Длина соли DNSSEC NSEC3
+1 для ZenOSS, но это зависит, на какой версии Вы используете. Существует бесплатная общественная версия, и их предложение "enterprisey", которое я принимаю, имеет более солнечные звонки и более громкий свист.
Первый не делает очень хорошего задания того, чтобы говорить с Winboxen, если у Вас есть позже настроенная политика аутентификации домена Windows или парни безопасности, вдыхающие вниз Вашу шею (привет NTLMv2). Так, для общественной версии Вы добираетесь, чтобы весело провести время, настраивая Samba для себя для принуждения такой аутентификации, если Вы хотите собственный опрос серверов/клиентов Windows, ничего не устанавливая на цели (так как это в основном делает удаленные вызовы WMI с администраторской учетной записью по Вашему выбору). Поэтому это обратилось к моим коллегам, так как это, как предполагалось, было блестящим, забавным, и без стычек, но это смутило их, так как они никогда не играли так очень с Linux. Я потерял время для лужения, таким образом, я никогда не заставлял ту часть работать с общественной версией. Просто мои два цента...
Соль предназначена для предотвращения атак по заранее вычисленному словарю. Однако, как упоминалось в и обзоре безопасности, соль на самом деле не обеспечивает никакой дополнительной безопасности, потому что соль общедоступна через запись NSEC3PARAMS . Поскольку в хешах NSEC3 используется полностью определенное имя, на самом деле нет даже риска глобально полезной атаки типа радужной таблицы, поэтому вы можете выбрать свой хэш произвольно.
Если злоумышленник сделает маловероятный NSEC3 хэш-коллизия, соль должна быть изменена, чтобы устранить коллизию.
РЕДАКТИРОВАТЬ: Что бы это ни стоило, RFC 5155 дает рекомендацию:
Соль ДОЛЖНА быть не менее 64 бита и непредсказуема, так что
злоумышленник не может предвидеть значение соли и вычислить
следующий набор словарей перед публикацией зоны.