美金博客

转载一篇isc的文档:

http://www.isc.org/index.pl?/sw/bind/docs/support_bulletin_200707.php

ISC Support Bulletin - July 2007
Document last updated: 2007-07-30

There has been some confusion surrounding the changes to the “allow-recursion” and “allow-query-cache” options made with BIND 9.4.1-P1.

This document will attempt to clarify the change and the impact that it makes on BIND servers.

In BIND 9.3, there was no segregation of queries between cache and authoritative data.

The release of BIND 9.4 added fine-grained differentiation between queries against authoritative data (”allow-query”) and cached data (”allow-query-cache”). This allows more precise control, particularly if you do not want your clients to use any cached data, for example, in an authoritative-only nameserver.

Prior to the release of BIND 9.4.1-P1, the default action of “allow-recursion” and “allow-query-cache” was to permit the query. The P1 patch to BIND 9.4.1 caused two changes in this behavior:

1) If not explicitly set, the ACLs for “allow-query-cache” and “allow-recursion” were set to “localnets; localhost;”.

2) If either “allow-query-cache” or “allow-recursion” was set, the other would be set the same value.

Upgrading from the BIND 9.3 branch to BIND 9.4.1-P1 will significantly restrict those servers that were previously recursive servers for more than “localhost; localnets;” unless configuration changes are made.

To retain the behavior prior to BIND 9.4.1-P1, the following entries should be created in your named.conf file:
Code:

 options {
     ...
     allow-recursion { any; };
     allow-query { any; };
     allow-query-cache { any; };
     ...
 };

We strongly advise against this configuration because clients spoofing queries can use your servers to launch distributed denial-of-service attacks.

The recommended method is to create ACLs that match hosts that should be allowed access to cache and recursion on the servers. For example, if you wanted to provided recursion and access to the cache to clients you trusted, you could list them in an ACL such as the following:
Code:

 acl "trusted" {
     192.168.0.0/16;
     10.153.154.0/24;
     localhost;
     localnets;
 };

 options {
     ...
     allow-query { any; };
     allow-recursion { trusted; };
     allow-query-cache { trusted; };
     ...
 };

软件有bug比较常见，协议有漏洞一般还是比较少。距离7月8日发现的DNS协议漏洞已经过去一周时间了，似乎互联网上并未爆出由此次DNS漏洞引发的重大安全新闻。这得益于发现漏洞的大牛Dan Kaminsky低调的处理风格：没有率先公开漏洞，而是先召集了相关DNS server软件厂商来出相关的patch，并声称即便对补丁反向工程也没什么用。

DNS安全无小事，关于此次协议漏洞的中文说明可以看delphij的Blog。计算机技术发展的太快，很多原有的协议设计已经慢慢的捉襟见肘了，就像Bill Gates声称640k memory对任何人都够用一样，成为历史的速度太快了。

先假想这样一个场景：

作为工程师赶到用户机房现场，发现了一个棘手的问题，希望办公室的同事可以一起帮助解决。这个时候你常用的做法:
1,打电话，却发现有些问题经常说不清楚，毕竟同事不在现场。
2,发邮件，这种异步的工作方式，效率很是低下。
3, IM软件上贴信息，再配合上打电话。这种方式好些，但常常发现你认为无关紧要的，没有贴上来/提及的信息居然是问题的关键，从而影响了问题解决的速度。

现在有了一个更好的选择了：Sun Shared Shell 在SUN的网站上有个非常容易记忆的URL： http://www.sun.com/123

上面是原理示意图，简单的来说就是如下步骤：

前提：
1,你所在的网络可以登录到目标服务器上(通过telnet/ssh)，并且可以访问到SUN的网站（通过proxy亦可）并且有mysun的帐号(免费注册)，浏览器支持JAVA。
2, 你的同事可以访问到SUN的网站，并且有mysun的帐号(免费注册)，浏览器支持JAVA。
步骤：
1, 访问http://www.sun.com/123 ，点击  Launch Shared Shell » 运行弹出的JAVA程序。

如图，左端是mysun帐号的登录栏，右面则指定你需要登录的目标服务，可以选择ssh或者 telnet方式。

2,登录后出现如下窗口，最上方是登录后的目标服务器的terminal，左下是与其他人聊天的窗口，右下是与会者。
你在terminal中的键入的命令及输出，与会者都能及时的看到，甚至可以用右上角的铅笔做标记。

