The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

01.12.2017 07:20  Выпуск PowerDNS Authoritative Server 4.1

Представлен значительный релиз авторитетного (authoritative) DNS-сервера PowerDNS Authoritative Server 4.1, предназначенного для организации отдачи DNS-зон. По данным разработчиков проекта, PowerDNS Authoritative Server обслуживает примерно 30% из общего числа доменов в Европе (если рассматривать только домены с подписями DNSSEC, то 90%). Код проекта распространяется под лицензией GPLv2.

PowerDNS Authoritative Server предоставляет возможность хранения информации о доменах в различных базах данных, включая MySQL, PostgreSQL, SQLite3, Oracle, и Microsoft SQL Server, а также в LDAP и обычных текстовых файлах в формате BIND. Отдача ответа может быть дополнительно отфильтрована (например, для отсеивания спама) или перенаправлена при помощи подключения собственных обработчиков на языках Lua, Java, Perl, Python, Ruby, C и C++. Из особенностей также выделяются средства для удалённого сбора статистики, в том числе по SNMP или через Web API (для статистики и управления встроен http-сервер), мгновенный перезапуск, встроенный движок для подключения обработчиков на языке Lua, возможность балансировки нагрузки с учётом географического местоположения клиента.

Основные новшества:

  • Проведена большая работа по увеличению производительности. Например, в результате переработки системы кэширования скорость выполнения некоторых видов запросов при работе в роли корневого сервера, обслуживающего сотни тысяч доменов, возросла до 4 раз. Кроме того более чем в два раза увеличена скорость генерации пакетов, оптимизирован процесс выделения памяти, расширено кэширование данных с бэкендов, добавлены дополнительные индексы для данных в бэкендах;

  • Обеспечен полный набор средств для управления ключами шифрования и настройками DNSSEC через RESTful API. Из достоинств нового API называется возможность управления зонами с DNSSEC без оглядки на особенности DNSSEC;
  • Добавлена поддержка механизма быстрого открытия TCP-соединений (TFO - TCP Fast Open, RFC 7413), который позволяет сократить число шагов установки соединения за счёт комбинирования в один запрос первого и второго шагов классического 3-этапного процесса согласования соединения и даёт возможность отправки данных на начальном этапе установки соединения;
  • Возможность привязки к нелокальным сетевым адресам (non-local-bind), например, можно привязать обработчик к отсутствующему на сетевом интерфейсе IP при настройке отказоустойчивых конфигураций;
  • Поддержка криптографической библиотеки Botan 2.x и прекращение поддержки Botan 1.10;
  • Включена поддержка спецификации PKCS #11 для доступа к криптографическим устройствам и смарткартам (ранее для поддержки PKCS #11 требовалась перекомпиляция);
  • Расширено число проблем, выявляемых командой "pdnsutil check-zone";
  • Улучшена интеграция с системой ведения логов systemd;
  • Изменена логика отслеживания обрывов соединения с СУБД, что позволило снизить задержки на установку повторного соединения. Структуры хранения данных в СУБД переведены на использование 64-разрядных идентификаторов;
  • Расширены возможности бэкенда для хранения зон в текстовых файлах в формате BIND (например, добавлена поддержка зон с типом "native"). Улучшен скрипт для миграции зон из BIND в хранилища на базе СУБД;
  • Переработан бэкенд для хранения DNS-зон в LDAP;
  • Удалена поддержка проброса запросов для резолвинга через рекурсивный DNS-сервер PowerDNS Recursor (опция "recursor="). В качестве причин называется неверная трактовка данной возможности многими администраторами, что часто приводило к непредсказуемым результатам (например, когда запрос заканчивается ссылкой на CNAME). Для двух типовых применений проброса на рекурсивный сервер (использование авторитетного сервера как рекурсивного с несколькими приватными зонами или одновременное использования для резолвинга запросов клиентов и обслуживание общедоступных зон) подготовлена инструкция по решению данных задач другими способами.

Дополнительно можно отметить выход корректирующих выпусков PowerDNS Authoritative Server 4.0.5 и PowerDNS Recursor 4.0.7, в которых устранено несколько уязвимостей и бэкпортирована большая порция исправлений из ветки 4.1.x. В частности, устранены уязвимости, связанные с неверной проверкой доступа к API (CVE-2017-15091), некорректной валидацией сигнатур DNSSEC (CVE-2017-15090), межсайтовым скриптингом в web-интерфейсе (CVE-2017-15092), подстановкой сторонних конфигурационных файлов через API (CVE-2017-15093) и отказом в обслуживании из-за исчерпания доступной памяти при разборе запросов DNSSEC (CVE-2017-15094).

