Pokračujeme v naší sérii článků a v tomto se budeme zabývat následujícími aspekty:
- Instalace
- Adresáře a hlavní soubory
Než budete pokračovat, doporučujeme vám nepřestat číst:
Instalace
V konzole a jako uživatel kořen nainstalovali jsme svázat9:
aptitude install bind9
Musíme také nainstalovat balíček dnsutil který má potřebné nástroje k provádění DNS dotazů a diagnostice operace:
aptitude nainstalovat dnsutils
Pokud si chcete přečíst dokumentaci, která je dodávána v úložišti:
aptitude install bind9-doc
Dokumentace bude uložena v adresáři / usr / share / doc / bind9-doc / arm a indexový soubor nebo obsah je bv9ARM.html. Chcete-li jej spustit, spusťte:
firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html
Když instalujeme svázat9 na Debianu, stejně tak balíček bind9utils který nám poskytuje několik velmi užitečných nástrojů pro udržení funkční instalace BIND. Mezi nimi najdeme rndc, named-checkconf a named-checkzone. Navíc balíček dnsutil poskytuje celou řadu klientských programů BIND, včetně kopat a nslookup. Všechny tyto nástroje nebo příkazy použijeme v následujících článcích.
Abychom poznali všechny programy každého balíčku, musíme je spustit jako uživatel kořen:
dpkg -L bind9utils dpkg -L dnsutils
Nebo jděte na Synaptic, vyhledejte balíček a podívejte se, které soubory jsou nainstalovány. Zejména ty, které jsou nainstalovány ve složkách / usr / bin o / usr / sbin.
Pokud se chceme dozvědět více o tom, jak používat jednotlivé nainstalované nástroje nebo programy, musíme provést:
muž
Adresáře a hlavní soubory
Když nainstalujeme Debian, soubor se vytvoří / Etc / resolv.conf. Tento soubor nebo „Konfigurační soubor služby resolveru", Obsahuje několik možností, kterými jsou ve výchozím nastavení název domény a adresa IP serveru DNS deklarovaná během instalace. Jelikož obsah nápovědy souboru je ve španělštině a je velmi přehledný, doporučujeme jej přečíst pomocí příkazu muž resolv.conf.
Po instalaci svázat9 V Squeeze jsou vytvořeny alespoň následující adresáře:
/ etc / bind / var / cache / bind / var / lib / bind
V adresáři / etc / bind najdeme mimo jiné následující konfigurační soubory:
named.conf named.conf.options named.conf.default-zones named.conf.local rndc.key
V adresáři / var / cache / bind vytvoříme soubory Místní oblasti kterými se budeme zabývat později. Ze zvědavosti spusťte v konzole jako uživatel následující příkazy kořen:
ls -l / etc / bind ls -l / var / cache / bind
Poslední adresář samozřejmě nebude nic obsahovat, protože jsme ještě nevytvořili místní zónu.
Rozdělení nastavení BIND na více souborů se provádí pro pohodlí a přehlednost. Každý soubor má specifickou funkci, jak uvidíme níže:
pojmenovaný.konf: Hlavní konfigurační soubor. Zahrnuje souborynamed.conf.options, pojmenované.konf.místní y named.conf.default-zones.
named.conf.options: Obecné možnosti služby DNS. Směrnice: adresář "/ var / cache / bind" řekne bind9, kde má hledat soubory vytvořených místních zón. Také zde deklarujeme servery „Dopravci„Nebo v přibližném překladu„ Advances “až do maximálního počtu 3, což není nic jiného než externí servery DNS, které můžeme konzultovat z naší sítě (samozřejmě prostřednictvím brány firewall), které budou reagovat na dotazy nebo požadavky, které náš DNS místní není schopen odpovědět.
Například pokud konfigurujeme DNS pro LAN192.168.10.0/24a chceme, aby jeden z našich předávajících serverů byl UCI Name Server, musíme deklarovat direktivní předávající servery {200.55.140.178; }; IP adresa odpovídající serveru ns1.uci.cu.
