PowerDNS

PowerDNS es un servidor de nombres daemon de fuente abierta y gratuita que proporciona alto rendimiento y puede modelarse para actuar como un servidor de nombres autorizado y avanzado y avanzado en sistemas operativos GNU / Linux, así como BSD distribuciones.

PowerDNS está escrito desde cero, cumple con todos los documentos de estándares DNS e interactúa con casi cualquier base de datos. Se distribuye en paquetes múltiples y separados, incluidos pdns, powerdns-server, pdns-recursor y pdns-server.

La aplicación utiliza una arquitectura de backend flexible que permite el acceso a la información de DNS desde cualquier fuente de datos, incluidos los formatos de archivo, las bases de datos relacionales, los directorios LDAP y los archivos de zona de vinculación.

PowerDNS está configurado de forma predeterminada para servir toda la información directamente desde una base de datos, lo que da como resultado una capacidad de mantenimiento inigualable de su información de DNS. Está disponible en todas las principales distribuciones de Linux.

Varias empresas de hosting de nombres de dominio y registradores de dominio usan el software PowerDNS para manejar sus servicios, incluyendo BIT Internet Technology, Hostnet, Totaalnet Internet Works, Oxilion, WebReus y mijndomein.nl.

Debajo del capó y la disponibilidad

El software está escrito completamente en el lenguaje de programación C ++ y se distribuye como paquetes binarios preconstruidos en el formato de archivo DEB y RPM, admitiendo plataformas de hardware de 64 y 32 bits.

Siendo un proyecto de software de fuente abierta, PowerDNS también está disponible para su descarga como un archivo de fuentes universales, lo que permite a los usuarios optimizarlo para una arquitectura de hardware y sistemas operativos específicos.

Lo nuevo en este lanzamiento:

• Mejoras:
• # 6239, # 6559: pdnsutil: usa un nuevo dominio en b2bmigrate (Aki Tuomi)
• # 6130: actualizar años de copyright hasta 2018 (Matt Nordhoff)
• # 6312, # 6545: menor nivel de registro 'packet too short'
• Corrección de errores:
• # 6441, # 6614: Restringir la creación de OPT y TSIG RRsets
• # 6228, # 6370: Corregir el tratamiento de los valores de retorno de los filtros axfr definidos por el usuario
• # 6584, # 6585, # 6608: evita que el back-end de GeoIP copie las NetMaskTrees, corrige las ralentizaciones en ciertas configuraciones (Aki Tuomi)
• # 6654, # 6659: asegúrese de que las respuestas de alias sobre TCP tengan el nombre correcto

Qué hay de nuevo en la versión:

