نستمر في سلسلة مقالاتنا وفي هذا المقال سنتعامل مع الجوانب التالية:
- تركيب
- الدلائل والملفات الرئيسية
قبل المتابعة ، نوصيك بعدم التوقف عن قراءة:
تركيب
في وحدة التحكم وكمستخدم جذر قمنا بتثبيت ربط 9:
تثبيت aptitude bind9
يجب علينا أيضًا تثبيت الحزمة دنسوتيل التي لديها الأدوات اللازمة لإجراء استعلامات DNS وتشخيص العملية:
الكفاءة تثبيت dnsutils
إذا كنت ترغب في الرجوع إلى الوثائق التي تأتي في المستودع:
الكفاءة تثبيت bind9-doc
سيتم تخزين الوثائق في الدليل / usr / share / doc / bind9-doc / arm وملف الفهرس أو جدول المحتويات هو bv9ARM.html. لفتحه قم بتشغيل:
Firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html
عندما نقوم بتثبيت ربط 9 على دبيان ، وكذلك الحزمة ربط 9utils الذي يوفر لنا العديد من الأدوات المفيدة للغاية للحفاظ على تثبيت عملي لـ BIND. من بينها سنجد rndc و checkconf المسماة و checkzone. علاوة على ذلك ، الحزمة دنسوتيل يوفر سلسلة كاملة من برامج عملاء BIND ، بما في ذلك حفر و الأداة Nslookup. سنستخدم كل هذه الأدوات أو الأوامر في المقالات التالية.
لمعرفة جميع برامج كل حزمة يجب أن ننفذها كمستخدم جذر:
dpkg -L bind9utils dpkg -L dnsutils
او اذهب الى متشابكوابحث عن الحزمة وشاهد الملفات المثبتة. خاصة تلك التي يتم تثبيتها في المجلدات / البيرة / بن o / usr / sbin.
إذا أردنا معرفة المزيد حول كيفية استخدام كل أداة أو برنامج مثبت ، يجب علينا تنفيذ:
رجل
الدلائل والملفات الرئيسية
عندما نقوم بتثبيت دبيان ، يتم إنشاء الملف / الخ / resolv.conf. هذا الملف أو "ملف تكوين خدمة المحلل"، يحتوي على العديد من الخيارات التي تكون افتراضيًا اسم المجال وعنوان IP لخادم DNS المعلن عنه أثناء التثبيت. نظرًا لأن محتوى تعليمات الملف باللغة الإسبانية وهو واضح جدًا ، نوصي بقراءته باستخدام الأمر رجل يقرر الحكم.
بعد تثبيت ملف ربط 9 في Squeeze ، يتم إنشاء الدلائل التالية على الأقل:
/ etc / bind / var / cache / bind / var / lib / bind
في دفتر العناوين / الخ / ربط نجد ، من بين أمور أخرى ، ملفات التكوين التالية:
named.conf named.conf.options named.conf.default-zone named.conf.local rndc.key
في دفتر العناوين / var / cache / bind سننشئ ملفات المناطق المحلية التي سنتعامل معها لاحقًا. بدافع الفضول ، قم بتشغيل الأوامر التالية في وحدة التحكم كمستخدم جذر:
ls -l / etc / bind ls -l / var / cache / bind
بالطبع ، لن يحتوي الدليل الأخير على أي شيء ، نظرًا لأننا لم ننشئ منطقة محلية بعد.
يتم تقسيم إعدادات BIND إلى ملفات متعددة من أجل الراحة والوضوح. كل ملف له وظيفة محددة كما سنرى أدناه:
اسمه .conf: ملف التكوين الرئيسي. يتضمن الملفاتnamed.conf.options, اسمه.conf.local y اسمه.conf.default- المناطق.
named.conf.options: خيارات خدمة DNS العامة. التوجيه: الدليل "/ var / cache / bind" سيخبر bind9 أين تبحث عن ملفات المناطق المحلية التي تم إنشاؤها. نعلن هنا أيضًا عن الخوادم "الناقلون"أو في ترجمة تقريبية ،" المتقدمون "بحد أقصى 3 ، وهي ليست أكثر من خوادم DNS خارجية يمكننا الرجوع إليها من شبكتنا (من خلال جدار حماية بالطبع) والتي سترد على الأسئلة أو الطلبات الخاصة بـ DNS المحلي غير قادر على الاستجابة.
على سبيل المثال ، إذا كنا نقوم بتكوين DNS للشبكة المحلية192.168.10.0/24، ونريد أن يكون أحد وكلاء الشحن لدينا خادم اسم UCI ، يجب أن نعلن عن وكلاء التوجيه {200.55.140.178 ؛ }؛ عنوان IP المطابق للخادم ns1.uci.cu.
بهذه الطريقة يمكننا استشارة خادم DNS المحلي الخاص بنا وهو عنوان IP لمضيف yahoo.es (والذي من الواضح أنه ليس على شبكة LAN الخاصة بنا) ، نظرًا لأن DNS الخاص بنا سوف يسأل UCI إذا كان يعرف عنوان IP الخاص بـ yahoo.es ، وبعد ذلك ستعطينا نتيجة مرضية أم لا. أيضا وفي الملف نفسه اسمه.conf.option سنعلن عن جوانب مهمة أخرى من التكوين كما سنرى لاحقًا.
