Продължаваме с нашата поредица от статии и в тази ще разгледаме следните аспекти:
- Инсталация
- Директории и основни файлове
Преди да продължите, препоръчваме да не спирате да четете:
Инсталация
В конзола и като потребител корен инсталирахме свързване9:
aptitude инсталира bind9
Трябва също да инсталираме пакета dnsutils който разполага с необходимите инструменти за DNS заявки и диагностика на операцията:
aptitude инсталирайте dnsutils
Ако искате да се запознаете с документацията, която се предлага в хранилището:
aptitude инсталирайте bind9-doc
Документацията ще се съхранява в директорията / usr / share / doc / bind9-doc / arm а индексният файл или Съдържанието е bv9ARM.html. За да го отворите, изпълнете:
firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html
Когато инсталираме свързване9 на Debian, пакетът също bind9utils което ни предоставя няколко много полезни инструмента за поддържане на работеща инсталация на BIND. Сред тях ще открием rndc, named-checkconf и named-checkzone. Освен това пакетът dnsutils допринася цяла поредица клиентски програми на BIND, сред които ще бъдат копаят и nslookup. Ще използваме всички тези инструменти или команди в следващите статии.
За да знаем всички програми на всеки пакет, трябва да изпълним като потребител корен:
dpkg -L bind9utils dpkg -L dnsutils
Или отидете на Synaptic, потърсете пакета и вижте кои файлове са инсталирани. Особено тези, които се инсталират в папки / ЮЕсАр / хамбар o / usr / sbin.
Ако искаме да научим повече за това как да използваме всеки инсталиран инструмент или програма, трябва да изпълним:
човече
Директории и основни файлове
Когато инсталираме Debian, файлът се създава / И т.н. / resolv.conf. Този файл или "Конфигурационен файл на услугата за разрешаване", Той съдържа няколко опции, които по подразбиране са името на домейна и IP адресът на DNS сървъра, деклариран по време на инсталацията. Тъй като съдържанието на помощта за файла е на испански и е много ясно, препоръчваме да го прочетете с помощта на командата човек резолют.конф.
След инсталиране на свързване9 В Squeeze се създават поне следните директории:
/ etc / bind / var / cache / bind / var / lib / bind
В адресната книга / etc / bind намираме, наред с други, следните конфигурационни файлове:
named.conf named.conf.options named.conf.default-зони named.conf.local rndc.key
В адресната книга / var / cache / bind ние ще създадем файловете на Местни райони с които ще се справим по-късно. От любопитство изпълнете следните команди в конзолата като потребител корен:
ls -l / etc / bind ls -l / var / cache / bind
Разбира се, последната директория няма да съдържа нищо, тъй като все още не сме създали Локална зона.
Разделянето на настройките BIND на множество файлове се извършва за удобство и яснота. Всеки файл има специфична функция, както ще видим по-долу:
named.conf: Основен конфигурационен файл. Включва файловетеnamed.conf.options, named.conf.local y named.conf.default-зони.
named.conf.options: Общи опции за DNS услуга. Директива: директория "/ var / cache / bind" ще каже на bind9 къде да търси файловете на създадените локални зони. Тук също декларираме сървърите „спедитори„Или в приблизителен превод„ Адвансърс “до максимален брой 3, които не са нищо повече от външни DNS сървъри, с които можем да се консултираме от нашата мрежа (разбира се чрез защитна стена), които ще отговорят на въпросите или исканията, които нашият DNS местният не е в състояние да отговори.
Например, ако конфигурираме DNS за LAN192.168.10.0/24и ние искаме един от нашите спедитори да бъде UCI Name Server, трябва да декларираме директните спедитори {200.55.140.178; }; IP адрес, съответстващ на сървъра ns1.uci.cu.
