É bom ou não incluir todos os endereços freqüentemente usados e importantes em / etc / hosts?

5

Geralmente, é considerada uma prática boa ou ruim incluir todos os hosts importantes da empresa e usados com frequência em /etc/hosts ?

Agora posso ver os seguintes prós e contras:

  • Prós: maior velocidade, tráfego, confiabilidade, segurança
  • Contras: capacidade de gerenciamento reduzida
por Ivan 12.07.2010 / 02:40

4 respostas

15

Na minha opinião, quanto menos você confiar nas entradas do arquivo hosts, melhor. É preferível usar sistemas automatizados como o DNS. Seu golpe está no local - reduz a capacidade de gerenciamento. Também se torna propenso a erros quando as coisas mudam. Mais de uma vez, eu sabia que as pessoas passavam um tempo considerável tentando depurar o que eles pensavam ser um problema de DNS, apenas para descobrir que havia uma entrada de host que estava causando tudo isso.

Quanto aos seus profissionais, argumentarei que a diferença de velocidade mínima não deve ser notada, a menos que você tenha outros problemas de rede mais significativos. A quantidade de tráfego gerada por uma pesquisa de DNS é tão trivial que, se ela entrar em questão, mais uma vez você terá um sério problema de rede. Não há benefício real de segurança. Muito pelo contrário, se a máquina for perdida ou roubada, você pode estar fornecendo informações que não estavam disponíveis de outra forma.

    
por 12.07.2010 / 03:29
4

John Gardeniers está certo, o aumento de velocidade do uso de um arquivo hosts é bem pequeno. O único caso em que poderia ser significativo é se o próprio servidor DNS estava significativamente sobrecarregado. Mesmo a sobrecarga do DNSSEC é muito pequena, embora possa matar os servidores DNS;).

A única coisa que eu sei de coisas que precisam estar no arquivo hosts são os endereços que devem ser resolvidos, mesmo durante as interrupções do DNS. O único caso em que consigo pensar é o servidor LDAP, se você estiver usando o pam-ldap para autenticação. E mesmo isso não é um bom caso de uso, já que o próprio serviço LDAP pode ser configurado com um endereço IP em vez de um nome de host.

Se você está fazendo algo funky com a sub-rede localhost (127.0.0.0/8) onde você está usando esses endereços e precisa acessá-los pelo nome por algum motivo, então um arquivo hosts é justificado.

Consideramos a prática ruim de uso de arquivos de hosts, exceto em casos muito específicos.

    
por 12.07.2010 / 03:49
3

A segurança é discutível se você mudar de rede. É necessária uma identificação de peer (por exemplo, verificações de ssh e impressões digitais ou chaves privadas / públicas de GPG ou certificados) para se certificar de que está a falar com a máquina certa.

O problema que notei é que, por exemplo, um usuário ingênuo tem um laptop contando com / etc / hosts e ele entra em outra rede (por exemplo, um webcafé, biblioteca ... com entidades maliciosas) e espera se conectar ou automaticamente, cronjobs ...) para o seu "servidor seguro" ou "servidor de dados" usual, envia algumas credenciais ou exporta alguma informação confidencial (logs, rrd, login / senhas ...), então a máquina receptora pode farejar todos esses dados . As chances são provavelmente baixas, mas isso é plausível.

    
por 12.07.2010 / 02:54
1

No que diz respeito à melhoria da velocidade, existem formas melhores. Quase qualquer Linux / Solaris (não tenho certeza sobre outros tipos de * nix) terá nscd em execução, que, desde que o cache de hosts não tenha sido desativado, fornecerá uma memória residente equivalente ao arquivo / etc / hosts. E, se o ambiente exigir mais tipos de DNS RR armazenados em cache, uma instalação local de ligação pode ser configurada para essa finalidade. Muitas distribuições do Linux terão uma configuração de pacote de ligação que faz isso sem intervenção do usuário.

Quanto à questão, fora de um ambiente totalmente desconectado da Internet, eu recomendaria manter um arquivo / etc / hosts tão simples quanto possível. O gerenciamento adicional envolvido na tentativa de manter um certo número de pares de nomes / ip precisos rapidamente provará não escalar bem.

    
por 15.07.2010 / 07:06