Primær Master DNS til et LAN på Debian 6.0 (II)

Vi fortsætter med vores artikelserie og i denne behandler vi følgende aspekter:

  • Installation
  • Kataloger og hovedfiler

Før du fortsætter, anbefaler vi, at du ikke holder op med at læse:

Installation

I en konsol og som bruger rod vi installerer bind9:

egnethed installere bind9

Vi skal også installere pakken dnsutils som har de nødvendige værktøjer til at foretage DNS-forespørgsler og diagnosticere operationen:

aptitude installere dnsutils

Hvis du vil se den dokumentation, der kommer i arkivet:

aptitude installere bind9-doc

Dokumentationen gemmes i telefonbogen / usr / del / doc / bind9-doc / arm og indeksfilen eller indholdsfortegnelsen er bv9ARM.html. For at åbne det køres:

firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html

Når vi installerer bind9 på Debian, det gør også pakken bind9utils som giver os flere meget nyttige værktøjer til at opretholde en fungerende installation af en BIND. Blandt dem finder vi rndc, named-checkconf og named-checkzone. Desuden pakken dnsutils leverer en hel række BIND-klientprogrammer, inklusive grave og nslookup. Vi bruger alle disse værktøjer eller kommandoer i de følgende artikler.

For at kende alle programmerne i hver pakke skal vi udføre som bruger rod:

dpkg -L bind9utils dpkg -L dnsutils

Eller gå til Synaptic, kig efter pakken, og se hvilke filer der er installeret. Især dem, der er installeret i mapper / Usr / bin o / usr / sbin.

Hvis vi vil vide mere om, hvordan vi bruger hvert installeret værktøj eller program, skal vi udføre:

mand

Kataloger og hovedfiler

Når vi installerer Debian, oprettes filen / Etc / resolv.conf. Denne fil eller "Resolver-tjenestekonfigurationsfil", Indeholder flere indstillinger, der som standard er domænenavnet og IP-adressen på den DNS-server, der er erklæret under installationen. Da indholdet af filens hjælp er på spansk og er meget klart, anbefaler vi at læse det ved hjælp af kommandoen mand resolv.conf.

Efter installation af bind9 I Squeeze oprettes mindst følgende mapper:

/ etc / bind / var / cache / bind / var / lib / bind

I adressebogen / etc / bind vi finder blandt andet følgende konfigurationsfiler:

named.conf named.conf.options named.conf.default-zones named.conf.local rndc.key

I adressebogen / var / cache / bind vi opretter filerne til Lokale områder som vi vil behandle senere. Af nysgerrighed skal du køre følgende kommandoer i en konsol som bruger rod:

ls -l / etc / bind ls -l / var / cache / bind

Naturligvis vil den sidste mappe ikke indeholde noget, da vi endnu ikke har oprettet en lokal zone.

Opdeling af BIND-indstillingerne i flere filer sker for nemheds skyld og klarhed. Hver fil har en bestemt funktion, som vi vil se nedenfor:

opkaldt.konf: Hovedkonfigurationsfil. Det inkluderer filernenamed.conf.optionsnavngivet.conf.local y named.conf.default-zoner.

named.conf.options: Generelle DNS-servicemuligheder. Direktiv: bibliotek "/ var / cache / bind" det fortæller bind9, hvor man skal kigge efter filerne i de oprettede lokale zoner. Vi erklærer også her serverne “Udkørselsmaskine"Eller i en omtrentlig oversættelse" fremskridt "op til et maksimalt antal på 3, som ikke er andet end eksterne DNS-servere, som vi kan konsultere fra vores netværk (gennem en firewall selvfølgelig), der vil svare på spørgsmålene eller anmodningerne om, at vores DNS lokal er ikke i stand til at svare.

For eksempel, hvis vi konfigurerer en DNS til LAN192.168.10.0/24, og vi ønsker, at en af ​​vores speditører skal være en UCI-navneserver, vi skal erklære videresenderne til direktivet {200.55.140.178; }; IP-adresse svarende til serveren ns1.uci.cu.

