Ensisijainen pääverkko DNS lähiverkolle Debian 6.0 (II) -käyttöjärjestelmässä

Jatkamme artikkelisarjaamme ja tässä käsittelemme seuraavia näkökohtia:

  • Asennus
  • Hakemistot ja päätiedostot

Ennen kuin jatkat, suosittelemme, että et lopeta lukemista:

Asennus

Konsolissa ja käyttäjänä juuri asennamme sidonta9:

aptitude install bind9

Meidän on myös asennettava paketti dnsutil jolla on tarvittavat työkalut DNS-kyselyjen tekemiseen ja toiminnan diagnosointiin:

aptitude asenna dnsutils

Jos haluat tutustua arkistoon tulevaan dokumentaatioon:

aptitude asenna bind9-doc

Dokumentaatio tallennetaan hakemistoon / usr / share / doc / bind9-doc / arm ja hakemistotiedosto tai sisällysluettelo on bv9ARM.html. Voit avata sen suorittamalla:

Firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html

Kun asennamme sidonta9 Debianilla, samoin paketti bind9utils joka tarjoaa meille useita erittäin hyödyllisiä työkaluja BIND: n toimivan asennuksen ylläpitämiseksi. Niistä löydämme rndc, named-checkconf ja named-checkzone. Lisäksi paketti dnsutil osallistuu koko sarjaan BIND-asiakasohjelmia, joista tulee olemaan kaivaa ja nslookup. Käytämme kaikkia näitä työkaluja tai komentoja seuraavissa artikkeleissa.

Jos haluat tietää jokaisen paketin kaikki ohjelmat, meidän on suoritettava käyttäjä juuri:

dpkg -L bind9utils dpkg -L dnsutils

Tai mene synaptic, etsi paketti ja katso asennetut tiedostot. Erityisesti kansioihin asennetut / Usr / bin o / usr / sbin.

Jos haluamme tietää enemmän kunkin asennetun työkalun tai ohjelman käytöstä, meidän on suoritettava:

mies

Hakemistot ja päätiedostot

Kun asennamme Debianin, tiedosto luodaan / Etc / resolv.conf. Tämä tiedosto tai "Resolver-palvelun määritystiedosto", Se sisältää useita vaihtoehtoja, jotka oletusarvoisesti ovat asennuksen aikana ilmoitetut DNS-palvelimen verkkotunnus ja IP-osoite. Koska tiedoston ohje on espanjankielinen ja hyvin selkeä, suosittelemme sen lukemista komennolla mies resolv.conf.

Asennuksen jälkeen sidonta9 Squeezessa luodaan ainakin seuraavat hakemistot:

/ etc / bind / var / cache / bind / var / lib / bind

Osoitekirjassa / etc / bind löydämme muun muassa seuraavat määritystiedostot:

named.conf named.conf.options named.conf.default-zone named.conf.local rndc.key

Osoitekirjassa / var / cache / bind luomme tiedostot Paikalliset alueet jota käsittelemme myöhemmin. Suorita uteliaisuuden vuoksi seuraavat komennot konsolissa käyttäjänä juuri:

ls -l / etc / bind ls -l / var / cache / bind

Viimeinen hakemisto ei tietenkään sisällä mitään, koska emme ole vielä luoneet paikallista vyöhykettä.

BIND-asetusten jakaminen useiksi tiedostoiksi tapahtuu mukavuuden ja selkeyden vuoksi. Jokaisella tiedostolla on tietty toiminto, kuten näemme alla:

nimetty: Pääasetustiedosto. Se sisältää tiedostotnamed.conf.optionsnimeltä.conf.local y named.conf.default-zone.

named.conf.options: Yleiset DNS-palveluvaihtoehdot. Direktiivi: hakemisto "/ var / cache / bind" se kertoo bind9: lle, mistä etsitään luotujen paikallisten vyöhykkeiden tiedostoja. Ilmoitamme tässä myös palvelimetKuormatraktorit"Tai arvioidussa käännöksessä" Ennakot "enintään 3: een, jotka eivät ole muuta kuin ulkoiset DNS-palvelimet, joita voimme käyttää verkostomme kautta (tietysti palomuurin kautta) ja jotka vastaavat DNS: n kysymyksiin tai pyyntöihin paikallinen ei pysty vastaamaan.

Esimerkiksi, jos määritämme DNS: ää lähiverkolle192.168.10.0/24, ja haluamme yhden huolitsijamme olevan UCI-nimipalvelin, meidän on julistettava direktiivien välittäjät {200.55.140.178; }; Palvelinta vastaava IP-osoite ns1.uci.cu.