اسمه.conf.default- المناطق: كما يوحي الاسم ، فهي "المناطق الافتراضية". هنا يتم تكوين اسم الملف الذي يحتوي على معلومات خوادم الجذر أو خوادم الجذر اللازمة لبدء ذاكرة التخزين المؤقت DNS ، وبشكل أكثر تحديدًا الملفdb.root. يُطلب من BIND أيضًا الحصول على السلطة الكاملة (لتكون سلطوية) في حل أسماء مؤسسة الكوثر، سواء في الاستعلامات المباشرة أو العكسية ، ونفس الشيء بالنسبة لمناطق "البث".
اسمه.conf.local: ملف حيث نعلن التكوين المحلي لخادم DNS الخاص بنا باسم كل ملف المناطق المحلية، والتي ستكون ملفات سجلات DNS التي ستحدد أسماء أجهزة الكمبيوتر المتصلة بشبكة LAN الخاصة بنا بعنوان IP الخاص بها والعكس صحيح.
rndc.key: ملف مُنشأ يحتوي على المفتاح للتحكم في BIND. استخدام أداة التحكم في خادم BIND rndc، سنكون قادرين على إعادة تحميل تكوين DNS دون الحاجة إلى إعادة تشغيله باستخدام الأمر إعادة تحميل rndc. مفيد جدًا عندما نجري تغييرات في ملفات المناطق المحلية.
في دبيان ، ملفات المناطق المحلية يمكن أن يكون موجودًا أيضًا في / var / lib / bind؛ بينما في التوزيعات الأخرى مثل Red Hat و CentOS ، فعادة ما يتواجدون فيها / var / lib / الاسم أو أدلة أخرى حسب درجة الأمان المطبقة.
نختار الدليل / var / cache / bind هو الذي اقترحه دبيان افتراضيًا في الملف named.conf.options. يمكننا استخدام أي دليل آخر طالما أخبرنا بامتداد ربط 9 مكان البحث عن ملفات المناطق ، أو نعطي المسار المطلق لكل منها في الملف اسمه.conf.local. من الصحي جدًا استخدام الدلائل الموصى بها من قبل التوزيع الذي نستخدمه.
إنه خارج نطاق هذه المقالة لمناقشة الأمان الإضافي الذي ينطوي عليه إنشاء Cage أو "Chroot" لـ BIND. وكذلك مسألة الأمن من خلال سياق SELinux. أولئك الذين يحتاجون إلى تنفيذ مثل هذه الميزات يجب أن يلجأوا إلى الكتيبات أو الأدبيات المتخصصة. تذكر أن حزمة الوثائق bind9-doc مثبت في الدليل / usr / share / doc / bind9-doc.
حسنًا أيها السادة ، حتى الآن الجزء الثاني. لا نريد الخوض في مقال واحد بسبب التوصيات الجيدة لرئيسنا. أخيرا! سوف ندخل في التفاصيل الجوهرية لإعداد BIND والاختبار ... في الفصل التالي.
مبروك مقال جيد جدا!
شكرا جزيلا لك ..
هذا أقل أهمية لأسباب أمنية: لا تترك DNS مفتوحًا (محلل مفتوح)
المراجع:
1) http://www.google.com/search?hl=en&q=spamhaus+ataque
2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
انا اقتبس:
«... على سبيل المثال ، يقدر مشروع Open DNS Resolver (openresolverproject.org) ، وهو جهد مجموعة من خبراء الأمن لإصلاح ذلك ، أن هناك حاليًا 27 مليون" محلل تكراري مفتوح "، و 25 مليون منهم يمثلون تهديدًا كبيرًا. ، كامنة ، تنتظر إطلاق العنان لغضبها مرة أخرى ضد هدف جديد .. »
تحياتي
من الجيد جدًا إشراك الأشخاص في خدمة مهمة مثل DNS اليوم.
ما أفعله ، إذا كان بإمكاني الإشارة إلى شيء ما ، هو ترجمتك المروعة لـ "وكلاء الشحن" ، والتي تبدو كما لو تم سحبها من مترجم جوجل. الترجمة الصحيحة هي "خوادم إعادة التوجيه" أو "معيدي التوجيه".
كل شيء آخر ، عظيم.
تحياتي
مشكلة دلالات. إذا قمت بإعادة توجيه طلب إلى آخر للحصول على رد ، فأنت لا تقدم الطلب إلى مستوى آخر. اعتقدت أن أفضل معاملة باللغة الإسبانية الكوبية كانت Adelantadores لأنني كنت أشير إلى Pass أو Advance وهو سؤال لم أستطع (DNS المحلي) الإجابة عليه. بسيط. كان من الأسهل بالنسبة لي كتابة المقال باللغة الإنجليزية. ومع ذلك ، أنا دائما أوضح حول ترجماتي. شكرا لك على تعليقك في الوقت المناسب.
فخم. ترف؛)!
تحيات!
ولبرنامج OpenSUSE؟
تعمل CREO لأي توزيعة. موقع ملف المناطق يختلف ، على ما أعتقد. لا؟
أشكركم جميعا على التعليق .. ويسرني أن أقبل اقتراحاتكم .. 😉