上图的实例中，与会者仅有我自己，其他人则是要靠邀请来的。

3, 邀请他人点击上方工具栏中的conference->invite…

将这个生成的Invitation Key告知你要邀请的同事，他在登录mysun帐号的同时就可以参与近来了。而且还有三个级别的权限设置，不仅可以让同事只读你的操作，更能让他亲自操刀帮你解决问题。
这个SUN Shared shell工具可以完整保留操作记录到本地机器，另外更重要的一点是：客户机与SUN网站之间的信息流是完全SSL加密的，不用担心安全问题。

这个工具的创意我们完全可以找到新的用途：

1, 网络培训/授课。让所有与会者打开skype的语音会议，老师做为Initiator，在实验室中就可以给世界各地的学生们来上一堂UNIX管理/编程的课程，还可以给学生亲自动手的机会。

2, 穿透内网的工具…这个就不细说了，自己想像吧。

3, 考虑到这个通讯加密的特性，完全可以利用它作为临时的私秘聊天室，避开老大哥的耳目，这个也不细说了。

听说ICANN要在明天（星期四）开会，投票表决是否放宽顶级域名的注册。昨天刚写了blog说是DNS系统诞生25周年纪念日，没想到今天居然就有了这么大的新闻。DNS从诞生之日起迅猛发展，为了保障域名的有效性，安全性和权威性，顶级域名注册一直都是被严格控制的。象征国家的有cn. jp. it. us. de. … 古老一点的有com. edu. net. org. 新潮一点的有 info. tv. ….以往人们对域名系统的要求仅仅是解决人类不方便记忆的IP地址问题，可是到了WEB2.0年代，掘金者对互联网的发觉已经深入了每一寸角落。看这两个例子就知道了： http://del.icio.us (delicious美味书签) http://jiwai.de (叽歪的)。在吸引人眼球的行当中，谁都不会放过对域名的挖掘，于是传统枯燥、乏味的顶级域名也就很难满足这样的需求了。

如果此次投票通过，必将引起又一次域名的淘金热，顶级域名的服务架构也许也会发生改变。《世界是平的》中提及的世界将会在互联网上看到更加具体的例子：可以预见到时将会出现这样的域名 ： engineer.sun, china.ibm . servers.hp notebook.dell iphone.apple …..

值得关注的一点是，此次会议提案还将会关注国际化域名，不知这对我国特产的流氓软件：中文域名，是一次灭顶之灾还是一次捞钱的大好机会。

1983:  Paul Mockapetris 和 Jon Postel 测试成功了第一套自动化且分布式的Domain Name System(DNS)，从此为互联网的发展奠定了基础。那年我2岁，应该对这种事情没概念。不过今天可以想像到每一台连入网络中的主机都迫不及待的需要一份/etc/hosts文件拷贝时的情景，简直是在石器时代的故事。DNS的出现可谓是一步到位，25年过去了，互联网的发展兴衰起伏很多年，name与IP之间的转换依然顺利的进行着，在可以预见的未来，DNS这个世界上最大的分布式网络系统很难退出历史舞台。

访问http://www.opera.com，包含了一堆的新特性，正好FireFox 3在这个月就要推出了，都下载回来比较一下吧。事实经常证明：用两个浏览器是非常明智的，尤其是在你不知道哪个会Crash的情况下。

Debian 下新安装好的Opera，默认的中文字体常常让人失去活下去的勇气，下面是解决办法：

新建一个user.css内容如下
html,body,*{
font-family:”WenQuanYi Bitmap Song” !important;
}

重启opera,然后在opera的工具栏里选择View(查看)里的Style(样式)选择刚才的user.css即可.

选择工具栏的Tools(工具)选择Preferences(属性)点Advanced(高级),选择左边的Fonts(字体)把Browser那几个改为WenQuanYi Bitmap Song.

xfonts-wqy字体这么装：sudo aptitude install xfonts-wqy

感谢EEPXE的提醒，Ubuntu中文论坛里的OPERA中文字体解决办法：http://forum.ubuntu.org.cn/viewtopic.php?t=70843