Tällä tavalla voimme kysyä paikalliselta DNS-palvelimeltamme, joka on yahoo.es-isännän IP-osoite (joka ei tietenkään ole lähiverkossamme), koska DNS kysyy UCI: lta, tietääkö se mikä on IP-osoite yahoo.es, ja sitten se antaa meille tyydyttävän tuloksen vai ei. Myös itse tiedostossa nimeltä.conf.valinta Julistamme muut tärkeät kokoonpanon näkökohdat, kuten näemme myöhemmin.

named.conf.default-zone: Kuten nimestä käy ilmi, ne ovat oletusalueita. Tässä määritetään BIND sen tiedoston nimi, joka sisältää juuripalvelimien tai juuripalvelimien tiedot, jotka ovat tarpeen DNS-välimuistin käynnistämiseksi, tarkemmin sanottuna tiedostodb.juuri. BIND: lle ohjeistetaan myös, että sillä on täysi valta (olla autoritaarinen) nimien ratkaisemisessa localhost, sekä suorissa että käänteisissä kyselyissä, ja sama "Broadcast" -alueilla.

nimeltä.conf.local: Tiedosto, jossa ilmoitamme DNS-palvelimen paikallisen kokoonpanon jokaisen Paikalliset alueet, ja jotka ovat DNS-tallennustiedostot, jotka kartoittavat lähiverkkoon liitettyjen tietokoneiden nimet niiden IP-osoitteilla ja päinvastoin.

rndc.key: Luotu tiedosto, joka sisältää avaimen BIND: n hallitsemiseksi. BIND-palvelimen ohjausapuohjelman käyttäminen rndc, voimme ladata DNS-kokoonpanon uudelleen tarvitsematta käynnistää sitä uudelleen komennolla rndc lataa. Erittäin hyödyllinen, kun teemme muutoksia paikallisten vyöhykkeiden tiedostoihin.

Debianissa paikalliset vyöhyketiedostot voi sijaita myös / var / lib / bind; kun taas muissa jakeluissa, kuten Red Hat ja CentOS, ne sijaitsevat yleensä  / var / lib / nimetty tai muut hakemistot toteutetun suojaustason mukaan.

Valitsemme hakemiston / var / cache / bind se on oletuksena Debianin ehdottama tiedosto named.conf.options. Voimme käyttää mitä tahansa muuta hakemistoa, kunhan sanomme sidonta9 mistä etsiä vyöhykkeiden tiedostoja, tai annamme sinulle niiden absoluuttisen polun tiedostossa nimeltä.conf.local. On erittäin terveellistä käyttää hakemistoja, joita suosittelemme jakelu.

Tämän artikkelin soveltamisalan ulkopuolella on keskustella BIND: n Cage tai Chrootin luomiseen liittyvästä lisäturvallisuudesta. Niin on turvallisuuskysymys SELinux-kontekstissa. Niiden, jotka tarvitsevat tällaisten ominaisuuksien käyttöönoton, tulisi kääntyä käsikirjojen tai erikoiskirjallisuuden puoleen. Muista, että dokumentaatiopaketti bind9-doc on asennettu hakemistoon / usr / share / doc / bind9-doc.

No, herrat, toistaiseksi 2. osa. Emme halua laajentaa yhtä artikkelia johtajamme hyvien suositusten vuoksi. Viimeinkin! pääsemme BIND-asennuksen ja -testauksen hienovaraisuuteen ... seuraavassa luvussa.


9 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   Carlos andres dijo

    onnittelut erittäin hyvä artikkeli!

    1.    phico dijo

      Kiitos paljon ...

  2.   Ahdistaa dijo

    Tämä on vähemmän tärkeää turvallisuussyistä: Älä jätä dns: ää auki (avoin resolveri)

    viitteet:
    1) http://www.google.com/search?hl=en&q=spamhaus+ataque
    2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
    Lainaan:
    «… Esimerkiksi Open DNS Resolver Project (openresolverproject.org), joka on tietoturva-asiantuntijoiden ryhmän pyrkimys korjata, arvioi, että tällä hetkellä 27 miljoonaa" avointa rekursiivista ratkaisijaa "on, ja 25 miljoonaa niistä on merkittävä uhka. ., piilevä, odottamassa raivonsa uudelleen vapauttamista uutta kohdetta vastaan ​​..
    terveiset

  3.   koskaan dijo

    Erittäin hyvä saada ihmiset niin tärkeään palveluun tänään kuin DNS.
    Mitä teen, jos pystyn huomauttamaan jotain, on säälittävä käännössi "kuormatraktoreista", joka näyttää ikään kuin se olisi vedetty google-käännöksestä. Oikea käännös on "Forwarding Servers" tai "Forwarders".
    Kaikki muu, hienoa.
    terveiset

    1.    Federico dijo

      Semantiikan ongelma. Jos välität pyynnön toiselle vastauksen saamiseksi, et edistä pyyntöä toiselle tasolle. Uskoin, että kuuban espanjan paras hoito oli Adelantadores, koska viittasin Pass tai Advance kysymykseen, johon en (paikallinen DNS) voinut vastata. Yksinkertainen. Minulle olisi ollut helpompaa kirjoittaa artikkeli englanniksi. Selvennän kuitenkin aina Omat käännökset. Kiitos oikea-aikaisesta kommentistasi.

  4.   st0rmt4il dijo

    Ylellinen;)!

    Tervehdys!

  5.   47 dijo

    Ja OpenSUSE: lle?

    1.    Federico dijo

      CREO toimii mihin tahansa jakeluun. Vyöhykkeiden tiedoston sijainti vaihtelee, luulen. ei?

  6.   phico dijo

    Kiitos kaikille kommentoinnistanne .. ja hyväksyn mielelläni ehdotuksenne .. 😉