• Este lanzamiento presenta importantes contribuciones de nuestra comunidad. Queremos destacar el trabajo incansable de Kees Monshouwer para mejorar el Servidor Autorizado en base a su gran experiencia en la ampliación de PowerDNS a millones de zonas de producción de DNSSEC. Christian Hofstaedtler y Jan-Piet Mens también contribuyeron masivamente en muchos lugares diferentes. También una ronda de agradecimiento a Gregory Oestreicher por renovar y revivir el backend de LDAP. Wolfgang Studier, & quot; MrM0nkey & quot ;, Tudor Soroceanu y Benjamin Zengin entregaron la API de administración de DNSSEC, como parte de sus estudios en TU Berlín.
• Hemos intentado incluir a todos los demás en el registro de cambios completo, y estamos muy agradecidos por todo el trabajo y las pruebas que PowerDNS ha recibido de la comunidad.
• Rendimiento mejorado: aceleración 4x en algunos escenarios:
• Hace más de un año, el RIPE NCC evaluó varias implementaciones del servidor de nombres y descubrió que PowerDNS no era un servidor raíz de rendimiento. Aunque PowerDNS es excelente para servir a millones de zonas, también queremos ser rápidos en zonas más pequeñas. Los resultados de este jalón de optimización se describen aquí, y también en este artículo más largo & quot; Optimización de la optimización: algunas ideas que llevaron a una aceleración del 400% de PowerDNS & quot ;. El trabajo de caché (re) de Kees Monshouwer ha sido vital para lograr esta mejora en el rendimiento.
• Crypto API: DNSSEC completamente configurable a través de API RESTful:
• Nuestra API HTTP RESTful ha ganado soporte para DNSSEC y gestión de claves. Esta API es & quot; Más rica que la mayoría & quot; ya que conoce la semántica de DNSSEC y, por lo tanto, le permite manipular zonas sin tener que pensar en los detalles de DNSSEC. La API hará lo correcto. Este trabajo fue contribuido por Wolfgang Studier, # MrM0nkey, Tudor Soroceanu y Benjamin Zengin como parte de su trabajo en TU Berlín.
• Relacionados con la base de datos: reconexión y campos de identificación de 64 bits:
• Los servidores de bases de datos a veces se desconectan después de períodos de inactividad más cortos o más largos. Esto podría confundir tanto a PowerDNS como a las bibliotecas del cliente de la base de datos en algunas condiciones silenciosas. 4.1 contiene una lógica de reconexión mejorada que creemos que resuelve todos los problemas asociados. En un desarrollo agradable, un usuario de PowerDNS tiene una base de datos tan grande que superó un contador de id de 32 bits, que ahora se ha hecho de 64 bits.
• Documentación mejorada:
• Nuestro Pieter Lexis invirtió mucho tiempo mejorando no solo los contenidos, sino también la apariencia y búsqueda de nuestra documentación. Eche un vistazo a https://doc.powerdns.com/authoritative/ y sepa que puede editar fácilmente nuestra documentación a través del editor integrado de GitHub.
• Eliminación de paso de repetidor:
• Esto afectará muchas instalaciones, y nos damos cuenta de que esto puede ser doloroso, pero es necesario. Anteriormente, el servidor autorizado de PowerDNS contenía una función para enviar las consultas deseadas de recursión a un servidor de resolución, posiblemente después de consultar primero su caché local. Esta función ('recursor =') era frecuentemente confusa y también entregaba resultados inconsistentes, por ejemplo cuando una consulta terminaba refiriéndose a un CNAME que estaba fuera del conocimiento del Servidor Autorizado. Para migrar desde un Servidor Autorizado PowerDNS de 3,0 o 4,0 era con una declaración 'recursor' en el archivo de configuración, consulte Migrar desde el uso de la recursividad en el Servidor Autorizado a usar un Recursor.
• Varios:
• Se agregó soporte para TCP Fast Open. Enlace no local ahora es compatible. pdnsutil check-zone ahora advertirá sobre más errores o configuraciones poco probables. Nuestros paquetes ahora incluyen el soporte PKCS # 11 (que anteriormente requería una recompilación). Integración mejorada con el registro systemd (eliminación de marca de tiempo).

Qué hay de nuevo en la versión 4.0.0:

• Muchos de los cambios se encuentran en el interior y formaban parte de la gran & quot; limpieza de primavera & quot;:
• Movido a C ++ 2011, una versión más limpia de C ++ que nos ha permitido mejorar la calidad de la implementación en muchos lugares.
• Se implementó una infraestructura dedicada para tratar con los nombres DNS que son completamente & quot; DNS Native & quot; y necesita menos escapatoria y escapatoria. Debido a esto, el servidor autorizado de PowerDNS ahora puede servir a las zonas de raíz activadas por DNSSEC.
• Todos los backends derivados del backend SQL genérico usan declaraciones preparadas.
• Tanto el servidor como pdns_control hacen lo correcto cuando están en chroot'ed.
• Los cachés ahora están completamente ordenados canónicamente, lo que significa que las entradas se pueden borrar con el sufijo en todos los lugares
• Además de esta limpieza, se han agregado las siguientes características nuevas y emocionantes:
• Un back-end ODBC revivido y compatible (godbc).
• Un backend LDAP revivido y compatible (ldap).
• Compatibilidad con las transferencias de claves CDS / CDNSKEY y RFC 7344.
• Soporte para el registro ALIAS.
• El servidor web y la API ya no son experimentales. La ruta API se ha movido a / api / v1
• DNSUpdate ya no es experimental.
• ECDSA (algoritmo 13 y 14) compatible sin bibliotecas criptográficas en el árbol (proporcionadas por OpenSSL).
• Soporte experimental para las firmas de DNSSEC ed25519 (cuando se compila con el soporte de libsodium).
• Muchos nuevos comandos pdnsutil, por ejemplo
• comando de ayuda ahora produce la ayuda
• Advierte si el archivo de configuración no se puede leer
• No verifica los registros deshabilitados con check-zone a menos que el modo detallado esté habilitado

