abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 01:01 | Zajímavý článek
Společnost Coverity vydala Coverity Scan Open Source Report za rok 2013. Dle nejnovější zprávy je například v open-source C/C++ projektech průměrně 0,59 chyby na 1000 řádků kódu, kdežto u proprietárních projektů je to 0,79 chyby na 1000 řádků kódu. Službu Coverity Scan využívá více než 1700 open-source projektů.
Ladislav Hagara | Komentářů: 6
18.4. 01:23 | Komunita
ISC (Internet Systems Consortium) vydalo verzi 1.2.0 DNS serveru BIND 10. Současně bylo ale oznámeno, že se jedná o poslední verzi BIND 10. Projekt byl přejmenován na Bundy a předán komunitě. ISC bude nadále rozvíjet BIND 9 a ISC DHCP.
Ladislav Hagara | Komentářů: 14
17.4. 23:22 | Nová verze
Vyšlo Ubuntu 14.04 (Trusty Tahr) a jeho deriváty jako Kubuntu nebo Xubuntu. Jedná se o vydání s dlouhodobou podporou: pět let v případě Ubuntu Desktop/Server/Core/Kylin, Edubuntu a Kubuntu, tři roky jinak.
davkol | Komentářů: 36
17.4. 20:40 | Nová verze

V kontrolním skriptu byla vylepšena detekce Linux/Ebury a přidány nově zjištěné signatury napadených webových serverů komponentou Linux/Cdorked.

… více »
Leos | Komentářů: 0
17.4. 07:00 | Nová verze
Byla vydána verze 4.13 desktopového prostředí KDE. Nová verze přináší především vylepšení aplikací. Vlastní prostředí a knihovny jsou od vydání verze 4.11 (zprávička) v udržovacím módu. Vývojáři se primárně věnují přechodu na KDE Frameworks 5. Jedinou novinkou je vylepšené sémantické vyhledávání.
Ladislav Hagara | Komentářů: 22
17.4. 06:55 | Zajímavý článek
V listopadu loňského roku vyšel na stránkách Opensource.com úvod do SELinuxu plný obrázků (zprávička). Dan Walsh byl za něj oceněn v rámci 2014 Opensource.com Community Awards. Máirín Duffy, autorka obrázků použitých v článku, zveřejnila na svém blogu SELinux omalovánky vytvořené na základě článku. Omalovánky jsou k dispozici ve formátech PDF a SVG pod licencí CC BY-SA 4.0.
Ladislav Hagara | Komentářů: 12
17.4. 01:23 | Komunita
V San Francisku probíhá čtyřdenní konference Red Hat Summit 2014. Vybraná videa z konference, například přednáška prezidenta a CEO Red Hatu Jima Whitehursta, se začínají objevovat na YouTube kanálu Red Hat Summit.
Ladislav Hagara | Komentářů: 0
16.4. 23:52 | Zajímavý článek
Debian oznámil LTS podporu pro Debian 6.0 Squeeze. Za normálních okolností by jeho podpora skončila 31. května. LTS podpora bude pokračovat do února 2016, tedy pět let od jeho vydání. Pokud se tento model osvědčí, předpokládá se jeho využití i pro další vydání.
fish | Komentářů: 18
16.4. 10:11 | Komunita
OpenBSD 5.5 vyjde 1. května. Oficiální píseň je už ale k dispozici. Nejnovější hudební hit z produkce OpenBSD je věnován problému roku 2038: Řekněte mi doktore, jaký bude rok, 1901 nebo 2038? OpenBSD 5.5 přijde s 64bitovým time_t na všech platformách. Píseň s názvem Wrap in Time lze stáhnout ve formátech MP3 a OGG.
Ladislav Hagara | Komentářů: 52
15.4. 23:38 | Pozvánky
LvB a Openmobility vás zvou na 103. sraz příznivců svobodného SW a HW, který se bude konat v pátek 18. dubna od 18 hodin v restauraci Magistr na ulici Hrnčířská 23. Těšíme se na vás.
Ladislav Nešněra | Komentářů: 22
Máte na svém notebooku zašifrovaný pevný disk?
 (78%)
 (22%)
Celkem 661 hlasů
 Komentářů: 21, poslední včera 20:46
Rozcestník
Reklama
Autoškola testy online Levný benzín

Knot DNS - nový autoritativní DNS server

15. 11. 2011 | Luboš Doležel | Rozhovory | 4125×

CZ.NIC v rámci nedávné konferenci RIPE představil světu nový software pro autoritativní DNS server: Knot DNS. V tomto rozhovoru se dozvíte něco o projektu samotném a práci na něm.