По този начин ще можем да се консултираме с нашия локален DNS сървър, който е IP адресът на хоста yahoo.es (който очевидно не е в нашата LAN), тъй като нашият DNS ще попита UCI дали знае кой е IP адресът на yahoo.es и след това ще ни даде задоволителен резултат или не. Също така и в самия файл named.conf.option Ще декларираме други важни аспекти на конфигурацията, както ще видим по-късно.
named.conf.default-зони: Както подсказва името, те са зоните по подразбиране. Тук конфигурирате BIND името на файла, което съдържа информацията за коренните сървъри или коренните сървъри, необходими за стартиране на DNS кеша, по-точно файлаdb.root. BIND също е инструктиран да има пълна власт (да бъде авторитарен) при разрешаването на имена за Localhost, както при директни, така и при обратни заявки, и едни и същи за областите „Излъчване“.
named.conf.local: Файл, в който декларираме локалната конфигурация на нашия DNS сървър с името на всеки от Местни райони, и които ще бъдат DNS файловете за запис, които ще картографират имената на компютрите, свързани към нашата локална мрежа, с техния IP адрес и обратно.
rndc.key: Генериран файл, съдържащ ключа за управление на BIND. Използване на помощната програма за управление на BIND сървър rndc, ще можем да презаредим DNS конфигурацията, без да се налага да я рестартираме с командата rndc презареждане. Много полезно, когато правим промени във файловете на локалните зони.
В Debian файловете на Local Zones може да се намира и в / var / lib / bind; докато в други дистрибуции като Red Hat и CentOS те обикновено се намират в / var / lib / име или други директории в зависимост от степента на внедрена сигурност.
Избираме директорията / var / cache / bind това е предложеното по подразбиране Debian във файла named.conf.options. Можем да използваме всяка друга директория, стига да кажем на свързване9 къде да търсим файловете на зоните, или ние ви даваме абсолютния път на всяка от тях във файла named.conf.local. Много е здравословно да използваме директориите, препоръчани от дистрибуцията, която използваме.
Извън обхвата на тази статия се обсъжда допълнителната сигурност, свързана със създаването на клетка или Chroot за BIND. Такъв е и въпросът за сигурността чрез контекста на SELinux. Тези, които трябва да внедрят такива функции, трябва да се обърнат към ръководства или специализирана литература. Не забравяйте, че пакетът с документация bind9-doc е инсталиран в директорията / usr / share / doc / bind9-doc.
Ами господа, засега 2-ра част. Не искаме да разширяваме нито една статия поради добрите препоръки на нашия началник. Накрая! ще влезем в несъвършенството на BIND Setup and Testing ... в следващата глава.
поздравления много добра статия!
Благодаря ви много ..
Това е по-малко важно от съображения за сигурност: Не оставяйте dns отворен (отворен разделител)
Референции:
1) http://www.google.com/search?hl=en&q=spamhaus+ataque
2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
Цитирам:
«... Например проектът за открит DNS Resolver (openresolverproject.org), усилията на група експерти по сигурността да поправят това, изчислява, че в момента има 27 милиона„ Open Recursive Resolvers “и 25 милиона от тях са значителна заплаха ., латентен, чакащ да отприщи яростта си отново срещу нова цел .. »
поздрави
Много добре е да накарате хората да се възползват от такава важна услуга днес като DNS.
Това, което правя, ако мога да посоча едно нещо, е вашият съжаляващ превод на „спедитори“, който изглежда е изваден от google translate. Правилният превод е „Препращащи сървъри“ или „Препращачи“.
Всичко останало, страхотно.
поздрави
Проблем със семантика. Ако препратите заявка до друг, за да получите отговор, не пренасочвате заявка към друго ниво Вярвах, че най-доброто лечение на кубински испански е Adelantadores, защото имах предвид Pass или Advance въпрос, на който аз (местният DNS) не можах да отговоря. Просто. За мен би било по-лесно да напиша статията на английски. Винаги обаче изяснявам относно Моите преводи. Благодарим ви за навременния коментар.
Лукс;)!
Поздрави!
А за OpenSUSE?
CREO работи за всякакви дистрибуции. Мисля, че местоположението на файла в зоните варира не?
Благодаря на всички за коментара .. и с радост приемам вашите предложения .. 😉