Ĉefa Majstra DNS por LAN sur Debian 6.0 (II)

Ni daŭrigas per nia serio de artikoloj kaj en ĉi tiu ni traktos la jenajn aspektojn:

  • Instalado
  • Dosierujoj kaj ĉefaj dosieroj

Antaŭ ol daŭrigi, ni rekomendas, ke vi ne ĉesu legi:

Instalado

En Konzolo kaj kiel uzanto radikon ni instalas la ligi9:

aptitude install bind9

Ni devas ankaŭ instali la pakaĵon dnsutils kiu havas la necesajn ilojn por fari DNS-demandojn kaj diagnozi la operacion:

aptitude instali dnsutils

Se vi volas konsulti la dokumentaron, kiu venas en la deponejo:

aptitude install bind9-doc

La dokumentaro estos konservita en la adresaro / usr / share / doc / bind9-doc / arm kaj la indeksa dosiero aŭ la enhavtabelo estas la Bv9ARM.html. Por malfermi ĝin kuru:

firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html

Kiam ni instalas la ligi9 ĉe Debian, same la pako bind9utils kiu donas al ni plurajn tre utilajn ilojn por konservi funkcian instaladon de BIND. Inter ili ni trovos rndc, named-checkconf kaj named-checkzone. Cetere, la pakaĵo dnsutils kontribuas tutan serion de BIND-klientaj programoj inter kiuj estos la fosi kaj la nslookup. Ni uzos ĉiujn ĉi tiujn ilojn aŭ komandojn en la sekvaj artikoloj.

Por koni ĉiujn programojn de ĉiu pako ni devas ekzekuti kiel uzanto radikon:

dpkg -L bind9utils dpkg -L dnsutils

Aŭ iru al Sinapta, serĉu la pakaĵon, kaj vidu, kiuj dosieroj estas instalitaj. Precipe tiuj, kiuj estas instalitaj en dosierujoj / usr / bin o / usr / sbin.

Se ni volas scii pli pri kiel uzi ĉiun instalitan ilon aŭ programon, ni devas ekzekuti:

viro

Dosierujoj kaj ĉefaj dosieroj

Kiam ni instalas Debian la dosiero estas kreita /etc/resolv.conf. Ĉi tiu dosiero aŭ "Agorda dosiero pri solva servo", Ĝi enhavas plurajn eblojn, kiuj defaŭlte estas la domajna nomo kaj la IP-adreso de la DNS-servilo deklaritaj dum la instalado. Ĉar la enhavo de la helpo de la dosiero estas en la hispana kaj tre klara, ni rekomendas legi ĝin per la komando viro resolv.conf.

Post instalado de la ligi9 En Squeeze, almenaŭ la jenaj dosierujoj estas kreitaj:

/ etc / bind / var / cache / bind / var / lib / bind

En la adresaro / etc / bind ni trovas, inter aliaj, la jenajn agordajn dosierojn:

named.conf named.conf.options named.conf.default-zones named.conf.local rndc.key

En la adresaro / var / cache / bind ni kreos la dosierojn de la Lokaj Areoj kiun ni traktos poste. Pro scivolemo, rulu la jenajn komandojn en Konzolo kiel uzanto radikon:

ls -l / ktp / bind ls -l / var / cache / bind

Kompreneble la lasta dosierujo enhavos nenion, ĉar ni ankoraŭ ne kreis Lokan Zonon.

Dividi la BIND-agordojn en plurajn dosierojn fariĝas por facileco kaj klareco. Ĉiu dosiero havas specifan funkcion kiel ni vidos sube:

nomita.konf: Ĉefa agorda dosiero. Ĝi inkluzivas la dosierojnnomita.konf.opciojnamed.conf.local y named.conf.default-zones.

nomita.konf.opcioj: Ĝeneralaj DNS-ebloj. Direktivo: dosierujo "/ var / cache / bind" ĝi diros al bind9 kie serĉi la dosierojn de la kreitaj Lokaj Zonoj. Ni ankaŭ deklaras ĉi tie la servilojn "Transludantoj"Aŭ en proksimuma traduko" Antaŭeniras "ĝis maksimume 3, kiuj estas nenio alia ol eksteraj DNS-serviloj, kiujn ni povas konsulti de nia reto (kompreneble per Fajromuro), kiuj respondos al la demandoj aŭ petoj, kiujn nia DNS lokulo ne kapablas respondi.

Ekzemple, se ni agordas DNS por la LAN192.168.10.0 / 24, kaj ni volas, ke unu el niaj plusendantoj estu UCI-Nomservilo, ni devas deklari la direktistajn plusendistojn {200.55.140.178; }; IP-adreso responda al la servilo ns1.uci.cu.