Poznámka redakce: rozhovor proběhl ještě před veřejným oznámením projektu.

Obsah

O vývoji obecně

link

Luboš Doležel: Jak dlouho se projekt vyvíjel a kolik lidí na něm pracovalo?

Ľuboš Slovák: Projekt se vyvíjí, myslím, že už téměř dva roky, takže od října 2009. Začal jsem na tom nejprve pracovat sám a po roce byli do projektu přibráni další dva lidé.

Ondřej Surý: V podstatě na tom teď dělají dva plné úvazky. Ľuboš byl první rok na půl úvazku, takže ten čistý čas je teď mnohem menší.


LD: V čem je projekt napsaný a jaké platformy jsou nebo budou podporovány?

ĽS: Projekt je v čistém C, jako platformy momentálně podporujeme Linux, BSD, zkoušeli jsme to tuším i na Mac OS X, ale tam jsou ještě nějaké nedořešené věci. Takže v podstatě všechny unixové systémy.


LD: Proč to utajení?

OS: To utajení v podstatě není utajení, spíš jen nechceme vydat nekompletní projekt. Ta verze, co teď budeme vydávat, není finální, bude to nějaká betaverze a do té doby nemělo smysl vydat nějaký polotovar – nějaký nehotový výrobek, který by stejně nedělal to, co by měl. To by nám akorát zaplnilo bugzillu chybami, o kterých jsme věděli. V podstatě je to jen utajení, než to pustíme ven, pak budou k dispozici zdrojové kódy, nějaký trackovací systém a všechny tyto věci.

Ostré nasazení

link

LD: Kdy se dočkáme první verze a pod jakou licencí bude?

OS: My obecně všechno děláme pod GPL a toto nebude výjimka, mám pocit, že jsme rovnou zvolili verzi 3. A první verzí myslíte první kompletní verzi...?

LD: To je otázka, jak to vlastně budete mít...

OS: Tak první veřejnou verzi budeme uvolňovat příští týden v rámci konference RIPE, která probíhá ve Vídni a zároveň s tím proběhne i nějaké oznámení v České republice, následně budeme Knot DNS prezentovat i na LinuxAltu.

LD: A pro ostré nasazení?

OS: To je taková složitá otázka, co je to pro ostré nasazení... Já třeba náš DNS server už mám ostře nasazený na svých doménách, ale to neznamená, že všechny fungují úplně bez problémů. Myslím, že od té doby, co jsem ho tam nasadil, tak ten server přestal padat. Kolegům jsem nahlásil spoustu chyb v moment, kdy jsem to nasadil na ostro.

Poté, co se doladí nějaké drobnosti, o kterých víme, tak v podstatě už to pro ostré nasazení bude, už to bude hotové, ale to zase neznamená, že tam nejsou chyby. Každý software má chyby a čím více lidí to bude používat, tím lépe na ty chyby přijdeme. Ale v zásadě – jak říkám – já to už v ostrém nasazení mám. Což si myslím že jsem docela překvapil, když jsem oznámil, že jsem to rovnou nasadil na svoje domény.


LD: Budou v betaverzi všechny funkce z těch důležitých, nebo máte ještě nějaké milníky do budoucna?

ĽS: Ještě nejsou dynamické updaty a TSIG, to je asi jediná věc, která zůstává jako nějaký milník do budoucího vývoje a potom ostatní už jsou jen méně významné funkce jako NSID a podobné věci.

OS: Z těch významných věcí, které člověk potřebuje pro provoz autoritativního serveru, je tam už skoro všechno a spíš ten následující rok využijeme ke zrychlování, optimalizaci a opravám chyb.


LD: Jaká bude politika projektu co se týče zapojování komunity? Ve stylu – pošlete nám patch, my ho určitě zařadíme nebo jestli vyloženě do týmu budete brát nějaké zájemce?

