[devel] [sisyphus] bind-utils и русские домены

[Dmitry V. Levin]

On Wed, Apr 13, 2011 at 04:52:06PM +0300, Victor Forsiuk wrote:
[...]
> Процесс привел к появлению в сизифе (4 апреля) пакета
> bind9.8-9.8.0-alt0.1. Большое спасибо Дмитрию Афанасову за
> портирование патчей к 9.3.6 на эту версию!
> 
> Подозреваю, что не все заметили его появление - это ведь параллельный
> пакет, а не вытесняющий bind. Поэтому анонсирую его тут и призываю
> активнее тестировать. Все изменения отражены в ченжлоге, вкратце самые
> важные:
> - поддержка IDN
> - поддержка IPv6
> - поддержка GSSAPI (т.е., bind может работать с AD)
> - собран как "легкий" вариант named, так и с поддержкой драйверов
> загружаемых зон - SDB и DLZ
> 
> Две последние фичи - это конкретные вкусности свежего bind (а, еще
> легкий доступ к статистике, по http), а вот корректную работу с IDN и
> IPv6 я предлагаю рассматривать как обязательные свойства всех сетевых
> приложений. Вплоть до блокеров на пакеты, которые собраны без их
> поддержки...

Просьба баги на тему поддержки IPv6 подключать к метабагу #23202.
Впрочем, насчет блокеров на пакеты вы, пожалуй, перегибаете.

> Известный недостаток в этой сборке bind 9.8 - плохая работа с
> pid-файлом. Хотя, и в bind-9.3.6-alt6 тоже не всё корректно работает,
> только по-другому.
> 
> При запуске без ключика командной строки (-i) и с пустым значением
> опции pid-file теперь pidfile просто не создается. В 9.3.6 в такой
> ситуации pidfile появлялся в /var/run/named и корректно удалялся при
> завершении работы bind.
> 
> Если указать pathname pid-файла в конфиге (например, pid-file
> "/var/run/named/named.pid"), то такой файл создается относительно
> chroot'а. Вообще говоря, это не то, чего хотелось бы :(.

Такой bind я себе в контейнер не поставлю. :(
Интересно, кто-нибудь проверял, dropprivs там работает правильно?

> А вот в 9.3.6
> значение опции конфига, как оказалось, просто игнорируется: что туда
> ни пиши, используется /var/run/named.pid.

Так и было задумано.

> Что еще... Я не могу найти ни одного аргумента, который бы убедил
> меня, что bind 9.3.6 чем-то безопаснее 9.8.0...

Меньше фичей -> меньше багов?

> И, коллеги, не только в отношении bind, - давайте примем как аксиому,
> что софт не умеющий работать с IPv6 и IDN в новый бранч попасть не
> должен...

Такого рода аксиомы нужно формулировать и согласовывать на более ранней
стадии работы над бранчем.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 198 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20110413/c46be2d0/attachment-0001.bin>