djbdns 與綁定
我是一個想學習如何設置 DNS 名稱伺服器的新手。我應該使用 djbdns、BIND 還是其他東西?
目前的網路要求包括子域支持、SSL 和郵件服務,所有這些都需要非常輕的流量。我想要一個解決方案,有朝一日可以擴展到更重的流量和可能更棘手的要求(如負載平衡)。此時我會在 Linux 上執行。
我讀到如果配置不當,BIND 會出現安全問題,而且它的配置可能很棘手。我還讀到 djbdns 更易於配置、更安全且負載重。djbdns 的論點似乎是合理的,但我沒有正確評估它們的專業知識。如果 BIND 更好,我會很感激討論 djbdns 的這些聲明。
謝謝。
我過去曾與 djbdns 合作過,目前執行著一堆 BIND 伺服器。
djbdns 最大的問題,最好按照我一年級老師在我成績單上的說法:“和別人玩得不好”。它根本不像 unix 盒子上的其他任何東西,在各種非常小的方式上,以後可能會咬你。它使用您在其他任何地方都看不到的區域文件的語法。
djbdns 的最大優勢在於它是從頭開始設計的,以安全為目標#1。
如果您要設置 DNS 伺服器,將其暴露在網際網路上,然後從不維護它,那麼 djbdns 將是您的最佳選擇。
在現實世界中,大多數管理員最好使用作業系統供應商提供的 BIND 包,並在有更新時及時修補它。但是執行它 chroot 是一個好主意,並且將您的權威 DNS 伺服器與您的遞歸解析器 DNS 伺服器分開是一個好主意。
如果您找到有關 DNS 的文件,將包含 BIND,而不太可能包含 djbdns。如果您使用 dig,它返回的格式可以粘貼到 BIND 區域文件中並工作。它的行為就像任何普通的 unix 守護程序,而不是來自另一個星球的東西。
我們使用一些硬體負載均衡器並對我們的遞歸解析器 BIND 伺服器進行負載均衡;效果很好。只需確保使用者在發送請求時獲得相同的源 IP,並且任何支持 UDP 和 TCP 的負載平衡設置都應該工作。如果你在做權威 DNS,負載均衡就像擁有多個伺服器並在 whois 資訊中發布所有伺服器一樣簡單;其他 DNS 伺服器將智能地進行負載平衡。