OS: Já si myslím, že si určitě budeme chtít udržet kontrolu nad zdrojovým kódem a i kontrolu nad tím, co přijímáme do stromu. Tím zase na druhou stranu nevylučuji, že pokud bude nějaký aktivní vývojář, kterého to bude hodně zajímat, tak by byla možnost ho do týmu přibrat. Myslím si, že v počátcích to spíš budeme řešit pull requesty, protože vývoj děláme v Gitu. Tam se ta spolupráce řeší mnohem jednoduššeji, i když ten člověk nemá přístup přímo k tomu halvnímu stromu.

Motivace a přednosti

link

LD: Proč nestačí BIND 10, neboli jak se rozhodovat mezi BINDem 10 a Knot DNS?

OS: No, nestačí. Pro běžný provoz máme dnes dva, možná tři významnější DNS servery. Je to ten BIND; myslím si, že verzi 10 ještě kolegové z ISC nemají, co se týče produkčního nasazení. Pak je to NSD z produkce NLnet Labs a pak řekněme PowerDNS je třetí DNS server, který podporuje DNSSEC a další dnešní standardy.

Pro potřeby TLD domény, což jsme my, PowerDNS vhodné není, protože to je spíš takový flexibilní server, který podporuje různé backendy, takže nám zbývají dva. Z hlediska stability a bezpečnosti proti útokům jsou dva docela málo, protože vám nějakým jednotným útokem může útočník shodit půlku serverů.

Z pohledu TLD domény jsou dva open source, které mohou použít, málo, proto jsme chtěli vyvinout třetí. Zároveň přidáváme i nějaké vlastnosti, které ty dva nemají. My bychom chtěli být tak flexibilní jako BIND a tak rychlí jako NSD s tím, že si myslím, že jsme na dobré cestě.


LD: Takže těmi hlavními přednostmi toho DNS serveru mají být výkon, škálovatelnost...

OS: V podstatě jste to řekl přesně. Myslím si, že máme jednu takovou velkou výhodu proti NSD, kde dosahujeme výsledků, že někdy jsme rychlejší a někdy zase pomalejší, záleží na konkrétní konfiguraci, ale pro bežného DNS operátora je důležitá možnost přidávat a odebírat zóny za běhu serveru. A to NSD neumí. Toto byla jedna z vlastností, na které jsme se zaměřili od začátku, a to, aby jednoduchým reloadem šlo přidávat / odebírat zóny a server během toho nepřestal odpovídat. Toto je častá otázka v mailing listu NSD, jestli toto jde dělat.

Ono to sice startuje rychle, ale ve chvíli, kdy máte hodně dynamické prostředí, kde ty zóny rychle vznikají a zanikají, tak to může být překážka.

Knot DNS

Bezpečnost a spolehlivost

link

LD: Jak bude řešeno hlášení bezpečnostních chyb?

OS: Asi standardním způsobem.

LD: Tuším, že u BINDu je speciální mailing list pro největší uživatele BINDu...

OS: Jasně, BIND má early security advisory, dostáváme je. Na druhou stranu BIND 9 je poměrně komplexní program, na kterém závisí spousta různých dalších řešení a různých krabic, které se prodávají. Myslím si, že asi nemáme v tuto chvíli potřebu něco takového dělat. Bude to nějakým standardním řešením, kdy to dostane přidělený CVE s tím, že samozřejmě, pokud to bude nějaká závažná chyba, která třeba dovolí průnik do systému – stát se může všechno, nikdo není neomylný – tak nejdřív na tu chybu vydáme záplatu a teprve potom s tím půjdeme ven, jak se to obvykle dělá.


LD: Jakým způsobem je spolehlivost softwaru testována?

ĽS: Testování momentálně probíhá na více úrovních. Je to jednak manuální sadou unit testů, které testují jednotlivé funkce a moduly na nejnižší úrovni. Následně máme speciální sadu testů, které testují server jako takový – zda správně odpovídá nebo jestli jej neshodí nějaký malformed paket a tak dále. Třetí způsob je to, že i díky kolegům z NLnet Labs, kteří nám poskytli svůj testovací software, děláme regresní analýzu, jednak vůči starší verzi a pak vůči jiným serverům, BINDu nebo NSD.

