Vi fortsætter med vores artikelserie og i denne behandler vi følgende aspekter:
- Installation
- Kataloger og hovedfiler
Før du fortsætter, anbefaler vi, at du ikke holder op med at læse:
Installation
I en konsol og som bruger rod vi installerer bind9:
egnethed installere bind9
Vi skal også installere pakken dnsutils som har de nødvendige værktøjer til at foretage DNS-forespørgsler og diagnosticere operationen:
aptitude installere dnsutils
Hvis du vil se den dokumentation, der kommer i arkivet:
aptitude installere bind9-doc
Dokumentationen gemmes i telefonbogen / usr / del / doc / bind9-doc / arm og indeksfilen eller indholdsfortegnelsen er bv9ARM.html. For at åbne det køres:
firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html
Når vi installerer bind9 på Debian, det gør også pakken bind9utils som giver os flere meget nyttige værktøjer til at opretholde en fungerende installation af en BIND. Blandt dem finder vi rndc, named-checkconf og named-checkzone. Desuden pakken dnsutils leverer en hel række BIND-klientprogrammer, inklusive grave og nslookup. Vi bruger alle disse værktøjer eller kommandoer i de følgende artikler.
For at kende alle programmerne i hver pakke skal vi udføre som bruger rod:
dpkg -L bind9utils dpkg -L dnsutils
Eller gå til Synaptic, kig efter pakken, og se hvilke filer der er installeret. Især dem, der er installeret i mapper / Usr / bin o / usr / sbin.
Hvis vi vil vide mere om, hvordan vi bruger hvert installeret værktøj eller program, skal vi udføre:
mand
Kataloger og hovedfiler
Når vi installerer Debian, oprettes filen / Etc / resolv.conf. Denne fil eller "Resolver-tjenestekonfigurationsfil", Indeholder flere indstillinger, der som standard er domænenavnet og IP-adressen på den DNS-server, der er erklæret under installationen. Da indholdet af filens hjælp er på spansk og er meget klart, anbefaler vi at læse det ved hjælp af kommandoen mand resolv.conf.
Efter installation af bind9 I Squeeze oprettes mindst følgende mapper:
/ etc / bind / var / cache / bind / var / lib / bind
I adressebogen / etc / bind vi finder blandt andet følgende konfigurationsfiler:
named.conf named.conf.options named.conf.default-zones named.conf.local rndc.key
I adressebogen / var / cache / bind vi opretter filerne til Lokale områder som vi vil behandle senere. Af nysgerrighed skal du køre følgende kommandoer i en konsol som bruger rod:
ls -l / etc / bind ls -l / var / cache / bind
Naturligvis vil den sidste mappe ikke indeholde noget, da vi endnu ikke har oprettet en lokal zone.
Opdeling af BIND-indstillingerne i flere filer sker for nemheds skyld og klarhed. Hver fil har en bestemt funktion, som vi vil se nedenfor:
opkaldt.konf: Hovedkonfigurationsfil. Det inkluderer filernenamed.conf.options, navngivet.conf.local y named.conf.default-zoner.
named.conf.options: Generelle DNS-servicemuligheder. Direktiv: bibliotek "/ var / cache / bind" det fortæller bind9, hvor man skal kigge efter filerne i de oprettede lokale zoner. Vi erklærer også her serverne “Udkørselsmaskine"Eller i en omtrentlig oversættelse" fremskridt "op til et maksimalt antal på 3, som ikke er andet end eksterne DNS-servere, som vi kan konsultere fra vores netværk (gennem en firewall selvfølgelig), der vil svare på spørgsmålene eller anmodningerne om, at vores DNS lokal er ikke i stand til at svare.
For eksempel, hvis vi konfigurerer en DNS til LAN192.168.10.0/24, og vi ønsker, at en af vores speditører skal være en UCI-navneserver, vi skal erklære videresenderne til direktivet {200.55.140.178; }; IP-adresse svarende til serveren ns1.uci.cu.
