přejít na obsah přejít na navigaci

Linux E X P R E S, Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název

Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název

rozhovor_diktafon160.jpg

Rozhovor s Ondřejem Surým, vedoucím laboratoří CZ.NIC – o DNSSEC a DANE, serveru Knot DNS a chystaném vývoji kešujícího rekurzivního resolveru, o budoucnosti aplikace Datovka a v neposlední řadě též o balíčkování pro Debian.


Představte prosím trochu sebe a svou práci v laboratořích CZ.NIC.

Moje jméno je Ondřej Surý a pracuji pro CZ.NIC jako vedoucí výzkumného oddělení. V rámci mé práce pro CZ.NIC jsem byl u podepsání kořenové zóny, figuruji jako jeden z arbitrů RIPE NCC, skoro čtyři roky jsem spolupředsedal pracovní skupině DANE v IETF, kde jsme dotáhli do úspěšného konce specifikaci protokolu DANE, ale stejně jsou chvíle, kdy nejraději udělám git pull a jdu v Knotovi předělat generování dokumentace z texinfa do sphinxu.

Jste jedním z „vyvolených“, kteří stáli u ostrého spuštění DNSSEC. Nyní statistiky ukazují, že rozšíření DNSSEC u českých domén klesá (i přes poměrně masivní propagaci), čím to podle vás může být?

Osobně bych neřekl, že rozšíření DNSSEC u českých domén klesá, ale spíše stagnuje. Za vysokou penetrací DNSSEC podepsaných domén u českých domén stojí především naši registrátoři, kteří do toho šli s námi a kteří DNSSEC podporují. Odpověď na vaši otázku lze poměrně jednoduše najít v našich statistikách – jsou registrátoři, kterým záleží na bezpečnosti vlastních zákazníků, a jsou registrátoři, kteří to nepovažují za prioritu. Stačí si vedle sebe dát graf „DNSSEC dle registrátorů“ a „Domény dle registrátorů“.

Domnívám se však, že penetrace okolo 40 % je stále i ve světovém měřítku naprosto skvělá, a nyní je důležité se zaměřit spíše na „kvalitu“ než „kvantitu“. Zde bych si dovolil pochválit Fio banku, která kromě vlastní podepsané domény v posledním bezpečnostním upozornění vyzvala své uživatele k používání resolverů s podporou technologie DNSSEC!

Máte povědomí o tom, jak se rozšiřuje podpora DANE v aplikacích (jedinou obecněji známou aplikací je zatím poštovní server Postfix)?

Obecně se dá říct, že se svět dá rozdělit na prohlížeče a zbytek. V případě prohlížečů je situace značně komplikovaná, protože kontrola zabezpečení a vyšší interakce s DNS se příliš neslučuje s nesmyslným honem o nejrychleji načtenou a zobrazenou stránku. Co se týče zbytku světa, tak tam se zdá, že se ledy dávají pomalu, ale jistě do pohybu.

Viktor Dukhovni (stojící za implementací DANE v Postfixu) má rozpracovanou podporu DANE protokolu přímo v OpenSSL. GnuTLS již podporu pro DANE obsahuje.

Osobně se domnívám, že pro podporu protokolů postavených nad DNSSECem bude zapotřebí nové standardní API pro práci s DNS, protože getaddrinfo neposkytuje potřebnou funkcionalitu. Za slibně vyvíjející se projekt na tomto poli považuju getdns.

Podílíte se na vývoji DNS serveru Knot DNS, který proslul především svým výkonem a škálovatelností. Občas ale zaznívají kritické hlasy, že „je bohužel pouze autoritativní“. Neplánujete v budoucnu přidat možnost provozu i v neautoritativním režimu?

Pohled DNS komunity na rozdělení funkcionality autoritativního a rekurzivního DNS serveru je poměrně silný a jasný – míchání těchto dvou funkcí do jednoho kódu nevede k ničemu dobrému. Na začátku vývoje serveru Knot DNS jsme si jasně stanovili, že bude autoritativní a bude svou práci dělat dobře, rychle, spolehlivě a lépe než všichni ostatní. Myslím, že se nám tyto ideály v CZ.NICu daří poměrně dobře naplňovat.

Zároveň musím dodat, že vývoj rekurzivního kešujícího DNS serveru byl již od samého začátku na seznamu projektů, do kterých bychom se rádi pustili, protože dávají smysl. A v tomhle ohledu mám velmi dobrou zprávu, protože se ještě letos do vývoje Knot DNS Resolveru pustíme. Nyní nás čeká nejdůležitější fáze každého projektu a tím je volba jména. Budeme rádi, když se do této zásadní fáze projektu zapojí i čtenáři a navrhnou v komentářích jméno pro tento vznikající projekt.

Oblíbeným programem vznikajícím z CZ.NIC Labs je bezesporu Datovka, včetně svých mobilních verzí. Dospěl již tento program do fáze dokonalosti, kdy už se bude pouze reagovat na změny v ISDS, nebo přijdou ještě nějaká zásadnější vylepšení či jiné změny?