OS: A čtvrtá úroveň je, že na to šáhnu já a vždycky tam najdu nějakou chybu :-)

ĽS: Teď už většinu testů máme automatizovanou, spouští se to jednou za den a občas, pokud děláme nějaký velký release, tak se sejde celé oddělení a snažíme se to shodit nebo něco podobného.

Nasazení

link

LD: Jak bude probíhat konfigurace serveru? BIND 10 už nebude mít textové konfiguráky, bude mít nějakou databázi, jak to budete řešit vy?

OS: My máme textové konfigurační soubory rádi :-)

LD: Takže online přidání zóny bude fungovat tak, že se vytvoří textový soubor a dá se příkaz k reloadu...?

OS: Přidá se do konfiguračního souboru a dá se knotc reload a tím se znovu načte konfigurační soubor.

ĽS: Jen bych doplnil, že ještě předtím knotc compile.

OS: To je pravda, protože zóny jsou předkompilované, aby se rychleji nahrávaly.


LD: Víte už o nějakých chystaných větších nasazeních, kromě CZ.NICu samotného, a komu byste software doporučili především?

OS: Vím, ale nemůžu o tom mluvit, ale pokud to vyjde, tak to bude perfektní. Asi bych jej doporučil komukoliv, kdo potřebuje čistě autoritativní server. Taková ty mixovaná prostředí, kde je potřeba to i to [autoritativní i rekurzivní server], tam to vhodné není, ale dá se to taky nakonfigurovat. Je to dobré třeba pro operátory, kteří provozují stovky tisíc domén. Například pro TLD, jako jsme my, kde ta zóna má teď asi 400 MB na disku, případně i víc – může to být jedna velká zóna nebo spousta malých.

LD: Alespoň obecně, budou to nějaká TLDčka nebo velicí čeští registrátoři?

OS: No, zájem ze strany TLD máme a co se týče registrátorů, to je čistě na nich, do toho jim mluvit nebudeme. Vzhledem k tomu, že usilujeme o to, abychom byli nejlepší, tak to určitě nějaký z registrátorů časem nasadí.


Dále jsme probírali ještě dvě témata: API DNS serveru a usnadňování práce s DNSSEC. Jediným API Knot DNS budou samotné konfigurační soubory a (chystaná) podpora dynamických updatů. Co se DNSSEC týče, do budoucna nevylučují vytvoření vlastních nástrojů pro práci s DNSSEC. Možná to bude jeden z dalších milníků, ale uvidí se. Spíše by to byl samostatný projekt, protože nástroje pro práci s DNSSEC už existují jako oddělený balík nezávislý na DNS serveru.

Ondřej Surý je jako vedoucí Laboratoří CZ.NIC odpovědný za tým, jehož hlavním úkolem je hledat možné problémy spojené s bezpečností a stabilitou internetu, navrhovat jejich řešení a vyvíjet vlastní nástroje na rozvoj internetové infrastruktury. Potřebné znalosti získal Ondřej studiem informatiky na Matematicko-fyzikální fakultě Univerzity Karlovy v Praze. V roce 2011 úspěšně dokončil studium psychologie a sociologie na Masarykově univerzitě v Brně. Zkušenosti ze světa internetových domén nasbíral během práce ve společnosti Active24, s. r. o. (dříve Globe Internet), a to v letech 1998 až 2005. Ve sdružení CZ.NIC pracuje od roku 2005.
Ľuboš Slovák pracuje jako programátor pro výzkum a vývoj v Laboratořích CZ.NIC, výzkumném a vývojovém centru správce české národní domény. Vede vývoj autoritativního serveru Knot DNS. Vystudoval informatiku na MFF UK a v současnosti studuje Sociální a kulturní ekologii na FHS UK. Ve volném čase se věnuje ekologii, turistice, tchaj-ťi a taoistické filozofii.
       

