DNS Seguro
Horst von Brand
vonbrand en inf.utfsm.cl
Jue Jun 24 10:18:57 CLT 2004
"Jose Saavedra P." <jsaavedra en cuprum.cl> dijo:
[Please _no_ HTML!]
> Alguien de ustedes conoce una distribuci=F3n para DNS seguro.
Define "DNS seguro"...
Para instalar DNS debes considerar lo siguiente:
- Como siempre que es un servicio, preocuparse de tener todo al dia,
instalacion minimal, configuracion cuidadosa de cortafuegos local, manejo
cuidadoso de passwords y cuentas en la maquina
- Como es un servicio critico, preocuparse de la calidad de los componentes
(no, el tarro que el portero esta dando de baja _no_ es carta, por mucho
que tenga capacidad de sobra)
- Siempre es sano tener los relojes sincronizados, via NTP. Para ello tienes
nuestro permiso de recurrir a (un subconjunto de) ntp[0-3].inf.utfsm.cl
mas algun(os) otro(s) para sazonar. Si son muchos tarros, instalate unos
dos alla como servidores de tiempo (la carga es minima, requiere acceso
confiable a Internet; en mi experiencia los relojes de las Sun son
extremadamente precisos, los de los PC en general son como la mona). Para
Windows hay una cosa llamada NetTime que si funciona (el artilugio at hoc
de WinXP vale callampa seca)
- Servidores autorizados (primarios, secundarios) _nunca_ deben permitir
consultas recursivas, para eso pones otro tarro como NS cache
- Elige una version moderna, como RHEL 3 o White Box, o Fedora Core 2, o
los ultimos SuSE o Mandrake, ojala "Enterprise" (porque tienes menos que
preocuparte del inevitable "upgrade" por fin de la vida de la
distribucion, claro que eso cuesta $$$)
- DNS cache requiere memoria como condenado (bastante RAM + harto swap para
estas aplicaciones esta OK porque no son criticos en rendimento), y muy
buena conexion a la red. CPU no es tan importante.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
Más información sobre la lista de distribución Linux