[Technik] (vorab) Ankündigung: Umstrukturierung/Aufwertung der SW-Pakete

[Paul Hink]

Michael Hoennig <michael at hostsharing.net> wrote:

> Jedenfalls bei Domains, die unter Domains liegen, die bei uns schon
> liegen, wird dann geprüft, ob DNS korrekt delegiert ist oder
> wenigstens der RR die passende IP# liefert.
>
> So in der Art (erstmal ohne Delegation):
>
> aDom=...
> bSetupOK=0
> aSuperDom=$(echo "$aDom" | cut -d '.' -f2-)
> if [ -n "$(dom_info $aSuperDom)" ]; then
> 	aDomIPN=$(host "$aDom" | grep "has address" | cut -d' ' -f4)
> 	if [ "$aDomIPN" = "$PAC_IPN" ]; then
> 		bSetupOK=1
> 	fi

Das hilft nichts, wenn das Paket, in dem die übergeordnete Domain
liegt, und das Paket des "Angreifers" die gleiche IP-Adresse haben.

Außerdem zwingen wir so allen Usern, die z.B. in SW-Paketen Subdomains
von Domains aus DW-Paketen nutzen möchten, für diese Domains ein
eigenes Zonefile auf, auch wenn sie u.U. gar nichts von DNS verstehen.
(Wir raten an anderer Stelle immer ausdrücklich von eigenen Zonefiles
ab, solange man sich damit nicht wirklich sicher fühlt.)

Ich fände eine explizite "Delegations-Erlaubnis-Datei" besser, z.B. im
etc/-Verzeichnis der übergeordneten Domain, in der dann die delegierten
Subdomains (inklusive Domainadmin der Subdomains) aufgeführt werden.
Diese Einträge könnten wir durch ein relativ simples reconfigure-Script
regelmäßig hiveweit in eine zentrale Datei zusammenführen lassen, die
Domainrobots der anderen Hives könnten per SSH-Login als robot at h##
prüfen, ob eine bestimmte Delegation freigegeben wurde.

Paul