Hodnocení: 75 %

        špatnédobré        

Nástroje: Tisk bez diskuse

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

15.11.2011 08:23 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: Knot DNS - nový autoritativní DNS server
Forma článku je bohužel dost odpudivá, málem jsem to ani nedočetl do konce. Jak po grafické stránce – podivné náhodně rozmístěné čáry, dotazy jsou jednou tučně, podruhé obyčejně…; tak i velmi hovorovým jazykem, takže článek vypadá jako doslovný přepis klábosení u piva. Výplňová slova nebo vyšinutí větné vazby normálně v mluveném projevu nevadí, ale prokousat se tím v psaném textu je dost náročné… Je to škoda, KnotDNS je zajímavý projekt a jeho vývojáři určitě mají co říct.
Luboš Doležel (Doli) avatar 15.11.2011 09:22 Luboš Doležel (Doli) | skóre: 97 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Knot DNS - nový autoritativní DNS server
Taky mi to tak přišlo, bohužel to bez čar bylo ještě méně přehledné.
15.11.2011 13:14 ivan
Rozbalit Rozbalit vše Re: Knot DNS - nový autoritativní DNS server
bude i balicek pre RH resp. Centos 6.x (pripadne debian stable)? Rad vyskusam.
16.11.2011 06:29 Ondřej Surý | skóre: 14 | Praha
Rozbalit Rozbalit vše Re: Knot DNS - nový autoritativní DNS server
Měl by tam být spec file pro libovolnou .rpm distribuci. Pokud bude velký zájem, tak binární balíčky vyrábět budeme.

V Debian stable balík bude.
Nehledejte zlý úmysl tam, kde je dostatečným vysvětlením hloupost.
16.11.2011 09:18 kpt. Pejsek
Rozbalit Rozbalit vše Re: Knot DNS - nový autoritativní DNS server
Je v planu zarazeni do ports tree na FreeBSD?
17.11.2011 09:28 Ondřej Surý | skóre: 14 | Praha
Rozbalit Rozbalit vše Re: Knot DNS - nový autoritativní DNS server
V plánu pro stabilní verzi je dostat ji kamkoli to půjde :)
Nehledejte zlý úmysl tam, kde je dostatečným vysvětlením hloupost.
15.11.2011 18:41 petr_p | skóre: 58 | blog: pb
Rozbalit Rozbalit vše Název

Zajímalo by mě, jak se program jmenuje. „Knot“ nebo „Knot DNS“? Dehtová koule i démon se jmenují „knot“, ale CZ.NIC všude o něm mluví jako o „Knot DNS“.

Mimochodem by bylo fér, kdyby se v README zmínilo, že kromě vlastního GPL kódu obsahuje BSD části z NSD. Distributoři a bezpečnostní týmy takové údaje mají rádi.

16.11.2011 06:34 Ondřej Surý | skóre: 14 | Praha
Rozbalit Rozbalit vše Re: Název
Oficiální název je Knot DNS. Tarball a binárky asi zůstanou knot, název není konfliktní s ničím existujícím, tak ať si neošoupáváme zbytečně klávesnici. Máte pocit, že to dělá velký zmatek?

Licence ještě budeme trochu ladit, ale už jsem asi viděl dost věcí, které byly takhle pomíchané a na hlavní úrovni byla jenom hlavní licence. Každopádně pak můžu poskytnout debian/copyright, ve kterém to bude všechno vylistované, protože to pro Debian stejně musím udělat.
Nehledejte zlý úmysl tam, kde je dostatečným vysvětlením hloupost.
16.11.2011 13:44 petr_p | skóre: 58 | blog: pb
Rozbalit Rozbalit vše Re: Název
Šlo mi o název balíku, init scriptu a tak. Aby každá distribuce nepoužila jiný. Zdá se, že sami razíte „knot“.
16.11.2011 19:00 Ondřej Surý | skóre: 14 | Praha
Rozbalit Rozbalit vše Re: Název
Z tohodle pohledu ano.

Jinak v master branchi je v src/knot.spec, tak jestli budete cpát něco do Fedory, tak uvítáme patche (pull request) vůči tomuhle souboru.
Nehledejte zlý úmysl tam, kde je dostatečným vysvětlením hloupost.
16.11.2011 07:37 Ondřej Surý | skóre: 14 | Praha
Rozbalit Rozbalit vše Re: Název
Tady je ten debian/copyright: http://anonscm.debian.org/gitweb/?p=users/ondrej/knot.git;a=blob;f=debian/copyright, můžete ho použít i pro RPMka.

