Вопрос: DNS только начал разрешать мои адреса server.prod до 127.0.53.53


У меня есть серверы, похожие на server.prod.example.com, и я регулярно вхожу в них как server.prod, В последнее время эти имена хостов начали решать до 127.0.53.53.

Оказывается, ICANN недавно включила .prod TLD. Кроме того, каждый запрос, который .prod серверы имен разрешены до 127.0.53.53 вместо того, чтобы возвращаться как NXDOMAIN, что позволило бы разрешению продолжить работу должным образом. (Я предполагаю, что смысл в этом состоит в том, чтобы дать людям понять, что их вещи будут ухудшаться, прежде чем они начнут решать что-то реальное.)

Как я могу избежать ввода имени моего домена для каждого хоста, как это?

Это время от времени кусает вас? Я не мог найти список новых TLD и когда они были добавлены, поэтому я сам установил: https://twitter.com/newgtldannounce


38
2017-09-05 20:08


Источник


Это изменение ICANN также служит хорошим напоминанием о том, что позволить вашим приложениям использовать пути поиска плохо. Хотя этот вопрос определенно заслуживает внимания, когда вход пользователя приводит к такому поведению, лучше всего, чтобы ваши приложения использовали записи в файле хоста или точечные суффиксные FQDN. Немногие понимают, что glibc не будет перемещаться на следующий сервер, пока он не приступит к выполнению каждого определенного суффикса поиска. - Andrew B
Могу я просто на минутку напомнить всем, что .prod является frakking глупый TLD. :( - Lightness Races in Orbit
На ваш вопрос ответил вопрос, который я задал, сказав: «Недавно ICANN включила TLD». Оказывается, я использовал .haus для своей локальной сети и начал получать эти данные: D Спасибо за вопрос / ответ: - Arno Teigseth
@LightnessRacesinOrbit .prod является одним из многих новых TLD Google. Обвините их. - Michael Hampton♦


Ответы:


Когда вы видите внутренние домены, 127.0.53.53 у вас есть namecollision, и ICANN пытается сказать вам, что вам срочно необходимо исправить вашу конфигурацию DNS.
Если он вернет NXDOMAIN, как вы сказали, вы правы, он будет продолжать работать - на данный момент,

Это также приведет к утечке вашего внутреннего DNS-запроса внешним сторонам.

Хуже того, в будущем кто-то может зарегистрироваться server.prod и вызывают у вас больше проблем.

Смотрите здесь для более подробной информации https://icann.org/namecollision или запустить:

$ dig -t TXT server.prod +short
"Your DNS configuration needs immediate attention see https://icann.org/namecollision"

Что касается того, как решить эту проблему: зависит от варианта использования, я, вероятно, просто добавлю их в .ssh/config с короткими именами. Или начните использовать FQDN действительно.


37
2017-09-05 20:51



@MichaelHampton не очень, я рекомендую главу 5.3: Train users and system administrators in using FQDNs ;) - faker
Да, потому что я действительно хочу, 20 раз в день, вводить ssh db.myreallylongdomainnamethatsomeassholefrommarketingpicked.com вместо ssh db, - wfaulk
@wfaulk: Почему это будет «шутка»? Если вам не нравится чрезмерная типизация, почему вы одержимо избегаете лучшего механизма, позволяющего взаимодействовать с компьютером, что позволяет избежать чрезмерного набора текста? Некоторые из вас боты Unix просто дрянные. - Lightness Races in Orbit
@Lightness Вообще, потому что мы склонны тяготеть к хозяевам бастиона. Наши корпоративные повелители все меньше и меньше склонны позволить своим работникам запускать Unix на своих устройствах, выпускаемых компанией, по прошествии многих лет, а человеко-часы, сэкономленные благодаря доступу к сценариям оболочки с нашей точки доступа, легко обходят все, что может предложить графический пользовательский интерфейс , графический интерфейс пользователя а также текстовые консоли имеют свою долю вредных привычек, связанных с ними. :П - Andrew B
Это не место для обсуждения GUI и CLI. Я предложил решение, это может быть не лучшим для всех, и это все, что можно сказать. - faker


Если вы введете имя хоста без точек в нем, DNS-ресиверы попытаются найти это имя, предварительно добавив к нему настроенные поисковые домены.

Для большинства резольверов, если вы используете имя хоста с хотя бы одной точкой в ​​нем, он сначала пытается самостоятельно вызвать имя хоста и возвращается к добавлению настроенных поисковых доменов.

У многих разрешителей есть возможность изменить свое поведение, чтобы добавить домены поиска для имен хостов с точками. Это часто происходит с помощью опции "ndots», который сообщает определителю, сколько точек должно иметь имя хоста, прежде чем он попытается сначала найти имя хоста. server.prod работа, добавьте эту строку в свою resolv.conf:

options ndots:2

Если вы хотите также разрешить server.subzone.prod, вам нужно установить значение 3 и т. Д.

Если кто-то знает, как сделать эту работу в MacOS X, пожалуйста, дайте мне знать; изменения /etc/resolv.conf документируется не работать (и не делает), и я не могу понять правильность scutil заговоры.

(Примечание: я делаю ставку на мои ставки более, чем это возможно. Я считаю, что ndots вариант будет работать на 99% (без MacOSX) Unix-систем.)


12
2017-09-05 20:08



Вы путаете библиотеку распознавателей ОС с BIND. /etc/resolv.conf принадлежит ОС. :) - Andrew B
Большинство, если не все, решения Unix OS разорваны прямо из библиотек-резольверов BIND, если они не напрямую используют их напрямую. Моя точка в вызове BIND заключается в том, что возможно, что есть какая-то ОС, которая использует что-то другое, что не будет отвечать на опцию «ndots». - wfaulk
Такое утверждение, скорее всего, вводит людей в заблуждение, полагая, что распознаватель, реализованный стандартной библиотекой C, зависит от библиотек, предоставленных ISC. В случае glibc, это, безусловно, не, - Andrew B
Справедливо. Исправлено, чтобы попытаться включить, что он может не работать, не ссылаясь на BIND. - wfaulk