[ LUGOS ] varen ftpd

Bostjan Mercun bostjan na impresija.com
Tor Jan 23 13:58:01 CET 2001 

Zivjo

Borut Mrak wrote:

> Jaz pa ne.
> 
> dnscache (ali kakorkoli se ze imenuje ta teden) ne podpira velikih zon.

Teorija mi je znana, tako da vem o cem govoris. Priznam, da tega nisem
vedel. Namrec resno sem zacel razmisljati o tem, da bi presedlal na
dnscache, dokler nisem videl konfiguracijskega file-a, takrat me je pa
minilo. Zdaj, ko to vem, mogoce res ne bi sel na dnscache, ceprav
razlog, zaradi katerega bi sel ostaja isti in to je varnost.
 
> Mimogrede, o avtorju: v eni od prejsnjih verzij dnscache-ja le-ta ni podpiral
> forwarderjev, vedno je hotel podatke dobit direktno od root serverjev naprej.
> Avtor je trdil, da so forwarderji "evil", "insecure" itd. Kar je deloma res.
> V zadnji verziji dnscache podpira forwarderje in teh trditev (kolikro sem
> videl) na strani ni vec.

Ozadja ne poznam, vendar to, da je clovek paranoicen, je za varnost samo
dobro. Tezava so vedno kompromisi med uporabnostjo in varnostjo. Da je
za Dana varnost prvo si tudi ti sigurno ze ugotovil. In forwarderji so
sigurno kompromis. Zakaj se je najprej odlocil napisati program brez
uporabe njih, kasneje je pa to moznost dodal ne vem (se mi pa zdi
zakaj).
To, da je nekaj casa trdil eno stvar, potem si je pa premislil mu
sigurno ni v ponos kot cloveku, program pa zaradi tega ni nic slabsi.
Zagotovo je koda, ki je bila zaradi forwarderjev dodana varna kolikor se
le da. In jaz uporabljam programe zato, ker delajo tako kot jaz hocem,
ne ker kakorkoli simpatiziram z avtorjem. Dnscache pa nikoli ne bo imel
vseh moznosti, ki jih ima bind, ker potem ni kaj dosti bolj varen. Ne
gre samo za buge, gre tudi za pomanjkljivosti v protokolih in tudi teh
se DJB izogiba.

Imas pa za vsak program dokumentacijo, opise in podobno, tako da imas
prosto izbiro. Ce ti en program ni vsec pac izberes drugega.

> Naslo bi se se kaj, ampak imam ta moment pametnejse delo.

> O "enostavnosti" uporabe programov, ki jih scopra DJB: jaz sem (kot zacetnik)
.
.

Tudi jaz. Ampak zdaj mi ni zal za tiste neprespane noci. O enostavnosti
sem ze prej povedal svoje, tukaj se oba strinjava.

> Anyway, povsod se najdejo (tudi) drugacne resitve kot DJB-jeve. Bind 9,
> postfix, proftpd. Vsi od teh so security-wise boljsi kot naprimer Bind 8,
> sendmail, wu-ftpd in gotovo ne toliko slabsi od DJB-jevih kreacij, da ne
> bi vsaj enostavnejsa uporaba tega odtehtala.

Koliko so slabsi je odvisno od vsakega administratorja posebej in od
tega, kaj potrebuje. To, da recimo na bugtraq-u jaz se nisem videl
(utemenjenega) maila za katerikoli Bernsteinov program tudi pove nekaj.
Za ostale, ki si jih nastel sem ze videl.

Ima pa tudi linux precej alternativ, cisto vsaka ima vsaj eno prednost,
pa se vseeno pogovarjamo na tej listi.

lp

		Bostjan

Dodatne informacije o seznamu Starilist