Stávající verze Datovky (a její varianty) je nyní poměrně vyzrálý program, kde pouze opravujeme chyby, které nám její uživatelé nahlásí. Současná verze je psaná v Pythonu a má stejné zobrazovací jádro pro všechny podporované operační systémy, což v praxi znamená hlavně to, že jediný systém, kde je Datovka dobře integrovaná do zbytku prostředí, je Linux.

I proto jsme se rozhodli, že letos začneme pracovat na nové verzi Datovky, která by měla být na jedné straně integrovaná do vizuálních stylů jednotlivých operačních systémů, a na druhé straně bude mít stejný základ, který bude použitelný na všech platformách. Při vývoji nové verze také budeme brát ohledy na zkušenosti, které nám vývoj první generace Datovky přinesl, protože i po několika letech nás stále dokážou uživatelé překvapit kreativními způsoby použití Datovky (ať už je to v množství příjemců odesílané zprávy nebo v množství datových zpráv, které mají v Datovce uloženy).

Poměrně málo známou oblastí působení laboratoří CZ.NIC je tvorba balíčků pro distribuci Debian a odvozené distribuce. Můžete tuto oblast činnosti trochu představit?

Naše tvorba balíčků je v zásadě rozdělena na dvě hlavní části. Jednak tvoříme balíčky k většině našich projektů (Knot DNS, BIRD), kde se neomezujeme jen na Debian a odvozené distribuce, ale například pro Knot DNS máme kromě standardních DEB a RPM např. i balíčky pro Arch Linux a Gentoo. Kromě standardních distribucí máme balíček i pro OpenWRT a osobně mám rozpracovaný homebrew recept pro Mac OS X.

Druhá část našeho balíčkování vychází hlavně z toho, že jsem již čtrnáctým rokem Debian Developer a za tu dobu jsem balíčkoval kde co (včetně epizody v pkg-gnome-gtk teamu). Debian nebo distribuce na něm založené používáme i v CZ.NICu a je poměrně logické, že tuto distribuci podporujeme zpětně i tímto způsobem.

První taková velká oblast je balíčkování DNS a DNSSEC software – ať už je to náš Knot DNS, knihovna ldns nebo DNS server NSD. Zároveň nemá smysl zastírat, že účastí na balíčkování často řešíme i vlastní problémy ve chvílích, kdy je nějaký balík neudržovaný a my jej používáme pro vlastní práci – což byl například případ Ruby on RailsRedmine nebo generátoru statických stránek Pelican, který používáme pro generování stránek projektů.

V případě dalších balíků byla často motivace jen zlepšit neutěšený stav, kde původní maintainer balíku ztratil zájem nebo přestal mít čas balík udržovat. Za velký úspěch považuju sjednocení každého release na jednu verzi Berkeley DB, učesání balíkování PHP a modulů a v nespolední řadě vydání nové verze knihovny GD2, kde jsme společně s Fedora maintainerem dokopali Pierra Joeyeho k vydání kódu, který byl dlouho udržován jen v PHP stromu, do samostatného release. Mimochodem, tento projekt by potřeboval více lidí jako sůl.

Plánujete vývoj nějakých dalších opensource aplikací (navíc k těm, které už se v laboratořích nyní vyvíjejí)?

Malé nahlédnutí pod pokličku budoucího vývoje už jsme udělali v předchozích odstavcích, ale snad bych jenom vypíchl naši práci v rámci projektu Turris, kde se snažíme pracovat na vylepšení OpenWRT pro normální domácí uživatele, a až se zastavíme v té jízdě, kterou jsme kolem projektu Turris měli, chtěli bychom začít pracovat na začleňování našich změn přímo do OpenWRT projektu.

Kolik vývojářů mají laboratoře? Co mají zájemci udělat, pokud by u vás chtěli pracovat? Co je největší výhodou práce v laboratořích CZ.NIC?

V laboratořích CZ.NIC nyní pracuje lehce přes 20 zaměstnanců, osobně však nerad operuji s těmito čísly, protože někteří kolegové jsou stále studenti a nepracují na plné úvazky, proto mohou tato absolutní čísla být poněkud matoucí. Laboratoře CZ.NIC mají kromě Prahy v současné pobočky v Brně a v Plzni, a v Praze jsme již poněkud prostorově omezeni, takže by takoví zájemci měli být ideálně z těchto dvou měst.

Hlavní atributy, které u nových kolegů hledáme, je technická excelence a nadšení pro věc. V CZ.NICu děláme na projektech, které mají zlepšovat používání internetu i moderních technologií, takže také hledáme lidi, kteří by se rádi podíleli na vývoji opensource softwaru, který má šanci měnit svět. A na to musí být člověk i trochu zapálený pro věc, nemyslíte?

Děkujeme za rozhovor.

