Primärer Master-DNS für ein LAN unter Debian 6.0 (II)

Wir setzen unsere Artikelserie fort und werden uns in diesem Artikel mit folgenden Aspekten befassen:

• Übliche Installationen
• Verzeichnisse und Hauptdateien

Bevor Sie fortfahren, empfehlen wir Ihnen, nicht aufzuhören zu lesen:

• Primärer Master-DNS für ein LAN unter Debian 6.0 (I)

Übliche Installationen

In einer Konsole und als Benutzer Wurzel Wir haben das installiert bind9:

aptitude installiere bind9

Wir müssen auch das Paket installieren dnsutil welches die notwendigen Werkzeuge hat, um DNS-Abfragen zu machen und den Vorgang zu diagnostizieren:

aptitude dnsutils installieren

Wenn Sie die Dokumentation im Repository konsultieren möchten:

aptitude installiere bind9-doc

Die Dokumentation wird im Verzeichnis gespeichert / usr / share / doc / bind9-doc / arm und die Indexdatei oder das Inhaltsverzeichnis ist die bv9ARM.html. So öffnen Sie es:

Firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html

Wenn wir das installieren bind9 auf Debian auch das Paket bind9utils Dies bietet uns einige sehr nützliche Tools, um eine funktionierende Installation eines BIND aufrechtzuerhalten. Unter ihnen werden wir finden rndc, named-checkconf und named-checkzone. Darüber hinaus ist das Paket dnsutil bietet eine ganze Reihe von BIND-Client-Programmen, einschließlich der graben und nslookup. Wir werden alle diese Tools oder Befehle in den folgenden Artikeln verwenden.

Um alle Programme jedes Pakets zu kennen, müssen wir als Benutzer ausführen Wurzel:

dpkg -L bind9utils dpkg -L dnsutils

Oder gehen Sie zu SynaptischSuchen Sie nach dem Paket und sehen Sie, welche Dateien installiert sind. Besonders diejenigen, die in Ordnern installiert sind / usr / bin o / usr / sbin.

Wenn wir mehr über die Verwendung der einzelnen installierten Tools oder Programme erfahren möchten, müssen wir Folgendes ausführen:

Mann

Verzeichnisse und Hauptdateien

Wenn wir Debian installieren, wird die Datei erstellt / Etc / resolv.conf. Diese Datei oder "Resolver-Dienstkonfigurationsdatei", Es enthält mehrere Optionen, die standardmäßig den Domänennamen und die IP-Adresse des DNS-Servers sind, die während der Installation deklariert wurden. Da der Inhalt der Dateihilfe auf Spanisch ist und sehr klar ist, empfehlen wir, sie mit dem Befehl zu lesen man resolv.conf.

Nach der Installation der bind9 In Squeeze werden mindestens die folgenden Verzeichnisse erstellt:

/ etc / bind / var / cache / bind / var / lib / bind

Im Adressbuch / etc / bind Wir finden unter anderem folgende Konfigurationsdateien:

named.conf named.conf.options named.conf.default-zonen named.conf.local rndc.key

Im Adressbuch / var / cache / bind Wir werden die Dateien der erstellen Lokale Gebiete worauf wir später noch eingehen werden. Führen Sie aus Neugier die folgenden Befehle in einer Konsole als Benutzer aus Wurzel:

ls -l / etc / bind ls -l / var / cache / bind

Natürlich enthält das letzte Verzeichnis nichts, da wir noch keine lokale Zone erstellt haben.

Die Aufteilung der BIND-Einstellungen in mehrere Dateien erfolgt aus Gründen der Benutzerfreundlichkeit und Klarheit. Jede Datei hat eine bestimmte Funktion, wie wir unten sehen werden:

benannt.conf: Hauptkonfigurationsdatei. Es enthält die Dateiennamed.conf.options, benannt.conf.local y named.conf.default-zonen.

named.conf.options: Allgemeine DNS-Dienstoptionen. Richtlinie: Verzeichnis "/ var / cache / bind" Es teilt bind9 mit, wo nach den Dateien der erstellten lokalen Zonen gesucht werden soll. Wir erklären hier auch die Server “Spediteure"Oder in einer ungefähren Übersetzung" Fortschritte "bis zu einer maximalen Anzahl von 3, die nichts anderes als externe DNS-Server sind, die wir von unserem Netzwerk aus (natürlich über eine Firewall) abrufen können, um auf die Fragen oder Anforderungen unseres DNS zu antworten local kann nicht antworten.