El comando
• create-zone crea una nueva zona
• comando add-record para agregar registros
• comandos delete-rrset y replace-rrset para eliminar y agregar rrsets
• comando edit-zone que genera $ EDITOR con el contenido de la zona en formato de archivo de zona, independientemente del back-end utilizado (blogpost)
• El backend de GeoIP ha ganado muchas características, y ahora puede, p. ej. ejecución basada en máscaras de red explícitas que no están presentes en las bases de datos de GeoIP
• Con nuevas funciones vienen las eliminaciones. Los siguientes servidores backends se han eliminado en 4.0.0:
• LMDB.
• Geo (usa el GeoIP mejorado en su lugar).
• Otros cambios y desaprobaciones importantes incluyen:
• pdnssec ha cambiado de nombre a pdnsutil.
• Se ha eliminado el soporte para las bibliotecas de cifrado PolarSSL / MbedTLS, Crypto ++ y Botan a favor del libcrypto OpenSSL (más rápido) (a excepción del GOST, que aún es proporcionado por Botan).
• ECDSA P256 SHA256 (algoritmo 13) ahora es el algoritmo predeterminado para proteger zonas.
• El servidor autorizado de PowerDNS ahora escucha de forma predeterminada todas las direcciones IPv6.
• Se han eliminado varias consultas superfluas de los servidores de fondo genéricos de SQL, si utiliza un esquema SQL no estándar, revise los nuevos valores predeterminados
• insert-ent-query, insert-empty-non-terminal-query, insert-ent-order-query han sido reemplazadas por una consulta llamada insert-empty-non-terminal-order-query
• insert-record-order-query ha sido descartado, insert-record-query ahora establece el nombre de orden (o NULL)
• insert-slave-query se ha descartado, insert-zone-query ahora establece el tipo de zona
• Los valores de metadatos INCEPTION, INCEPTION-WEEK y EPOCH SOA-EDIT están marcados como obsoletos y se eliminarán en 4.1.0

¿Qué hay de nuevo en la versión 3.4.9:

• Las soluciones más importantes son el almacenamiento en caché negativo mejorado y la prevención de bloqueo que podría ocurrir durante el AXFR de una zona con muchos registros MX de diferentes prioridades.

Qué hay de nuevo en la versión 3.4.4:

• La parte más importante de esta actualización es una solución para CVE-2015-1868.

Qué hay de nuevo en la versión 3.4.3:

• Corrección de errores:
• commit ceb49ce: pdns_control: exit 1 en comando desconocido (Ruben Kerkhof)
• commit 1406891: evalúa los pares KSK ZSK por algoritmo (Kees Monshouwer)
• commit 3ca050f: siempre configure di.notified_serial en getAllDomains (Kees Monshouwer)
• commit d9d09e1: pdns_control: no abra socket en / tmp (Ruben Kerkhof)
• Nuevas funciones:
• commit 2f67952: Limite quién puede enviarnos consultas de notificación de AXFR (Ruben Kerkhof)
• Mejoras:
• commit d7bec64: responda REFUSED en lugar de NOERROR para & quot; zona desconocida & quot; situaciones
• commit ebeb9d7: Buscar Lua 5.3 (Ruben Kerkhof)
• commit d09931d: compruebe el compilador para obtener soporte técnico en lugar del vinculador (Ruben Kerkhof)
• commit c4b0d0c: Reemplace PacketHandler con UeberBackend cuando sea posible (Christian Hofstaedtler)
• commit 5a85152: PacketHandler: comparte UeberBackend con DNSSECKeeper (Christian Hofstaedtler)
• cometer 97bd444: reparar el edificio con GCC 5
• Cambios experimentales de la API (Christian Hofstaedtler):
• cometer ca44706: API: mover el lector de DomainInfo compartido a su propia función
• commit 102602f: API: permite escribir en el campo domains.account
• commit d82f632: API: campo de cuenta de dominio de lectura y exposición
• cometer 2b06977: API: ser más estricto al analizar contenidos de registro
• commit 2f72b7c: API: rechazar tipos desconocidos (TYPE0)
• commit d82f632: API: leer y exponer campo de cuenta de dominio