  1. Главная ссылка к новости (https://blog.powerdns.com/2017...)
  2. OpenNews: Уязвимости в Dnsmasq, позволяющие удалённо выполнить код атакующего
  3. OpenNews: Обновление PowerDNS с устранением DoS-уязвимостей
  4. OpenNews: Релиз DNS-сервера BIND 9.11, перешедшего на новую лицензию
  5. OpenNews: Выпуск DNS-сервера Knot DNS 2.2
  6. OpenNews: Доступен robdns, сверхпроизводительный DNS-сервер
Лицензия: CC-BY
Тип: Программы
Ключевые слова: powerdns, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Фуррь, 10:08, 01/12/2017 [ответить] [смотреть все]
  • –7 +/
    Радует, что среди разработчиков нет ретроградов 3... весь текст скрыт [показать]
     
     
  • 2.2, Аноним, 10:19, 01/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Улучшена интеграция не означает отказ от поддержки существующих систем ведения... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.3, A.Stahl, 10:27, 01/12/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    А не ретроградство не означает отказ от всех систем ведения логов кроме послед... весь текст скрыт [показать]
     
     
  • 4.4, Аноним, 10:33, 01/12/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну, под такое определение и ярые сторонники systemd хорошо вписываются Им то ... весь текст скрыт [показать]
     
     
  • 5.5, Фуррь, 11:46, 01/12/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Крайне редко вижу фанатиков systemd, а вот брызгающих слюной s-d-хейтеров здесь,... весь текст скрыт [показать]
     
     
  • 6.7, Andrey Mitrofanov, 12:31, 01/12/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Сходи в новость про релиз s-d NN c объявлением этот ваш - ,,, у... весь текст скрыт [показать]
     
  • 6.14, Аноним, 15:20, 01/12/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    > Крайне редко вижу фанатиков systemd,

    Неудобно поди без зеркала?

     
     
  • 7.23, Andrey Mitrofanov, 14:33, 02/12/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    А мож, привычное косоглазие -- своё не пахнет, бревно в глазу и пр https en w... весь текст скрыт [показать]
     
  • 4.6, Andrey Mitrofanov, 12:28, 01/12/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    нет ретроградов Да Верно Совсем не одно Дёргай ещё ... весь текст скрыт [показать]
     
  • 2.8, Аноним, 13:05, 01/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    А что там в системе логов системде намутили такого, что с ней отдельно интегриро... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, Аноним, 17:38, 04/12/2017 [^] [ответить] [смотреть все]  
  • +/
    Да то же самое, что и в сислоге 8212 есть какой-то набор протоколов и API, ко... весь текст скрыт [показать]
     
  • 2.21, лютый жабист__, 06:45, 02/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Были бы не ретроградами, писали бы не на си А так получите типа новый днс со ст... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, Demo, 14:28, 01/12/2017 [ответить] [смотреть все]  
  • –1 +/
    > релиз авторитетного (authoritative) DNS-сервера  PowerDNS Authoritative

    Друзья!
    Да, в 90-х мы говорили "авторитетный" сервер.
    Но сейчвс я уже практически привык к вашему "авторитативному", как вдруг вы снова заменили шило на мыло.
    Негоже это.

     
     
  • 2.13, Дмитрий, 14:44, 01/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    А я всегда говорил полномочный dns сервер И для уха приятно Я разве не прав ... весь текст скрыт [показать] [показать ветку]
     
  • 1.24, DmA, 11:38, 03/12/2017 [ответить] [смотреть все]  
  • –2 +/
    >(если рассматривать только домены с подписями DNSSEC, то 90%)

    С DNSSEC в России жуткая проблема, даже банки в личных кабинетах не используют...
    И тут отстали, пару серверов на всю Россию...
    То ли фсб-шники как-то этому мешают (чтобы вмешиваться в траффик было им легче), то ли менталитет(на аваось или на фиг это  не нужно, если надо кому  приедут с паяльником и все тайны узнают).

     
     
  • 2.26, DmA, 14:35, 05/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    минусы мне наставили, а вот почему не сказали!
    Есть тут люди, которые считают что с DNSSEC всё нормально в России?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor