Meine resolv.conf-Suche außerhalb meiner Subdomain erweitern?

3

Dies ist eher eine Best-Practices-Frage als eine technische Frage. Ich weiß, dass ich dieses Problem von Anfang an beheben kann . Die Frage ist , ob ich sollte ...

Ich verwalte ein privates Netzwerk / eine Subdomain innerhalb des größeren Bereichs der Unternehmensdomäne. Also, ich laufe dom.pvt, sub1.dom.pvt, sub2.dom.pvt, und sub3.dom.pvt. Außerhalb meiner kleinen Lehen, haben wir subd1.example.com, subd2.example.com, subd3.example.com, und wahrscheinlich auch andere Subdomains weiß ich nicht über. Diese Domains werden weltweit eingesetzt. Meine named.confDatei enthält eine forwarders{}Klausel, die auf einen DNS-Stack außerhalb meiner Domain für diese Hosts verweist.

(Unabhängig davon, warum ich das frage. UseDNS yes) Für alle meine SSH-Daemons ist die DNS-Überprüfung (" ") aktiviert. Wenn ein Host in der Außenwelt versucht, zu einem meiner Hosts zu sshen, hängt die Verbindung oder das Zeitlimit um der Punkt, der mich zu der Annahme bringt, dass die Überprüfung der geistigen Gesundheit keine Gegenleistung bringt.)

Wenn ich eine einfache Hostnamensuche (" host -v hostname") für einen Host in meiner privaten Subdomain durchführe, erhalte ich eine gute Rendite von meinem DNS-Server. Wenn ich eine einfache Suche nach einem Host außerhalb meiner Domain durchführe, tritt eine Zeitüberschreitung der Anforderung auf. Wenn ich jedoch explizit nach " host -v hostname.sub1.example.com" suche , erhalte ich sofort eine Antwort.

Wenn ich also meinen resolve.conf searchParameter erweitern möchte, um diese "externen" Unterdomänen einzuschließen, könnte ich das Problem lösen. Meine Frage ist, ob dies in meiner Verantwortung liegt oder nicht. Oder sollte ich den externen Administratoren mitteilen, dass sie stattdessen die Einstellung X in Y ändern müssen?

Ich kenne bereits drei Subdomains außerhalb meiner kleinen Welt. Wie viele Einträge sollte ich erwarten, um meinen resolv.conf searchWert zu setzen ?

(Abgesehen von der zweiten: Ich werde einige Google-Suchen durchführen, um zu ermitteln, wie named alle Einträge in allen Sub-Domains durchsuchen soll, bevor es an den nächsten Host in der Kette weitergeleitet wird. Wenn dies überhaupt möglich ist.) )

dns rhel-5 dafydd
quelle
UseDNS bietet keinen großen Sicherheitsvorteil (es gibt weitaus bessere Möglichkeiten, die Authentifizierung zu verbessern). Wie wäre es also, wenn Sie es deaktivieren?
Paul
Leider nutzt es unser Endkunde. Einer der Gründe , warum wir unsere eigene kleine Lehen haben , ist Gastgeber zu laufen , die dieses Kunden - Konfigurationen ... imitieren Achselzucken
dafydd

Antworten:

1

Wenn Sie kurze Hostnamen für Hosts außerhalb der von Ihnen kontrollierten Domänen verwenden möchten, liegt es in der Tat in Ihrer Verantwortung, resolv.conf für diese Suchzeichenfolgen zu aktualisieren. Es gibt nichts, was jemand außerhalb Ihrer Domain tun kann, damit es anders funktioniert.

Wie viele Domains Sie in die Suchzeichenfolge aufnehmen können - diese Frage können nur Sie beantworten, da sie in hohem Maße von Ihrer Umgebung und den Erwartungen Ihrer Benutzer abhängt.

John
quelle
Ich weiß nicht, was ich will. Ich kann gezwungen sein, da ich nicht kontrolliere, ob diese externen Hosts / Workstations ihre einfachen Hostnamen oder FQDNs senden, wenn sie sich während des Handshakes selbst benennen ... Das Seltsame ist, dass dies erst letzte Woche funktioniert hat. Nein, ich weiß nicht , was geändert ...
dafydd