Zum Beispiel, wenn wir ein DNS für das LAN konfigurieren192.168.10.0/24und wir möchten, dass einer unserer Weiterleitungen ein UCI-Nameserver ist, müssen wir die Weiterleitungen der Direktive deklarieren {200.55.140.178; }};; IP-Adresse, die dem Server entspricht ns1.uci.cu.

Auf diese Weise können wir unseren lokalen DNS-Server konsultieren, der die IP-Adresse des yahoo.es-Hosts ist (der sich offensichtlich nicht in unserem LAN befindet), da unser DNS die UCI fragt, ob er weiß, welche IP-Adresse der ist yahoo.es, und dann wird es uns ein zufriedenstellendes Ergebnis geben oder nicht. Auch und in der Datei selbst benannte.conf.option Wir werden andere wichtige Aspekte der Konfiguration deklarieren, wie wir später sehen werden.

named.conf.default-zonen: Wie der Name schon sagt, handelt es sich um die Standardzonen. Hier konfigurieren Sie den BIND den Namen der Datei, die die Informationen der Root-Server oder Root-Server enthält, die zum Starten des DNS-Cache erforderlich sind, insbesondere die Dateidb.root. Die BIND wird auch angewiesen, die volle Autorität (autoritär zu sein) bei der Auflösung von Namen für die zu haben localhostDies gilt sowohl für direkte als auch für umgekehrte Abfragen und für die Bereiche „Broadcast“.

benannt.conf.local: Datei, in der wir die lokale Konfiguration unseres DNS-Servers mit dem Namen der einzelnen deklarieren Lokale GebieteDies sind die DNS-Eintragsdateien, in denen die Namen der mit unserem LAN verbundenen Computer mit ihrer IP-Adresse und umgekehrt zugeordnet werden.

rndc.key: Generierte Datei mit dem Schlüssel zur Steuerung des BIND. Verwenden des Dienstprogramms zur BIND-Serversteuerung rdckönnen wir die DNS-Konfiguration neu laden, ohne sie mit dem Befehl neu starten zu müssen rndc neu laden. Sehr nützlich, wenn wir Änderungen an den Dateien der lokalen Zonen vornehmen.

In Debian die Local Zones-Dateien kann sich auch in befinden / var / lib / bind;; In anderen Distributionen wie Red Hat und CentOS befinden sie sich normalerweise in  / var / lib / named oder andere Verzeichnisse, abhängig vom implementierten Sicherheitsgrad.

Wir wählen das Verzeichnis / var / cache / bind Es ist das standardmäßig in der Datei vorgeschlagene Debian named.conf.options. Wir können jedes andere Verzeichnis verwenden, solange wir das mitteilen bind9 Wo soll man nach den Dateien der Zonen suchen, oder wir geben den absoluten Pfad jedes einzelnen von ihnen in der Datei an benannt.conf.local. Es ist sehr sinnvoll, die von der von uns verwendeten Distribution empfohlenen Verzeichnisse zu verwenden.

Es würde den Rahmen dieses Artikels sprengen, die zusätzliche Sicherheit beim Erstellen eines Käfigs oder einer Chroot für den BIND zu erörtern. Dies gilt auch für das Thema Sicherheit im SELinux-Kontext. Wer solche Funktionen implementieren muss, sollte sich an Handbücher oder Fachliteratur wenden. Denken Sie daran, dass das Dokumentationspaket bind9-doc ist im Verzeichnis installiert / usr / share / doc / bind9-doc.

Nun, meine Herren, bisher der 2. Teil. Aufgrund der guten Empfehlungen unseres Chefs möchten wir nicht auf einen einzigen Artikel eingehen. Schließlich! Wir werden uns im nächsten Kapitel mit dem BIND-Setup und -Test befassen.