[sisyphus] pdnsd, вопросы по конфигурированию

[sisyphus] pdnsd, вопросы по конфигурированию

[Aleksey Avdeev]

Здравствуйте.

   Поставил дома pdnsd-1.1.7a-alt5, сейчас разбираюсь в его 
настройках. Отсюда следующие вопросы:

1. В файле pdnsd.conf в секции global присутствует строка:

         chroot_dir="/var/empty";

   Но каталог /var/empty пуст, но ИМХО: при chroot там как 
минимум должны быть либы... Так и задумано? Или туда надо что-то 
скопировать (если используется chroot)?

2. В той же секции присутствуют строки:

# local usage only
         server_ip="127.0.0.1";

   Согласно документации, данная настройка задаёт слушаемый 
интерфейс. Но как правильно задать чтобы сервер слушал два 
интерфейса (локальный и сетку) но не был доступен с третьего 
(ppp)? (Хочу отказаться от локального bind`а :-)) Примет он 
чегонибудь типа:

         server_ip="127.0.0.1" "192.168.0.1";

   Или, в данном случаи, ограничения наложить можно только с 
помощью iptables?

   Спасибо за внимание.

-- 

С уважением. Алексей.

Re: [sisyphus] pdnsd, вопросы по конфигурированию

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 392 bytes --]

On Mon, Jun 02, 2003 at 04:43:15PM +0400, Aleksey Avdeev wrote:
> 1. В файле pdnsd.conf в секции global присутствует строка:
> 
>         chroot_dir="/var/empty";
> 
>   Но каталог /var/empty пуст, но ИМХО: при chroot там как 
> минимум должны быть либы... Так и задумано? Или туда надо что-то 
> скопировать (если используется chroot)?

Хороший chroot - это пустой readonly chroot.


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[JT] Re: [sisyphus] pdnsd, вопросы по конфигурированию

[Nick N. Vinogradov]

Dmitry V. Levin пишет:
> 
> Хороший chroot - это пустой readonly chroot.
> 
> --
> ldv

Ну чем не кандидат в Fortunes-ALT ?!  :-)

WBR, Hash :-)

Re: [sisyphus] pdnsd, вопросы по конфигурированию

[Aleksey Avdeev]

Dmitry V. Levin пишет:
> On Mon, Jun 02, 2003 at 04:43:15PM +0400, Aleksey Avdeev wrote:
> 
>>1. В файле pdnsd.conf в секции global присутствует строка:
>>
>>        chroot_dir="/var/empty";
>>
>>  Но каталог /var/empty пуст, но ИМХО: при chroot там как 
>>минимум должны быть либы... Так и задумано? Или туда надо что-то 
>>скопировать (если используется chroot)?
> 
> 
> Хороший chroot - это пустой readonly chroot.

   В идеале - да! :-)

   Вопрос в том, так ли это должно быть в данной конкретной 
программе? (Идеал редко достижим... ;-))

-- 

С уважением. Алексей.

[sisyphus] Re: pdnsd, вопросы по конфигурированию

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 1200 bytes --]

On Mon, Jun 02, 2003 at 04:43:15PM +0400, Aleksey Avdeev wrote:
>   Но каталог /var/empty пуст, но ИМХО: при chroot там как 
> минимум должны быть либы... Так и задумано? Или туда надо что-то 

Я тоже когда-то думал, что в чруте должны быть либы.  На самом деле там
должны быть только такие либы, которые открываются во время выполнения
через dlopen.  Такое встречается нечасто, хотя и встречается.

А обычные либы в чруте не нужны, потому что они подгружаются линкером
гораздо раньше, чем происходит вход в main().  Lazy relocation не влияет
на подгрузку библиотек.

> 2. В той же секции присутствуют строки:
> 
> # local usage only
>         server_ip="127.0.0.1";

Это локальное использование.  Чтобы открыть со всех сторон, нужно
заменить на 0.0.0.0.  И настроить firewall.

>   Согласно документации, данная настройка задаёт слушаемый 
> интерфейс. Но как правильно задать чтобы сервер слушал два 
> интерфейса (локальный и сетку) но не был доступен с третьего 

Мне кажется, что нельзя, т.к. это особенность системного вызова bind().
Можно прицепиться либо на конкретный адрес, либо на INADDR_ANY.

Может как-нибудь на уровне ядра можно обдурить, кто-нибудь знает?  Нынче
ядра-то какие... о...

