Den nye stabile afdeling af DNS BIND 9.18 er blevet frigivet

Efter to års udvikling, ISC udgav den første stabile version af en ny hovedgren af ​​serveren DNS BIND 9.18 som vil blive understøttet i tre år frem til andet kvartal af 2025 som en del af en udvidet vedligeholdelsescyklus.

Support til 9.11-grenen ophører i marts og 9.16-grenen i midten af ​​2023. En eksperimentel gren af ​​BIND 9.19.0 er blevet dannet for at udvikle funktionalitet til den næste stabile version af BIND.

Lanceringen af BIND 9.18.0 skiller sig ud for implementering af understøttelse af DNS-teknologier over HTTPS (DoH, DNS over HTTPS) og DNS over TLS (DoT, DNS over TLS), samt XoT-mekanismen (XFR-over-TLS til sikker transmission af DNS-indhold over TLS-zoner mellem servere (sende- og modtagezoner understøttes via XoT).

Med korrekt konfiguration kan en enkelt navngivet proces nu tjene ikke kun traditionelle DNS-forespørgsler, men også forespørgsler sendt ved hjælp af DNS over HTTPS og DNS over TLS. Understøttelse af DNS over TLS-klienten er indbygget i dig-værktøjet, som kan bruges til at sende forespørgsler over TLS, når "+tls"-flaget er angivet.

Blandt de funktioner i DoH-implementeringen i BIND, fremhæver mulighed for at overføre krypteringsoperationer for TLS til en anden server, hvilket kan være nødvendigt under forhold, hvor TLS-certifikater er lagret i et andet system (f.eks. i en infrastruktur med webservere) og serviceres af andet personale. Understøttelse af ukrypteret DNS over HTTP er implementeret for at forenkle debugging og som et lag til videresendelse til en anden server på det interne netværk (for at flytte kryptering til en separat server). På en fjernserver kan nginx bruges til at generere TLS-trafik, svarende til hvordan HTTPS-binding er arrangeret for websteder.

Vigtigste nyheder i DNS BIND 9.18

I denne nye version, der præsenteres, kan vi finde det indstillinger blev tilføjet tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer og udp-send-buffer at indstille de bufferstørrelser, der bruges ved afsendelse og modtagelse af anmodninger over TCP og UDP. På travle servere, øgede indgående buffere vil forhindre pakkefald på tidspunktet for trafikstigninger og at reducere dem vil hjælpe med at eliminere tilstopning af hukommelsen med gamle anmodninger.

En anden ændring, der skiller sig ud, er den tilføjet en ny kategori af logfiler "rpz-passthru", der tillader separat registrering af videresendelseshandlinger af RPZ (Response Policy Zones), foruden tilføjet "nsdname-wait-recurse" mulighed til svarpolitiksektionen, når den er sat til "nej", anvendes RPZ NSDNAME-regler kun, hvis autoritative navneservere er til stede i cachen for anmodningen; ellers ignoreres RPZ NSDNAME-reglen, men oplysningerne hentes i baggrunden og anvendes på efterfølgende anmodninger.

For at løse problemer med IP-fragmentering ved håndtering af store DNS-meddelelser, identificeret af DNS Flag Day 2020-initiativet, koden, der justerer størrelsen på EDNS-bufferen i tilfælde af at en forespørgsel ikke besvares, blev den fjernet fra resolveren. EDNS bufferstørrelse er nu sat konstant (edns-udp-størrelse) for alle udgående anmodninger.

Udover det fjernet understøttelse af zonefiler i "kort"-format (kort i masterfilformat). Brugere af dette format anbefales at konvertere zonerne til råformat ved hjælp af værktøjet named-compilezone.

Af andre ændringer, der skiller sig ud:

  • For poster med typerne HTTPS og SVCB implementeres behandling af afsnittet "YDERLIGERE".
  • Tilføjet tilpassede opdateringspolitiktyper (krb5-subdomain-self-rhs og ms-subdomain-self-rhs) for at begrænse opdateringer til SRV- og PTR-poster. I opdateringspolitikblokkene er muligheden for at sætte grænser for antallet af poster, separat for hver type, også tilføjet.
  • Tilføjede oplysninger om transportprotokol (UDP, TCP, TLS, HTTPS) og DNS64-præfikser til outputtet af dig-værktøjet.
  • Tilføjet understøttelse af OpenSSL 3.0-biblioteket.
  • Byggesystemet er blevet ændret til at bruge autoconf, automake og libtool.
  • Fjernet understøttelse af tidligere DLZ (dynamisk loadable zones) controllere og erstattet med DLZ-moduler.
  • Fjernet build and run support til Windows platformen. Den seneste gren, der kan installeres på Windows, er BIND 9.16.

Endelig Hvis du er interesseret i at vide mere om det, du kan kontrollere detaljerne i følgende link.


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort.

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.