Jen bych vás poprosil, jestli to budete balíčkovat někam oficiálně, tak aby beta verze zatím nepropadla nikam do stabilního release distribuce. Já to budu taky zatím udržovat jenom v Debian unstable a do stable to půjde až bude verze 1.0.x. Díky.
Nehledejte zlý úmysl tam, kde je dostatečným vysvětlením hloupost.
16.11.2011 13:49 petr_p | skóre: 58 | blog: pb
Rozbalit Rozbalit vše Re: Název
To je těžké. Například ve Fedoře se každého půl roku z nestabilního repozitáře stane stabilní. Protože nová Fedora vyšla nedávno, tak za půl roku propadne do stabilní Fedory 17. S tím te nedá nic dělat. Můžu do popisku balíku přidat, že do verze 1.0 se nejedná o dospělý kód, případně do čísla verze přidat slovo „beta“.
16.11.2011 19:01 Ondřej Surý | skóre: 14 | Praha
Rozbalit Rozbalit vše Re: Název
V Debian unstable -> testing je mechanismus, že když má balík RC (release critical) bug, tak nepropadne... Nemá Fedora něco podobného?
Nehledejte zlý úmysl tam, kde je dostatečným vysvětlením hloupost.
16.11.2011 19:51 petr_p | skóre: 58 | blog: pb
Rozbalit Rozbalit vše Re: Název

Politicky nemá. Prostě se kopírují celé repozitáře, nikoliv balíky po jednom (narozdíl třeba od Gentoo).

Technicky se to dá ručně vyřešit, ale je to proti všem procesům a samotný balič na to nemá páky. Ale můžu se přeptat kompetentních osob.

Každopádně nechápu, co by (kromě marketingových důvodů) mělo vadit, že je distribuován nedokonalý program, na kterém nic nezávisí. Nikdo přeci nenutí uživatele jej používat. Naopak tím, že jste zdrojové kódy zveřejnili, tak dáváte najevo, že stojíte o to, aby lidé váš program testovali.

Rezza avatar 6.12.2011 16:25 Rezza | skóre: 25 | blog: rezza | Brno
Rozbalit Rozbalit vše Re: Název
+1
16.11.2011 17:10 petr_p | skóre: 58 | blog: pb
Rozbalit Rozbalit vše Licence

Píšete

Files: src/common/lists.c
Copyright: 1998 Martin Mares <mj@ucw.cz>
License: GPL-3+

ale uvnitř src/common/lists.c je

/*
 *  BIRD Library -- Linked Lists
 *
 *  (c) 1998 Martin Mares <mj@ucw.cz>
 *
 *  Can be freely distributed and used under the terms of the GNU GPL.
 */

a poslední bird-1.3.4 v README deklaruje GPL-2+.

Nemělo by tedy v debian/copyright být uvedeno GPL-2+?

16.11.2011 18:57 Ondřej Surý | skóre: 14 | Praha
Rozbalit Rozbalit vše Re: Licence
GPL-2+ je nadmnožina GPL-3+
Nehledejte zlý úmysl tam, kde je dostatečným vysvětlením hloupost.
16.11.2011 19:55 petr_p | skóre: 58 | blog: pb
Rozbalit Rozbalit vše Re: Licence

Jistě, že lze přejít na vyšší verzi. Ale není to nutné.

Ostatně zatím to licenčně vypadá bledě, protože tam máte kód z univerzity v Montreálu (WELL1024), který zakazuje komerční šíření, což není slučitelné s GPL.

17.11.2011 01:45 Ondřej Surý | skóre: 14 | Praha
Rozbalit Rozbalit vše Re: Licence
Vím o tom, mhouřím nad tím oči a do dalšího vydání tam bude SFMT (varianta Mersenne-Twisteru), která je pod 3-clause BSD.
Nehledejte zlý úmysl tam, kde je dostatečným vysvětlením hloupost.

Založit nové vláknoNahoru

ISSN 1214-1267   Powered by Hosting 90 Server hosting
© 1999-2013 Argonit s. r. o. Všechna práva vyhrazena.