[Technik] (vorab) Ankündigung: Umstrukturierung/Aufwertung der SW-Pakete

Michael Hoennig michael at hostsharing.net
Tue Oct 17 12:46:53 CEST 2006 

Hallo Paul,

> Das hilft nichts, wenn das Paket, in dem die übergeordnete Domain
> liegt, und das Paket des "Angreifers" die gleiche IP-Adresse haben.

ein Angriff, der aber sofort auffliegen wird und nachvollziehbar ist.
Weshalb wir auch die ganze Prüfung völlig fallen lassen könnten.

> Außerdem zwingen wir so allen Usern, die z.B. in SW-Paketen Subdomains
> von Domains aus DW-Paketen nutzen möchten, für diese Domains ein
> eigenes Zonefile auf, auch wenn sie u.U. gar nichts von DNS verstehen.

Das ist aber doch jetzt, beim manuellen Aufschalten oder beim
automatischen Aufschalten ins jetztige SW auch nicht anders. Denn sonst
würde die Subdomain doch gar nicht in die IP# des anderen Pakets
aufgelöst werden. Schlechter als jetzt wird es also so nicht.

> Ich fände eine explizite "Delegations-Erlaubnis-Datei" besser, z.B. im
> etc/-Verzeichnis der übergeordneten Domain, in der dann die delegierten
> Subdomains (inklusive Domainadmin der Subdomains) aufgeführt werden.

Dann ist aber Delegation nach aussen und innerhalb HS anders zu
handhaben, auch nicht schön. Am schönsten wäre es, wenn es für beide
Seiten (Paket der Super-Domain und Paket der Sub-Domain) egal wäre, ob
die Delegation nach/von extern oder intern erfolgt.

> Diese Einträge könnten wir durch ein relativ simples reconfigure-Script
> regelmäßig hiveweit in eine zentrale Datei zusammenführen lassen, die
> Domainrobots der anderen Hives könnten per SSH-Login als robot at h##
> prüfen, ob eine bestimmte Delegation freigegeben wurde.

Und das Skript müsste dann noch die automatischen Zonenfiles patchen,
klingt sehr fehleranfällig.

Um die eigenen Zonenfiles kommen wir wohl nicht herum, ohne uns ziemlich
fehleranfällige zusätzliche Komplexität anzuziehen. Und da es jetzt auch
schon so ist, würde ich auch jetzt nicht die Forderung aufstellen, dass
das Problem gleich mitgelöst werden müsste.

Alles Gute wünscht
	Michael


-- 
Hostsharing eG | c/o Stilflut | Friedensallee 120 | D-22763 Hamburg
phone+fax: +49 700 HOSTSHARING (= +49 700 46787427)
Homepage: http://www.hostsharing.net
Networking: http://www.openbc.com/go/invuid/Michael_Hoennig

More information about the Technik mailing list