
         exim, d.h. er hat schon sehr lange Erfahrung damit.
        -+einige Features fehlen, weil sie der Autor fuer
         sinnlos bzw. eine schlechte Ideen haelt, afaik geht es dabei
         vor allem um den Datenaustausch zwischen grossen NS
         untereinander, Bernstein meint, das sollte man besser mit
         dafuer gebauten Tools (rsync-ssh) machen statt DNS zu
         "vergewaltigen".

            cu andreas
-- 
Hey, da ist ein Ballonautomat auf der Toilette!
vim:ls=2:stl=***\ Sing\ a\ song.\ ***

Reply to:

Follow-Ups:
- Re: Dienste "beschraenken"
  - From: Waldemar Brodkorb <waldemar@thinknow.de>

References:
- Re: Firewall oder gesichertes System
  - From: Waldemar Brodkorb <waldemar@thinknow.de>
- Dienste "beschraenken" war: Firewall oder gesichertes System
  - From: Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de>
- Re: Dienste "beschraenken" war: Firewall oder gesichertes System
  - From: Guido Hennecke <debian-user-de@debian.dyndns.org>
- Re: Dienste "beschraenken"
  - From: Udo Müller <info@cs-ol.de>
- Re: Dienste "beschraenken"
  - From: Guido Hennecke <debian-user-de@debian.dyndns.org>
- Re: Dienste "beschraenken"
  - From: Jens Benecke <jens@jensbenecke.de>
- Re: Dienste "beschraenken"
  - From: Waldemar Brodkorb <waldemar@thinknow.de>

Prev by Date: Re: Iptable-Firewall fürAnfänger
Next by Date: Re: Netscape 4.78
Previous by thread: Re: Dienste "beschraenken"
Next by thread: Re: Dienste "beschraenken"
Index(es):
- Date
- Thread