Primarni glavni DNS za LAN na Debianu 6.0 (II)

Nastavljamo sa našom serijom članaka i u ovom ćemo se baviti sljedećim aspektima:

  • Instalacija
  • Direktorijumi i glavne datoteke

Prije nastavka, preporučujemo da ne prestajete čitati:

Instalacija

U konzoli i kao korisnik korijen instaliramo bind9:

aptitude install bind9

Moramo i instalirati paket dnsutils koja ima potrebne alate za postavljanje DNS upita i dijagnosticiranje operacije:

aptitude install dnsutils

Ako želite pregledati dokumentaciju koja dolazi u spremištu:

aptitude instalacija bind9-doc

Dokumentacija će biti pohranjena u direktoriju / usr / share / doc / bind9-doc / arm a indeksna datoteka ili Sadržaj je Bv9ARM.html. Da biste ga otvorili, pokrenite:

firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html

Kada instaliramo bind9 na Debianu, pa tako i paket bind9utils koji nam pruža nekoliko vrlo korisnih alata za održavanje radne instalacije BIND-a. Među njima ćemo naći rndc, named-checkconf i named-checkzone. Štaviše, paket dnsutils pruža čitav niz BIND klijentskih programa, uključujući i dig y el nslookup. Sve ove alate ili naredbe koristit ćemo u sljedećim člancima.

Da bismo znali sve programe svakog paketa, moramo ih pokrenuti kao korisnik korijen:

dpkg -L bind9utils dpkg -L dnsutils

Ili idite na Synaptic, potražite paket i pogledajte koje su datoteke instalirane. Pogotovo oni koji se instaliraju u mape / usr / bin o / usr / sbin.

Ako želimo znati više o tome kako koristiti svaki instalirani alat ili program, moramo izvršiti:

čoveče

Direktorijumi i glavne datoteke

Kada instaliramo Debian, datoteka se kreira /etc/resolv.conf. Ova datoteka ili "Datoteka za konfiguraciju usluge razrješavanja", Sadrži nekoliko opcija koje su po defaultu ime domene i IP adresa DNS poslužitelja deklarirane tijekom instalacije. Kako je sadržaj pomoći za datoteku na španskom jeziku i vrlo je jasan, preporučujemo da je pročitate pomoću naredbe čovjek razr.konf.

Nakon instaliranja bind9 U Squeeze se kreiraju barem sljedeći direktoriji:

/ etc / bind / var / cache / bind / var / lib / bind

U adresaru / etc / bind nalazimo, između ostalih, sljedeće konfiguracijske datoteke:

named.conf named.conf.options named.conf.default-zone named.conf.local rndc.key

U adresaru / var / cache / bind mi ćemo stvoriti datoteke Lokalna područja čime ćemo se pozabaviti kasnije. Iz znatiželje pokrenite sljedeće naredbe u konzoli kao korisnik korijen:

ls -l / etc / bind ls -l / var / cache / bind

Naravno, zadnji direktorij neće sadržavati ništa, jer još nismo stvorili lokalnu zonu.

Podjela postavki BIND u više datoteka vrši se radi praktičnosti i preglednosti. Svaka datoteka ima određenu funkciju kao što ćemo vidjeti dolje:

named.conf: Glavna konfiguraciona datoteka. Sadrži datotekenamed.conf.optionsnamed.conf.local y named.conf.default-zone.

named.conf.options: Općenite opcije DNS usluge. Direktiva: direktorij "/ var / cache / bind" reći će bind9-u gdje potražiti datoteke stvorenih lokalnih zona. Ovdje takođe izjavljujemo servere “Transporteri"Ili u približnom prijevodu" Napredak "do maksimalnog broja 3, koji nisu ništa drugo do vanjski DNS poslužitelji koje možemo konsultovati iz naše mreže (naravno kroz zaštitni zid) koji će odgovoriti na pitanja ili zahtjeve koje naš DNS lokalno stanovništvo nije u mogućnosti odgovoriti.

Na primjer, ako konfiguriramo DNS za LAN192.168.10.0 / 24i želimo da jedan od naših prosljeđivača bude UCI poslužitelj imena, moramo proglasiti prosljeđivače direktiva {200.55.140.178; }; IP adresa koja odgovara serveru ns1.uci.cu.