Qué hay de nuevo en la versión 3.4.2:

• Mejoras:
• commit 73004f1: implementar CORS para la API HTTP
• commit 4d9c289: qtype ahora no distingue mayúsculas de minúsculas en API y base de datos
• commit 13af5d8, commit 223373a, commit 1d5a68d, commit 705a73f, commit b418d52: Allow (optional) PIE hardening
• cometer 2f86f20: json-api: eliminar prioridad de json
• commit cefcf9f: correcciones backport remotebackend
• commit 920f987, commit dd8853c: Support Lua 5.3
• commit 003aae5: admite la firma ZSK de un solo tipo
• commit 1c57e1d: Posible solución para el ticket # 1907, ahora intentamos activar libgcc_s.so.1 antes de que hagamos chroot. No puedo reproducir el error en mi sistema local, pero este & quot; debería & quot; ayuda.
• commit 031ab21: actualiza polarssl a 1.3.9
• Corrección de errores:
• commit 60b2b7c, commit d962fbc: rechaza las etiquetas excesivamente largas en los nombres
• commit a64fd6a: auth: limita cadenas de versión largas a 63 caracteres y captura excepciones en secpoll
• commit fa52e02: pdnssec: corrige ttl check para registros RRSIG
• commit 0678b25: arregla informes de latencia para latencias de menos de milisegundos (clip a 0)
• commit d45c1f1: asegúrese de que no lanzamos una excepción en & quot; pdns_control show & quot; de una variable desconocida
• commit 63c8088: arregla la condición de carrera de arranque con un hilo de carbono que ya intenta transmitir datos no inicializados
• commit 796321c: hacer que qsize-q sea más robusto
• commit 407867c: Kees Monshouwer descubrió que contamos paquetes corruptos y situaciones EAGAIN como paquetes válidamente recibidos, sesgando los gráficos de preguntas / respuestas de udp en auth.
• commit f06d069: make latency & qsize reporting 'live'. Además, corrige que solo informamos el tamaño del primer distribuidor.
• commit 2f3498e: arregle el statbag para el protocolo de carbono y los indicadores de función
• cometer 0f2f999: obtener prioridad de la tabla en Lua axfrfilter; arregla el boleto # 1857
• commit 96963e2, commit bbcbbbe, commit d5c9c07: varios backends: registros de arreglos que apuntan a la raíz
• commit e94c2c4: elimina la capa adicional de seguimiento. stripping, que rompió los registros MX a la raíz en el back-end BIND. Debería cerrar el ticket # 1243.
• commit 8f35ba2: api: use los resultados no guardados para getKeys ()
• commit c574336: lee ALLOW-AXFR-FROM desde el backend con los metadatos
• Cambios menores:
• commit 1e39b4c: mover páginas de manual a la sección 1
• commit b3992d9: secpoll: Reemplazar ~ con _
• commit 9799ef5: solo las zonas con ksk activo son seguras
• commit d02744f: api: muestra las claves para las zonas sin ksk activo
• Nuevas funciones:
• commit 1b97ba0: agrega la métrica de firmas a auth, para que podamos trazar firmas / segundo
• commit 92cef2d: pdns_control: permite notificar todas las zonas a la vez
• commit f648752: API JSON: proporcionar memoria de caché, notificar, axfr-receive
• commit 02653a7: agregue 'bench-db' para hacer un benchmark de rendimiento back-end de base de datos muy simple
• commit a83257a: habilite las métricas basadas en devolución de llamada a statbas, y agregue 5 de esas métricas: uptime, sys-msec, user-msec, key-cache-size, meta-cache-size, signature-cache-size
• Mejoras de rendimiento:
• commit a37fe8c: mejor clave para packetcache
• confirme e5217bb: no haga tiempo (0) bajo el bloqueo de caché de firma
• commit d061045, commit 135db51, commit 7d0f392: shard el caché de paquetes, cierre de ticket # 1910.
• commit d71a712: con agradecimiento a Jack Lloyd, esto funciona en torno al asignador predeterminado de Botan que se ralentiza durante el uso de producción.