Tímto způsobem můžeme konzultovat náš místní server DNS, což je IP adresa hostitele yahoo.es (což zjevně není v naší síti LAN), protože náš DNS se zeptá UCI, jestli ví, která je IP adresa yahoo.es , a pak nám to dá uspokojivý výsledek nebo ne. Také a v samotném souboru pojmenovaná.konf.volba Deklarujeme další důležité aspekty konfigurace, jak uvidíme později.
named.conf.default-zones: Jak název napovídá, jedná se o výchozí zóny. Zde je nakonfigurován název souboru, který obsahuje informace o kořenových serverech nebo kořenových serverech potřebných ke spuštění mezipaměti DNS, konkrétněji o souborudb.root. BIND je také instruován, aby měl plnou autoritu (být autoritářskou) v rozlišení jmen pro localhost, jak v přímých, tak v obrácených dotazech, a stejné pro oblasti „Broadcast“.
pojmenované.konf.místní: Soubor, kde deklarujeme místní konfiguraci našeho serveru DNS jménem každého z nich Místní oblasti, a které budou soubory DNS záznamů, které budou mapovat názvy počítačů připojených k naší LAN s jejich IP adresou a naopak.
rndc. klíč: Generovaný soubor obsahující klíč k ovládání BIND. Pomocí obslužného programu serveru BIND rndc, budeme moci znovu načíst konfiguraci DNS, aniž bychom ji museli restartovat pomocí příkazu znovu načíst rndc. Velmi užitečné, když provádíme změny v souborech místních zón.
V Debianu soubory Místní zóny lze také najít v / var / lib / svázat; zatímco v jiných distribucích, jako je Red Hat a CentOS, jsou obvykle umístěny v / var / lib / pojmenovaný nebo jiné adresáře v závislosti na implementovaném stupni zabezpečení.
Vybereme adresář / var / cache / bind je to ten, který ve výchozím nastavení navrhuje Debian v souboru named.conf.options. Můžeme použít jakýkoli jiný adresář, pokud to řekneme svázat9 kde hledat soubory zón, nebo dáme absolutní cestu každé z nich v souboru pojmenované.konf.místní. Je velmi zdravé používat adresáře doporučené distribucí, kterou používáme.
Je nad rámec tohoto článku diskutovat o dalším zabezpečení při vytváření Cage nebo Chroot pro BIND. Stejně tak i otázka bezpečnosti v kontextu SELinuxu. Ti, kteří potřebují implementovat tyto funkce, by se měli obrátit na příručky nebo odbornou literaturu. Nezapomeňte, že dokumentační balíček bind9-doc je nainstalován v adresáři / usr / share / doc / bind9-doc.
No, pane, zatím 2. část. Nechceme se věnovat jednomu článku kvůli dobrým doporučením našeho šéfa. Konečně! dostaneme se do hlouposti BIND Setup and Testing ... v následující kapitole.
gratuluji velmi dobrý článek!
Děkuji moc ..
To je z bezpečnostních důvodů méně důležité: Nenechávejte otevřený dns (otevřený překladač)
reference:
1) http://www.google.com/search?hl=en&q=spamhaus+ataque
2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
Cituji:
«... Například Open DNS Resolver Project (openresolverproject.org), snaha skupiny bezpečnostních odborníků to napravit, odhaduje, že v současné době existuje 27 milionů„ otevřených rekurzivních řešení “a 25 milionů z nich je významná hrozba. latentní, čekající na opětovné rozpoutání zuřivosti proti novému cíli .. »
pozdravy
Velmi dobré dnes dostat lidi do tak důležité služby, jako je DNS.
To, co dělám, pokud mohu na něco poukázat, je váš žalostný překlad „dopravců“, který vypadá, jako by byl stažen z google translate. Správný překlad je „Forwarding Servers“ nebo „Forwarders“.
Všechno ostatní, skvělé.
pozdravy
Problém sémantiky. Pokud předáte požadavek jinému za účelem získání odpovědi, nepostoupíte požadavek na jinou úroveň. Věřil jsem, že nejlepší léčba v kubánské španělštině byla Adelantadores, protože jsem měl na mysli Pass nebo Advance otázku, na kterou jsem (místní DNS) nemohl odpovědět. Jednoduchý. Bylo by pro mě snazší napsat článek v angličtině. O mých překladech však vždy vyjasňuji. Děkujeme za váš včasný komentář.
Luxus;)!
Zdravím!
A pro OpenSUSE?
CREO funguje pro jakoukoli distribuci. Myslím, že umístění souborů v zónách se liší. Ne?
Děkuji všem za komentář .. a rád přijímám vaše návrhy .. 😉