Na ovaj način možemo konsultovati naš lokalni DNS poslužitelj koji je IP adresa yahoo.es hosta (što očito nije na našem LAN-u), jer će naš DNS pitati UCI da li zna koja je IP adresa yahoo.es, a onda će nam dati zadovoljavajući rezultat ili ne. Takođe i u samoj datoteci named.conf.option Izjavićemo druge važne aspekte konfiguracije kao što ćemo vidjeti kasnije.

named.conf.default-zone: Kao što naziv govori, to su zadane zone. Ovdje je konfigurirano ime datoteke koja sadrži informacije o korijenskim poslužiteljima ili korijenskim serverima potrebnim za pokretanje DNS predmemorije, tačnije datotekadb.root. BIND-u je takođe naloženo da ima puno ovlaštenje (da bude autoritarno) u rješavanju imena za localhost, kako u direktnom tako i obrnutom upitu, a isto za područja „emitiranja“.

named.conf.local: Datoteka u kojoj deklariramo lokalnu konfiguraciju našeg DNS servera imenom svakog od Lokalna područja, a to će biti DNS datoteke zapisa koje će mapirati imena računara povezanih na naš LAN sa njihovom IP adresom i obrnuto.

rndc.key: Generirana datoteka koja sadrži ključ za kontrolu BIND-a. Korištenje uslužnog programa za kontrolu BIND servera rndc, moći ćemo ponovo učitati DNS konfiguraciju bez ponovnog pokretanja pomoću naredbe rndc reload. Vrlo korisno kada vršimo promjene u datotekama lokalnih zona.

U Debianu datoteke Lokalne zone može se nalaziti i u / var / lib / bind; dok se u drugim distribucijama poput Red Hat-a i CentOS-a obično nalaze u  / var / lib / named ili druge direktorije, ovisno o stupnju implementirane sigurnosti.

Biramo direktorij / var / cache / bind to je onaj koji je zadani Debian u datoteci named.conf.options. Možemo koristiti bilo koji drugi direktorij sve dok to kažemo bind9 gdje tražiti datoteke zona ili dajemo apsolutni put svake od njih u datoteci named.conf.local. Vrlo je zdravo koristiti direktorije preporučene od distribucije koju koristimo.

Preko okvira ovog članka raspravlja se o dodatnoj sigurnosti koja je uključena u stvaranje kaveza ili chroota za BIND. Tako je i pitanje sigurnosti kroz SELinux kontekst. Oni koji trebaju primijeniti takve značajke trebaju se obratiti priručnicima ili specijaliziranoj literaturi. Zapamtite taj paket dokumentacije bind9-doc je instaliran u direktoriju / usr / share / doc / bind9-doc.

Pa gospodo, zasad drugi dio. Ne želimo se zadržavati ni na jednom članku zbog dobrih preporuka našeg šefa. Napokon! ući ćemo u sitne detalje postavljanja i testiranja BIND-a ... u sljedećem poglavlju.


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

9 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Carlos Andres rekao je

    čestitam vrlo dobar članak!

    1.    phico rekao je

      Puno vam hvala.

  2.   Harry rekao je

    Ovo je manje važno iz sigurnosnih razloga: Ne ostavljajte dns otvorenim (otvoren razrješivač)

    Reference:
    1) http://www.google.com/search?hl=en&q=spamhaus+ataque
    2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
    Citiram:
    «... Na primjer, Open DNS Resolver Project (openresolverproject.org), napor grupe sigurnosnih stručnjaka da to popravi, procjenjuje da trenutno postoji 27 miliona" otvorenih rekurzivnih rešavača ", a njih 25 miliona predstavlja značajnu prijetnju. , latentan, čekajući da ponovo oslobodi svoj bes protiv nove mete .. »
    Saludos

  3.   eVeR rekao je

    Jako je dobro danas ljude uvesti u tako važnu uslugu kao što je DNS.
    Ono što radim, ako mogu nešto istaknuti, je vaš žalosni prijevod "špeditera", koji izgleda kao da je izvučen iz google translatea. Tačan prijevod je "Prosljeđujući serveri" ili "Prosljeđivači".
    Sve ostalo, super.
    Saludos

    1.    federico rekao je

      Problem semantike. Ako proslijedite zahtjev drugom za dobivanje odgovora, ne prebacujete zahtjev na drugi nivo. Smatrao sam da je najbolji tretman na kubanskom španskom jeziku Adelantadores, jer sam mislio na Pass ili Advance pitanje na koje ja (lokalni DNS) nisam mogao odgovoriti. Jednostavno. Bilo bi mi lakše da članak napišem na engleskom. Međutim, uvijek pojasnim u vezi sa svojim prijevodima. Hvala vam na pravovremenom komentaru.

  4.   st0rmt4il rekao je

    Luksuz;)!

    Pozdrav!

  5.   jecale47 rekao je

    A za OpenSUSE?

    1.    federico rekao je

      CREO radi za bilo koji distro. Mislim da se lokacija datoteke zona razlikuje. ne?

  6.   phico rekao je

    Hvala svima na komentaru .. i rado prihvaćam vaše prijedloge .. 😉