[Technik] (vorab) Ankündigung: Umstrukturierung/Aufwertung der SW-Pakete
Paul Hink
email at p-hink.de
Tue Oct 17 20:43:54 CEST 2006
Michael Hoennig <michael at hostsharing.net> wrote:
>> Das hilft nichts, wenn das Paket, in dem die übergeordnete Domain
>> liegt, und das Paket des "Angreifers" die gleiche IP-Adresse haben.
>
> ein Angriff, der aber sofort auffliegen wird
Nicht unbedingt. Wenn man es geschickt genug anstellt, sind so sehr
subtile Angriffe realisierbar.
> und nachvollziehbar ist.
> Weshalb wir auch die ganze Prüfung völlig fallen lassen könnten.
Nack.
>> Außerdem zwingen wir so allen Usern, die z.B. in SW-Paketen
>> Subdomains von Domains aus DW-Paketen nutzen möchten, für diese
>> Domains ein eigenes Zonefile auf, auch wenn sie u.U. gar nichts von
>> DNS verstehen.
>
> Das ist aber doch jetzt, beim manuellen Aufschalten oder beim
> automatischen Aufschalten ins jetztige SW auch nicht anders. Denn
> sonst würde die Subdomain doch gar nicht in die IP# des anderen
> Pakets aufgelöst werden. Schlechter als jetzt wird es also so nicht.
Beim jetzigen SW hast du recht. Beim manuellen Aufschalten im DW nicht,
da muss das Zonefile der übergeordneten Domain nicht verändert werden,
weil unsere Nameserver bei Vorhandensein eines Zonefiles für eine
Subdomain für Anfragen nach dieser Subdomain automatisch dieses
Zonefile (statt des Zonefiles der übergeordneten Domain) verwenden.
>> Ich fände eine explizite "Delegations-Erlaubnis-Datei" besser, z.B.
>> im etc/-Verzeichnis der übergeordneten Domain, in der dann die
>> delegierten Subdomains (inklusive Domainadmin der Subdomains)
>> aufgeführt werden.
>
> Dann ist aber Delegation nach aussen und innerhalb HS anders zu
> handhaben, auch nicht schön.
Das hast du bei deinem Vorschlag auch: Für Delegationen nach außen
brauchst du NS-Records, für die Validierung der internen Delegation
setzt du auf einen A-RR.
> Am schönsten wäre es, wenn es für beide Seiten (Paket der
> Super-Domain und Paket der Sub-Domain) egal wäre, ob die Delegation
> nach/von extern oder intern erfolgt.
Ack. Nur ist das nur kaum sicher realisierbar.
>> Diese Einträge könnten wir durch ein relativ simples
>> reconfigure-Script regelmäßig hiveweit in eine zentrale Datei
>> zusammenführen lassen, die Domainrobots der anderen Hives könnten
>> per SSH-Login als robot at h## prüfen, ob eine bestimmte Delegation
>> freigegeben wurde.
>
> Und das Skript müsste dann noch die automatischen Zonenfiles patchen,
Warum?
Paul
More information about the Technik
mailing list