På denne måde vil vi være i stand til at konsultere vores lokale DNS-server, som er IP-adressen til yahoo.es-værten (som naturligvis ikke findes i vores LAN), da vores DNS spørger UCI, om den ved, hvilken IP-adresse der er til yahoo.es, og så vil det give os et tilfredsstillende resultat eller ej. Også og i selve filen opkaldt.conf.option Vi vil erklære andre vigtige aspekter af konfigurationen, som vi vil se senere.

named.conf.default-zoner: Som navnet antyder, er de standardzoner. Her konfigurerer du BIND navnet på den fil, der indeholder oplysningerne om rodserverne eller rodserverne, der er nødvendige for at starte DNS-cachen, mere specifikt filendb.rod. BIND instrueres også om at have fuld autoritet (til at være autoritær) i opløsningen af ​​navne til localhost, både i direkte og omvendte forespørgsler, og det samme for “Broadcast” -områderne.

navngivet.conf.local: Fil, hvor vi erklærer den lokale konfiguration af vores DNS-server med navnet på hver af Lokale områder, og hvilke vil være DNS-registreringsfiler, der kortlægger navnene på de computere, der er tilsluttet vores LAN med deres IP-adresse og omvendt.

rndc.nøgle: Genereret fil indeholdende nøglen til styring af BIND. Brug af BIND-serverstyringsværktøjet rndc, vil vi være i stand til at genindlæse DNS-konfigurationen uden at skulle genstarte den med kommandoen rndc genindlæses. Meget nyttigt, når vi foretager ændringer i filerne i de lokale zoner.

I Debian de lokale zoner-filer kan også findes i / var / lib / bind; mens de i andre distributioner som Red Hat og CentOS normalt er placeret i  / var / lib / navngivet eller andre biblioteker afhængigt af graden af ​​implementeret sikkerhed.

Vi vælger biblioteket / var / cache / bind det er den, der foreslås som standard Debian i filen named.conf.options. Vi kan bruge ethvert andet bibliotek, så længe vi fortæller det bind9 hvor man skal kigge efter filerne i zoner, eller vi giver den absolutte sti for hver enkelt af dem i filen navngivet.conf.local. Det er meget sundt at bruge de mapper, der anbefales af den distribution, vi bruger.

Det er uden for denne artikels rækkevidde at diskutere den ekstra sikkerhed, der er involveret i oprettelsen af ​​et bur eller en rod til BIND. Så er spørgsmålet om sikkerhed gennem SELinux-sammenhængen. De, der har brug for at implementere sådanne funktioner, skal henvende sig til manualer eller speciallitteratur. Husk, at dokumentationspakken bind9-dok er installeret i telefonbogen / usr / del / doc / bind9-doc.

Nå mine herrer, indtil videre 2. del. Vi ønsker ikke at dvæle ved en enkelt artikel på grund af vores chefs gode anbefalinger. Endelig! vi kommer ind i det nitty-gritty af BIND Setup og Testing ... i næste kapitel.


9 kommentarer, lad dine

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   Carlos Andres sagde han

    tillykke meget god artikel!

    1.    phico sagde han

      Mange tak.

  2.   Harry sagde han

    Dette er mindre vigtigt af sikkerhedsmæssige årsager: Lad ikke en dns være åben (åben resolver)

    referencer:
    1) http://www.google.com/search?hl=en&q=spamhaus+ataque
    2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
    Jeg citerer:
    «… For eksempel anslår Open DNS Resolver Project (openresolverproject.org), en gruppe sikkerhedseksperter til at løse dette, at der i øjeblikket er 27 millioner" Open Recursive Resolvers ", og 25 millioner af dem er en betydelig trussel ., latent, venter på at frigøre sin vrede igen mod et nyt mål .. »
    hilsen

  3.   nogensinde sagde han

    Meget godt at få folk til en så vigtig tjeneste i dag som DNS.
    Hvad jeg gør, hvis jeg kan påpege noget, er din kedelige oversættelse af "speditører", der ser ud som om den blev hentet fra google translate. Den korrekte oversættelse er "Videresend servere" eller "Videresendere."
    Alt andet, fantastisk.
    hilsen

    1.    Federico sagde han

      Semantik problem. Hvis du videresender en anmodning til en anden for at få et svar, fremfører du ikke en anmodning til et andet niveau. Jeg troede, at den bedste behandling på cubansk spansk var Adelantadores, fordi jeg henviste til Pass eller Advance et spørgsmål, som jeg (den lokale DNS) ikke kunne besvare. Enkel. Det ville have været lettere for mig at skrive artiklen på engelsk. Imidlertid præciserer jeg altid mine oversættelser. Tak for din rettidige kommentar.

  4.   st0rmt4il sagde han

    Luksus;)!

    Greetings!

  5.   jecale47 sagde han

    Og til OpenSUSE?

    1.    Federico sagde han

      CREO fungerer for enhver distro. Placering af zoner varierer, tror jeg. ingen?

  6.   phico sagde han

    Tak alle sammen for at kommentere .. og jeg accepterer gerne dine forslag .. 😉