Qué hay de nuevo en la versión 3.4.1:

• commit dcd6524, commit a8750a5, commit 7dc86bf, commit 2fda71f: PowerDNS ahora sondea el estado de seguridad de una versión al inicio y periódicamente. Puede encontrar más detalles sobre esta función y cómo desactivarla en la Sección 2, & quot; Encuesta de seguridad & quot;.
• commit 5fe6dc0: API: Reemplace HTTP Auth auth con clave estática en encabezado personalizado (X-API-Key)
• commit 4a95ab4: use transaction para pdnssec increase-serial
• commit 6e82a23: No vacíe el nombre del pedido durante pdnssec increase-serial
• commit 535f4e3: respeta SOA-EDIT mientras considera & quot; IXFR vacío & quot; fallback, fixes ticket 1835. Esto corrige la esclavitud de zonas con signo a esclavos con conocimiento IXFR como NSD o BIND.

Qué hay de nuevo en la versión 3.4:

• Este es un rendimiento, característica, corrección de errores y actualización de conformidad para 3.3.1 y cualquier versión anterior. Contiene una gran cantidad de trabajo por parte de varios colaboradores, a quienes estamos muy agradecidos.

Qué hay de nuevo en la versión 3.3.1:

• direct-dnskey ya no es experimental, gracias a Kees Monshouwer & co por las exhaustivas pruebas (commit e4b36a4).
• Maneja las señales durante la encuesta (commit 5dde2c6).
• commit 7538e56: corrige los códigos de salida zone2 {sql, json}
• commit 7593c40: geobackend: corregir posible nullptr deref
• commit 3506cc6: gpsqlbackend: no añada dbname = / user = values ​​vacíos para conectar la cadena

Las consultas de
• gpgsql se simplificaron mediante el uso de conversión (commit 9a6e39c).
• commit a7aabe9: Reemplazar make hardcoded con variable
• commit e4fe901: asegúrese de ejecutar PKG_PROG_PKG_CONFIG antes del primer uso de PKG_ *
• cometer 29bf169: corregir la búsqueda de la clave TSIG de hmac-md5
• commit c4e348b: arregla claves TSIG de 64+ caracteres
• commit 00a7b25: corrige la comparación entre firmado y sin firmar usando uint32_t para el inicio en INCEPTION-EPOCH
• cometer d3f6432: arreglar construyendo en os x 10.9, gracias Martijn Bakker.
• Ahora permitimos construir contra Lua 5.2 (commit bef3000, commit 2bdd03b, commit 88d9e99).
• commit fa1f845: autodetectar conjunto de caracteres de conexión MySQL 5.5+
• Cuando se configura incorrectamente utilizando zonas horarias "correctas", un error en (g) libc gmtime rompe nuestras firmas. Corregido en commit e4faf74 por Kees Monshouwer implementando nuestro propio gmtime_r.
• Al enviar SERVFAIL debido a un bucle CNAME, no incluya inútilmente los CNAME (commit dfd1b82).
• Construir correcciones para plataformas con tipos 'extraños' (como s390 / s390x): confirmar c669f7c (detalles), confirmar 07b904e y confirmar 2400764.
• Soporte para + = sintaxis para opciones, commit 98dd325 y otros.
• commit f8f29f4: nproxy: Agrega el chdir perdido (& quot; / & quot;) después de chroot ()
• commit 2e6e9ad: corrige que & quot; missing & quot; libmysqlclient en sistemas basados ​​en RHEL / CentOS
• pdnssec check-zone mejoras en la confirmación 5205892, commit edb255f, commit 0dde9d0, commit 07ee700, commit 79a3091, commit 08f3452, commit bcf9daf, commit c9a3dd7, commit 6ebfd08, commit fd53bd0, commit 7eaa83a, commit e319467,
• Correcciones NSEC / NSEC3 en la confirmación 3191709, confirmación f75293f, confirmación cd30e94, confirmación 74baf86, confirmación 1fa8b2b
• El servidor web podría bloquearse cuando los búferes de anillo se redimensionaron, se corrigió en commit 3dfb45f.
• commit 213ec4a: agrega restricciones para el nombre al esquema pg
• commit f104427: hacer que las consultas de DomainMetadata no distingan entre mayúsculas y minúsculas
• commit 78fc378: sin compresión de etiquetas para el nombre en registros TSIG
• commit 15d6ffb: pdnssec ahora genera registros ZSK DNSKEY si el soporte experimental-direct-dnskey está habilitado (renombrado a direct-dnskey antes del lanzamiento!)
• commit ad67d0e: drop cryptopp desde la compilación estática ya que libcryptopp.a está roto en Debian 7, que es lo que construimos en
• commit 7632dd8: admite polarssl 1.3 externamente.
• Remotebackend se actualizó por completo en varios commits.
• commit 82def39: SOA-EDIT: corregir INCEPTION-INCREMENT handling
• commit a3a546c: agrega la opción innodb-read-committed a la configuración de gmysql.
• cometer 9c56e16: realmente notará el tiempo de espera durante la recuperación de AXFR, gracias hkraal