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Re: pdnsd, вопросы по конфигурированию

[Aleksey Avdeev]

Alexey Tourbin пишет:
> On Mon, Jun 02, 2003 at 04:43:15PM +0400, Aleksey Avdeev wrote:
> 
>>  Но каталог /var/empty пуст, но ИМХО: при chroot там как 
>>минимум должны быть либы... Так и задумано? Или туда надо что-то 
> 
> 
> Я тоже когда-то думал, что в чруте должны быть либы.  На самом деле там
> должны быть только такие либы, которые открываются во время выполнения
> через dlopen.  Такое встречается нечасто, хотя и встречается.
> 
> А обычные либы в чруте не нужны, потому что они подгружаются линкером
> гораздо раньше, чем происходит вход в main().  Lazy relocation не влияет
> на подгрузку библиотек.

   Спасибо, буду знать.

   Но почему там нет pdnsd.conf, он же, по идеи, должен читаться 
уже самой программой? (Или я ошибаюсь?) Нужно ли его добавлять 
руками?

>>2. В той же секции присутствуют строки:
>>
>># local usage only
>>        server_ip="127.0.0.1";
> 
> 
> Это локальное использование.  Чтобы открыть со всех сторон, нужно
> заменить на 0.0.0.0.  И настроить firewall.
> 
> 
>>  Согласно документации, данная настройка задаёт слушаемый 
>>интерфейс. Но как правильно задать чтобы сервер слушал два 
>>интерфейса (локальный и сетку) но не был доступен с третьего 
> 
> 
> Мне кажется, что нельзя, т.к. это особенность системного вызова bind().
> Можно прицепиться либо на конкретный адрес, либо на INADDR_ANY.
> 
> Может как-нибудь на уровне ядра можно обдурить, кто-нибудь знает?  Нынче
> ядра-то какие... о...

   Я просто с bind`ом сравнивал (он так может), думал - может и 
сдесь так можно... :-)

-- 

С уважением. Алексей.

[sisyphus] Re: pdnsd, вопросы по конфигурированию

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 574 bytes --]

On Wed, Jun 04, 2003 at 12:03:29PM +0400, Aleksey Avdeev wrote:
>   Но почему там нет pdnsd.conf, он же, по идеи, должен читаться 
> уже самой программой? (Или я ошибаюсь?) Нужно ли его добавлять 
> руками?

Ничего добавлять не нужно.  Переход в чрут и сбрасывание прав
суперпользователя происходит уже после чтения конфига.  Иными словами, c
помощью системаного вызова chroot() программы, запущенные от
суперпользователя, могут переходить в чрут сами, когда сочтут это
удобным.

А pdnsd работает прямо из коробки (нужно только поправить resolv.conf:
nameserver 127.0.0.1).

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Re: pdnsd, вопросы по конфигурированию

[Aleksey Avdeev]

Alexey Tourbin пишет:
> On Wed, Jun 04, 2003 at 12:03:29PM +0400, Aleksey Avdeev wrote:
> 
>>  Но почему там нет pdnsd.conf, он же, по идеи, должен читаться 
>>уже самой программой? (Или я ошибаюсь?) Нужно ли его добавлять 
>>руками?
> 
> 
> Ничего добавлять не нужно.  Переход в чрут и сбрасывание прав
> суперпользователя происходит уже после чтения конфига.  Иными словами, c
> помощью системаного вызова chroot() программы, запущенные от
> суперпользователя, могут переходить в чрут сами, когда сочтут это
> удобным.
> 
> А pdnsd работает прямо из коробки (нужно только поправить resolv.conf:
> nameserver 127.0.0.1).

   Спасибо. Попробую дома поюзать его без bind`а.

-- 

С уважением. Алексей.

[sisyphus] Re: pdnsd, вопросы по конфигурированию

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 229 bytes --]

On Wed, Jun 04, 2003 at 01:50:33PM +0400, Aleksey Avdeev wrote:
>   Спасибо. Попробую дома поюзать его без bind`а.

Поищите search.altlinux.ru по запросу pdnsd.
Я как-то объяснял, как убедиться в том, что оно правильно работает.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Re: pdnsd, вопросы по конфигурированию

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 674 bytes --]

Alexey Tourbin пишет:
> On Wed, Jun 04, 2003 at 01:50:33PM +0400, Aleksey Avdeev wrote:
> 
>>  Спасибо. Попробую дома поюзать его без bind`а.
> 
> 
> Поищите search.altlinux.ru по запросу pdnsd.
> Я как-то объяснял, как убедиться в том, что оно правильно работает.

   Спасибо - работает.