Tiel ni povos konsulti nian lokan DNS-servilon, kiu estas la IP-adreso de la gastiganto yahoo.es (kiu evidente ne estas en nia LAN), ĉar nia DNS demandos al la UCI se ĝi scias, kiu estas la IP-adreso de yahoo.es, kaj tiam ĝi donos al ni kontentigan rezulton aŭ ne. Ankaŭ kaj en la dosiero mem nomita.konf.opcio Ni deklaros aliajn gravajn aspektojn de la agordo kiel ni vidos poste.

named.conf.default-zones: Kiel la nomo implicas, ili estas la Defaŭltaj Zonoj. Ĉi tie estas agordita la nomo de la dosiero, kiu enhavas la informojn de la Radikaj Serviloj aŭ Radikaj Serviloj necesaj por komenci la DNS-kaŝmemoron, pli specife la dosierondb.radiko. La BIND ankaŭ estas instruita havi plenan Aŭtoritaton (esti Aŭtoritata) pri la rezolucio de nomoj por la localhost, kaj en rektaj kaj inversaj demandoj, kaj la samo por la "Elsendaj" regionoj.

named.conf.local: Dosiero, kie ni deklaras la lokan agordon de nia DNS-servilo per la nomo de ĉiu el la Lokaj Areoj, kaj kiuj estos la DNS-Rekordaj Dosieroj, kiuj mapos la nomojn de la komputiloj konektitaj al nia LAN kun sia IP-adreso kaj inverse.

rndc.ŝlosilo: Generita dosiero enhavanta la Ŝlosilon por regi la BIND. Uzante la utilan kontrolan servilon BIND rndc, ni povos reŝargi la DNS-agordon sen devi rekomenci ĝin per la komando rndc reŝargi. Tre utila kiam ni faras ŝanĝojn en la dosieroj de la Lokaj Zonoj.

En Debiano la dosieroj de Lokaj Zonoj ankaŭ troveblas en / var / lib / bind; dum en aliaj distribuoj kiel Red Hat kaj CentOS ili kutime troviĝas en  / var / lib / nomita aŭ aliaj adresaroj depende de la sekureca grado efektivigita.

Ni elektas la adresaron / var / cache / bind ĝi estas tiu sugestita defaŭlte Debian en la dosiero nomita.konf.opcioj. Ni povas uzi iun ajn alian dosierujon kondiĉe ke ni diros al la ligi9 kie serĉi la dosierojn de la zonoj, aŭ ni donas al vi la absolutan vojon de ĉiu el ili en la dosiero named.conf.local. Estas tre sana uzi la dosierujojn rekomenditajn de la distribuo, kiun ni uzas.

Estas ekster la amplekso de ĉi tiu artikolo diskuti la plian sekurecon implikitan en kreado de Kaĝo aŭ Chroot por la BIND. Tiel estas la afero pri sekureco per la kunteksto SELinux. Tiuj, kiuj bezonas efektivigi tiajn funkciojn, devas turniĝi al manlibroj aŭ faka literaturo. Memoru, ke la dokumenta pakaĵo bind9-doc estas instalita en la dosierujo / usr / share / doc / bind9-doc.

Nu Sinjoroj, ĝis nun la 2a parto. Ni ne volas pligrandigi unu artikolon pro la bonaj rekomendoj de nia estro. Fine! ni eniros en la plej gravan BIND-Agordon kaj Testadon ... en la sekva ĉapitro.


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

9 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita.

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   Karolo Andreo diris

    gratulojn tre bona artikolo!

    1.    phico diris

      Multaj dankoj..

  2.   Harry diris

    Ĉi tio malpli gravas pro sekurecaj kialoj: Ne lasu dns malfermita (malferma solvilo)

    Referencoj
    1) http://www.google.com/search?hl=en&q=spamhaus+ataque
    2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
    Mi citas:
    «... Ekzemple, la Open DNS Resolver Project (openresolverproject.org), la klopodo de grupo de sekurecaj spertuloj por ripari ĉi tion, taksas, ke nuntempe estas 27 milionoj da" Malfermaj Rekursivaj Rezolucioj ", kaj 25 milionoj da ili estas grava minaco ., latenta, atendante reeligi sian furiozon kontraŭ nova celo .. »
    salutoj

  3.   iam ajn diris

    Tre bone eniri homojn en tiel gravan servon hodiaŭ kiel DNS.
    Kion mi faras, se mi povas rimarki unu aferon, estas via bedaŭrinda traduko de "plusendantoj", kiu aspektas kiel ke ĝi estis tirita de google translate. La ĝusta traduko estas "plusendaj serviloj" aŭ "plusendiloj."
    Ĉio alia, bonege.
    salutoj

    1.    federika diris

      Semantika problemo. Se vi plusendas peton al alia por akiri Respondon, vi ne Antaŭas peton al alia nivelo. Mi kredis, ke la plej bona traktado en la kuba hispana estas Adelantadores, ĉar mi aludis al Pass or Advance demandon, kiun mi (la loka DNS) ne povis respondi. Simpla. Estintus pli facile por mi verki la artikolon en la angla. Tamen mi ĉiam klarigas pri Miaj Tradukoj. Dankon pro via ĝustatempa komento.

  4.   st0rmt4il diris

    Lukso;)!

    Dankon!

  5.   jecale47 diris

    Kaj por OpenSUSE?

    1.    federika diris

      CREO funkcias por ajna distro. Dosiera loko de zonoj varias, mi pensas. ne?

  6.   phico diris

    Dankon al ĉiuj pro komentoj .. kaj mi volonte akceptas viajn sugestojn .. 😉

bool (vera)