Nahoru

Příspěvky

Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
Marek 16. 05. 2014, 15:04:56
Odpovědět  Odkaz 
Co třeba jméno Carrier. Při troše dobré vůle by to mohl být anagram počátečních písmen Cache Recursion Resolver.
Pokud jsem napsal nějakou blbost, prosím o odpuštění.
Re: Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
Marek 16. 05. 2014, 17:22:47
Odpovědět  Odkaz 
Nebo jenom stroze CaRR.
Re: Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
Dreit 19. 05. 2014, 10:31:07
Odpovědět  Odkaz 
Taky bych byl pro Carrier. Navíc mi to připomíná http://en.wikipedia.org/wiki/IP_over_Avian_Carriers
Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
Pavel Šimerda 16. 05. 2014, 15:33:22
Odpovědět  Odkaz 
Trochu nechápu, proč je potřeba Knot DNS resolveru vymýšlet jméno.
Lukáš Jelínek Re: Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
Lukáš Jelínek 16. 05. 2014, 16:12:18
Odpovědět  Odkaz 
Třeba proto, aby se to nepletlo ;-)
Re: Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
Ondřej Surý 16. 05. 2014, 17:58:27
Odpovědět  Odkaz 
Pavle, nebuď suchar;)
Re: Re: Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
Pavel Šimerda 18. 05. 2014, 18:40:16
Odpovědět  Odkaz 
Mně už není pomoci ;).
Re: Re: Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
Pavel Šimerda 18. 05. 2014, 18:45:05
Odpovědět  Odkaz 
Co třeba *Tie*, to má k uzlu docela blízko ;).
Re: Re: Re: Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
Ondřej Surý 20. 05. 2014, 12:54:31
Odpovědět  Odkaz 
Aby nás pak nezažaloval Disney :)
Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
tomATOM 16. 05. 2014, 16:27:40
Odpovědět  Odkaz 
Napadá mne několik názvů pro resolver:

- Bow
- Rope
- Ripple
- Golem
- Nautic

Pokud se nějaký bude líbit, jsem na jabberu jako enegetik registrovaný na njs(tečka)netlab(tečka)cz

tomATOM
Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
Jii Doskocil 16. 05. 2014, 19:32:24
Odpovědět  Odkaz 
Kezpes
(kešovací zpětný server)
Kenas
(kešovací návratový server)
Re: Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
Pavel Šimerda 18. 05. 2014, 18:42:57
Odpovědět  Odkaz 
Kešser, ať teda nejsem za suchara.
Návrh: Chystá se vývoj DNS resolveru, pojďte vybrat název
fri 16. 05. 2014, 20:53:33
Odpovědět  Odkaz 
Já navrhuju:

Rozvadec

anebo

Vyvadec
Re: Návrh: Chystá se vývoj DNS resolveru, pojďte vybrat název
fri 17. 05. 2014, 07:26:21
Odpovědět  Odkaz 
Pozn.:

resolve = (v hudbě) rozvést (akord)
Michal Halenka Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
Michal Halenka 17. 05. 2014, 02:21:21
Odpovědět  Odkaz 
Gordias/Gordian - odkaz na gordický uzel. Jednak je to komplementár ke stávajícímu názvu Knot DNS, jednak symbolizuje rychlé resolvnutí rozseknutím gordického uzlu.
Chystá se vývoj DNS resolveru, pojďte vybrat název
VK 17. 05. 2014, 17:30:56
Odpovědět  Odkaz 
Resolver mi evokuje Solvinu :-))
Lukáš Jelínek Re: Chystá se vývoj DNS resolveru, pojďte vybrat název
Lukáš Jelínek 17. 05. 2014, 19:00:50
Odpovědět  Odkaz 
Ono to totiž spolu etymologicky souvisí (a např. resolvent = rozpouštědlo) ;-)
Re: Re: Chystá se vývoj DNS resolveru, pojďte vybrat název
Jiri Doskocil 18. 05. 2014, 02:57:45
Odpovědět  Odkaz 
Aha, takže:
Rozpes
(rozpouštěcí zpětný server)
Ronas
(rozpouštěcí návratový server)
Totiž nevím jak přesně definovat "rekurzivní" a teď do toho ten Resolvent:
Rokenazpesos
(rozpouštěcí kešovací návratový zpětně solventní server)
...ježíš sem se do toho zamotal
Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
msh 18. 05. 2014, 14:37:53
Odpovědět  Odkaz 
Houmr

Smysl tam moc nehledejte. Připusťme, že Homer Simpson výrazná osobnost. A všeobecně uznávaná a oblíbená. Počeštění jména ukazuje na český původ resloveru :-)
Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
me 25. 05. 2014, 23:03:17
Odpovědět  Odkaz 
Nazev nemam, jen blbe kecy...

Nikde jsem nezaznamenal zminku, ze by novy DNS resolver mel podporovat treba i DNScrypt. A ani public DNS servery CZ.NIC (ODVR) zatim DNScrypt nepodporuji. Je k tomu nejaky duvod?

http://dnscrypt.org/
Lukáš Jelínek Re: Ondřej Surý: Chystá se vývoj DNS resolveru, pojďte vybrat název
Lukáš Jelínek 26. 05. 2014, 00:22:32
Odpovědět  Odkaz 
Kdo se zúčastnil konference IT14, už určitě ví ;-)

Ve stručnosti - DNSCrypt má řadu zásadních problémů, asi největší z nich (podle mého názoru) je napevno definovaný šifrovací algoritmus (Curve25519), bez možnosti změny.

Odpovědět

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Kubuntu, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog