bind/OpenBSD byggspecifikt (fwd)

Åke Nordin moose at enting.se
Tue Aug 12 23:35:56 CEST 2008


Niklas Hallqvist wrote:
> Tala med Jakob, det är han som har hand om bind fortfarande tror jag.

Jovisst är det så.

> Det är väl lite säkerhetsprylar bara, randomisering, chrooting och
> privilege separation ungefär som vi brukar göra för att vara lite mer
> på säkra sidan.

Man kan behöva patch 5 för kärnan också, den nya koden i named läcker
minne annars. Det är långtifrån säkert att en vanilj ISC named med
randomiserade portar inte har samma minnesläcka, det ska visst
inte vara så stor skillnad på patchen för OpenBSDs bind i 4.3 och
ISCs motsvarande patch (i -current är det litet annorlunda gjort).

Förmodligen klarar man sig dock utan patch 5 om resolvern inte
är särskilt hårt lastad (och då kanske den välter om nå'n
försöker peta in saker i cachen, och då startas den om med
nytömd cache. Vad fint eller nå't. 8^)

-- 
  .
  Ake Nordin <moose at enting.se> Unix/net geek, Netia.se consultant.
  Damian Conway: "The programmer is fighting against the two most
  destructive forces in the universe: entropy and human stupidity."



More information about the BUS mailing list