På denne måde vil vi være i stand til at konsultere vores lokale DNS-server, som er IP-adressen til yahoo.es-værten (som naturligvis ikke findes i vores LAN), da vores DNS spørger UCI, om den ved, hvilken IP-adresse der er til yahoo.es, og så vil det give os et tilfredsstillende resultat eller ej. Også og i selve filen opkaldt.conf.option Vi vil erklære andre vigtige aspekter af konfigurationen, som vi vil se senere.
named.conf.default-zoner: Som navnet antyder, er de standardzoner. Her konfigurerer du BIND navnet på den fil, der indeholder oplysningerne om rodserverne eller rodserverne, der er nødvendige for at starte DNS-cachen, mere specifikt filendb.rod. BIND instrueres også om at have fuld autoritet (til at være autoritær) i opløsningen af navne til localhost, både i direkte og omvendte forespørgsler, og det samme for “Broadcast” -områderne.
navngivet.conf.local: Fil, hvor vi erklærer den lokale konfiguration af vores DNS-server med navnet på hver af Lokale områder, og hvilke vil være DNS-registreringsfiler, der kortlægger navnene på de computere, der er tilsluttet vores LAN med deres IP-adresse og omvendt.
rndc.nøgle: Genereret fil indeholdende nøglen til styring af BIND. Brug af BIND-serverstyringsværktøjet rndc, vil vi være i stand til at genindlæse DNS-konfigurationen uden at skulle genstarte den med kommandoen rndc genindlæses. Meget nyttigt, når vi foretager ændringer i filerne i de lokale zoner.
I Debian de lokale zoner-filer kan også findes i / var / lib / bind; mens de i andre distributioner som Red Hat og CentOS normalt er placeret i / var / lib / navngivet eller andre biblioteker afhængigt af graden af implementeret sikkerhed.
Vi vælger biblioteket / var / cache / bind det er den, der foreslås som standard Debian i filen named.conf.options. Vi kan bruge ethvert andet bibliotek, så længe vi fortæller det bind9 hvor man skal kigge efter filerne i zoner, eller vi giver den absolutte sti for hver enkelt af dem i filen navngivet.conf.local. Det er meget sundt at bruge de mapper, der anbefales af den distribution, vi bruger.
Det er uden for denne artikels rækkevidde at diskutere den ekstra sikkerhed, der er involveret i oprettelsen af et bur eller en rod til BIND. Så er spørgsmålet om sikkerhed gennem SELinux-sammenhængen. De, der har brug for at implementere sådanne funktioner, skal henvende sig til manualer eller speciallitteratur. Husk, at dokumentationspakken bind9-dok er installeret i telefonbogen / usr / del / doc / bind9-doc.
Nå mine herrer, indtil videre 2. del. Vi ønsker ikke at dvæle ved en enkelt artikel på grund af vores chefs gode anbefalinger. Endelig! vi kommer ind i det nitty-gritty af BIND Setup og Testing ... i næste kapitel.
tillykke meget god artikel!
Mange tak.
Dette er mindre vigtigt af sikkerhedsmæssige årsager: Lad ikke en dns være åben (åben resolver)
referencer:
1) http://www.google.com/search?hl=en&q=spamhaus+ataque
2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
Jeg citerer:
«… For eksempel anslår Open DNS Resolver Project (openresolverproject.org), en gruppe sikkerhedseksperter til at løse dette, at der i øjeblikket er 27 millioner" Open Recursive Resolvers ", og 25 millioner af dem er en betydelig trussel ., latent, venter på at frigøre sin vrede igen mod et nyt mål .. »
hilsen
Meget godt at få folk til en så vigtig tjeneste i dag som DNS.
Hvad jeg gør, hvis jeg kan påpege noget, er din kedelige oversættelse af "speditører", der ser ud som om den blev hentet fra google translate. Den korrekte oversættelse er "Videresend servere" eller "Videresendere."
Alt andet, fantastisk.
hilsen
Semantik problem. Hvis du videresender en anmodning til en anden for at få et svar, fremfører du ikke en anmodning til et andet niveau. Jeg troede, at den bedste behandling på cubansk spansk var Adelantadores, fordi jeg henviste til Pass eller Advance et spørgsmål, som jeg (den lokale DNS) ikke kunne besvare. Enkel. Det ville have været lettere for mig at skrive artiklen på engelsk. Imidlertid præciserer jeg altid mine oversættelser. Tak for din rettidige kommentar.
Luksus;)!
Greetings!
Og til OpenSUSE?
CREO fungerer for enhver distro. Placering af zoner varierer, tror jeg. ingen?
Tak alle sammen for at kommentere .. og jeg accepterer gerne dine forslag .. 😉