¿Qué hay de nuevo? en la versión 3.1 RC1:

• Esta versión soluciona problemas importantes de DNSSEC, aborda el uso de memoria, y contiene una gran cantidad de mejoras y correcciones de errores.

Qué es nuevo en la versión 3.0.1:

• Esta versión es idéntica a la 3.0, excepto con un corregir CVE-2012-0206 también conocido como PowerDNS Security Notification 2012-01. Se recomienda una actualización.

Qué hay de nuevo en la versión 3.0 RC3:

• Esta versión brinda soporte completo para DNSSEC, con firmas automáticas, reinversiones y mantenimiento de claves.
• El objetivo es permitir que las instalaciones existentes de PowerDNS comiencen a servir DNSSEC con la menor molestia posible, manteniendo el rendimiento y logrando altos niveles de seguridad.
• Otras características nuevas incluyen TSIG, un back-end MyDNS-compat, también-notify, maestro / esclavo sobre IPv6, un motor esclavo en paralelo, soporte MongoDB y edición de zona Lua.

Novedades en la versión 3.0 RC1:

• Esta versión brinda soporte completo para DNSSEC, con firma automática , rollovers y mantenimiento de claves.
• El objetivo es permitir que las instalaciones existentes de PowerDNS comiencen a servir DNSSEC con la menor molestia posible, manteniendo el rendimiento y logrando altos niveles de seguridad.
• Otras características nuevas incluyen TSIG, un back-end MyDNS-compat, también-notify, maestro / esclavo sobre IPv6, un motor esclavo en paralelo masivo y edición de zona Lua.

Qué hay de nuevo en la versión 2.9.22:

• Esta versión ofrece una cantidad razonable de nuevas características, combinadas con grandes aumentos de rendimiento para configuraciones grandes.
• Además, se han solucionado un número importante de errores y problemas.
• Esta es una actualización muy recomendada.

Novedades en la versión 2.9.22 RC2:

• En comparación con 2.9.21, esta versión ofrece un impulso de rendimiento masivo para las instalaciones que se ejecutan con TTL de alta caché o un caché de paquetes grande, en muchos casos de un orden de magnitud.
• Además, se abordaron una gran cantidad de errores, se agregaron algunas características y, en general, muchas áreas experimentaron mejoras.
• RC2 soluciona problemas importantes en comparación con RC1.

Novedades en la versión 2.9.22 RC1:

• En comparación con 2.9.21, esta versión ofrece un impulso de rendimiento masivo para las instalaciones que se ejecutan con TTL de alta caché o un caché de paquetes grande, en muchos casos de un orden de magnitud.
• Además, se abordaron una gran cantidad de errores, se agregaron algunas características y, en general, muchas áreas experimentaron mejoras.

Qué hay de nuevo en la versión 2.9.21.2:

• Algunas (raras) configuraciones autorizadas de PowerDNS Server podrían verse forzadas a reiniciarse remotamente.
• Para otras configuraciones, una reconexión de la base de datos se puede activar de forma remota.
• Estos problemas han sido solucionados.