   Теперь вопрос в следующем: Как правильно задать конфигурацию, 
аналогичную используемой bind`ом (файл mydomain)?

   После прочтения документации я решил, что нужно задавать 
группу rr для каждой машины (+ rr для обратной зоны). Подозреваю, 
что в чёмто не разобрался. Есть ли болие правильное решение? 
(pdnsd.conf - прилагаю)

   Спасибо за внимание.

-- 

С уважением. Алексей.

[-- Attachment #2: pdnsd.conf --]
[-- Type: text/plain, Size: 2199 bytes --]

# $Id: pdnsd.conf,v 1.2 2003/01/27 00:23:49 at Exp $

global {
	chroot_dir="/var/empty";
	cache_dir="/var/cache/pdnsd";
	run_as="pdnsd";
	strict_setuid=on;
	paranoid=off;
	status_ctl=on;
	perm_cache=2048;
# local usage only
#	server_ip="127.0.0.1";
	server_ip="0.0.0.0";
	server_port=53;
	max_ttl=3600000;
	min_ttl=600;
}

server {
# A.ROOT-SERVERS.NET by default
#	ip="198.41.0.4";
# but use ISP DNS1 whenever possible
	ip="212.44.131.6";
	changeable_ip=on;
	label="pppdns1";
	timeout=30;
	purge_cache=off;
}

server {
# B.ROOT-SERVERS.NET by default
#	ip="128.9.0.107";
# but use ISP DNS2 whenever possible
	ip="212.44.130.6";
	changeable_ip=on;
	label="pppdns2";
	timeout=30;
	purge_cache=off;
}

source {
	ttl=86400;
	owner="localhost.";
	file="/etc/hosts";
	serve_aliases=off;
}

rr {
	ttl=86400;
	owner="localhost.";
	name="localhost.";
	a="127.0.0.1";
	soa="localhost.","root.localhost.",42,86400,900,86400,86400;
}

rr {
	ttl=86400;
	owner="localhost.";
	name="1.0.0.127.in-addr.arpa.";
	ptr="localhost.";
	soa="localhost.","root.localhost.",42,86400,900,86400,86400;
}

rr {
	ttl=86400;
	owner="localhost.";
	name="localdomain.";
	a="127.0.0.0";
	soa="localhost.","root.localhost.",2003060601,86400,900,86400,86400;
}

rr {
	ttl=86400;
	owner="localhost.";
	name="mydomain.";
	a="192.168.0.0";
#	name="shluz.mydomain.";
#	a="192.168.0.1";
	soa="shluz.", "root.shluz.",2003060603,86400,900,86400,86400;
}

rr {
	ttl=86400;
	owner="localhost.";
	name="0.0.168.192.in-addr.arpa.";
	ptr="mydomain.";
	soa="shluz.", "root.shluz.",2003060602,86400,900,86400,86400;
}

rr {
	ttl=86400;
	owner="localhost.";
	name="shluz.mydomain.";
	a="192.168.0.1";
	soa="shluz.", "root.shluz.",2003060604,86400,900,86400,86400;
}

rr {
	ttl=86400;
	owner="localhost.";
	name="1.0.168.192.in-addr.arpa.";
	ptr="shluz.mydomain.";
	soa="shluz.", "root.shluz.",2003060604,86400,900,86400,86400;
}

rr {
	ttl=86400;
	owner="localhost.";
	name="win.mydomain.";
	a="192.168.0.10";
	soa="shluz.", "root.shluz.",2003060605,86400,900,86400,86400;
}

rr {
	ttl=86400;
	owner="localhost.";
	name="10.0.168.192.in-addr.arpa.";
	ptr="win.mydomain.";
	soa="shluz.", "root.shluz.",2003060605,86400,900,86400,86400;
}
										

[-- Attachment #3: mydomain --]
[-- Type: text/plain, Size: 421 bytes --]

$TTL	1D
@	IN	SOA	shluz root.shluz (
				2003032318	; serial
				12H		; refresh
				1H		; retry
				1W		; expire
				1H		; ncache
			)
	IN	NS	localhost.
	IN	A	192.168.0.0

//localhost	IN	A	127.0.0.1
localhost	IN	CNAME	localhost.

shluz	IN	A	192.168.0.1
		HINFO	"i586" "ALM 2.2"
mail	IN	CNAME	shluz
dns	IN	CNAME	shluz
samba	IN	CNAME	shluz

win	IN	A	192.168.0.10
		HINFO	"duron" "WIN98SE.RU"

;localhost	IN	CNAME	localhost.