Folytatjuk cikksorozatunkat, és ebben a következő szempontokkal foglalkozunk:
- Telepítés
- Könyvtárak és fő fájlok
A folytatás előtt javasoljuk, hogy ne hagyja abba az olvasást:
Telepítés
Konzolban és felhasználóként gyökér telepítjük a kötés9:
aptitude install bind9
Telepítenünk kell a csomagot is dnsutil amely rendelkezik a DNS-lekérdezésekhez és a működés diagnosztizálásához szükséges eszközökkel:
aptitude install dnsutils
Ha meg szeretné tekinteni a lerakatban található dokumentációt:
aptitude install bind9-doc
A dokumentációt a könyvtárban tároljuk / usr / share / doc / bind9-doc / arm és az indexfájl vagy a Tartalomjegyzék az bv9ARM.html. Futtatásához nyissa meg:
firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html
Amikor telepítjük a kötés9 a Debianon, így a csomag is bind9utils amely számos nagyon hasznos eszközt nyújt számunkra a BIND működő telepítésének fenntartásához. Köztük megtaláljuk rndc, named-checkconf és named-checkzone. Sőt, a csomag dnsutil BIND kliens programok teljes sorozatát biztosítja, beleértve a ás és nslookup. Ezeket az eszközöket vagy parancsokat a következő cikkekben fogjuk használni.
Az egyes csomagok összes programjának ismeretéhez felhasználóként kell végrehajtanunk gyökér:
dpkg -L bind9utils dpkg -L dnsutils
Vagy menj ide Synaptic, keresse meg a csomagot, és nézze meg, mely fájlok vannak telepítve. Különösen azokat, amelyek mappákba vannak telepítve / usr / bin o / usr / sbin.
Ha többet akarunk megtudni az egyes telepített eszközök vagy programok használatáról, akkor végre kell hajtanunk:
Férfi
Könyvtárak és fő fájlok
A Debian telepítésekor létrejön a fájl / Etc / resolv.conf. Ez a fájl vagyA Resolver szolgáltatás konfigurációs fájlja", Több lehetőséget tartalmaz, amelyek alapértelmezés szerint a telepítés során deklarált DNS-kiszolgáló tartománynevei és IP-címe. Mivel a fájl súgójának tartalma spanyol nyelvű és nagyon világos, javasoljuk, hogy olvassa el a parancs segítségével férfi resolv.conf.
A kötés9 A Squeeze alkalmazásban legalább a következő könyvtárak jönnek létre:
/ etc / bind / var / cache / bind / var / lib / bind
A címjegyzékben / etc / bind többek között a következő konfigurációs fájlokat találjuk:
named.conf named.conf.options named.conf.default-zónák named.conf.local rndc.key
A címjegyzékben / var / cache / bind létrehozzuk a fájlokat Helyi területek amellyel később foglalkozunk. Kíváncsiságból futtassa a következő parancsokat egy konzolban, mint felhasználó gyökér:
ls -l / etc / bind ls -l / var / cache / bind
Természetesen az utolsó könyvtár nem tartalmaz semmit, mivel még nem hoztunk létre Helyi Zónát.
A BIND beállítások több fájlra osztása a kényelem és az érthetőség érdekében történik. Minden fájlnak van egy sajátos funkciója, amint alább láthatjuk:
megnevezett.conf: Fő konfigurációs fájl. Ez tartalmazza a fájlokatnevű.konf.opciók, megnevezett.konf.helyi y named.conf.default-zone.
nevű.konf.opciók: Általános DNS szolgáltatás opciók. Irányelv: "/ var / cache / bind" könyvtár megmondja a bind9-nek, hol keresse meg a létrehozott Helyi Zónák fájljait. Itt nyilvánítjuk ki a szervereket isSzállítmányozók"Vagy hozzávetőleges fordításban" Advances "legfeljebb 3-ig, amelyek nem mások, mint külső DNS-kiszolgálók, amelyeket hálózatunkról megkérhetünk (természetesen tűzfalon keresztül), amelyek válaszolnak a DNS-ünk által feltett kérdésekre vagy kérésekre. a helyi nem képes válaszolni.
Például, ha konfigurálunk egy DNS-t a LAN számára192.168.10.0/24, és azt akarjuk, hogy az egyik szállítmányozónk UCI névszerver legyen, deklarálnunk kell a továbbítók irányelvét {200.55.140.178; }; A szervernek megfelelő IP-cím ns1.uci.cu.
Ily módon megkereshetjük a helyi DNS-kiszolgálónkat, amely a yahoo.es gazdagép IP-címe (ami nyilvánvalóan nem a mi LAN-onkon van), mivel a DNS-ünk megkérdezi az UCI-t, hogy tudja-e, melyik az IP-címe yahoo.es, és akkor ez kielégítő eredményt ad nekünk, vagy sem. Szintén és magában a fájlban nevű.konf.opció Nyilatkozunk a konfiguráció egyéb fontos szempontjairól, amint később látni fogjuk.
named.conf.default-zone: Ahogy a neve is mutatja, ezek az alapértelmezett zónák. Itt van konfigurálva annak a fájlnak a neve, amely tartalmazza a DNS-gyorsítótár indításához szükséges gyökérkiszolgálók vagy gyökérkiszolgálók adatait, pontosabban a fájl nevedb.gyökér. A BIND-nek azt is utasítják, hogy teljes jogkörrel rendelkezzen (legyen tekintélyelvű) a név nevének felbontásában localhost, mind közvetlen, mind fordított lekérdezésekben, és ugyanaz a „Broadcast” területeken.
megnevezett.konf.helyi: Fájl, ahol deklaráljuk a DNS-kiszolgálónk helyi konfigurációját az egyes fájlok nevével Helyi területek, és amelyek azok a DNS-rekordfájlok lesznek, amelyek feltérképezik a LAN-ra csatlakoztatott számítógépek nevét az IP-címükkel és fordítva.
rndc.key: Generált fájl, amely tartalmazza a Kulcsot a BIND vezérléséhez. A BIND szerver vezérlő segédprogram használata rndc, képesek leszünk a DNS-konfiguráció újratöltésére anélkül, hogy újra kellene indítanunk a paranccsal rndc újratöltés. Nagyon hasznos, ha a helyi zónák fájljaiban változtatunk.
A Debianban a Helyi zónák fájlok -ban is elhelyezkedhet / var / lib / bind; míg más disztribúciókban, mint a Red Hat és a CentOS, általában találhatók / var / lib / named vagy más könyvtárak a megvalósított biztonság mértékétől függően.
Kiválasztjuk a könyvtárat / var / cache / bind ez az, amelyet alapértelmezés szerint a Debian javasol a fájlban nevű.konf.opciók. Bármely más könyvtárat használhatunk, amíg a kötés9 hol kell keresni a zónák fájljait, vagy megadjuk mindegyikük abszolút elérési útját a fájlban megnevezett.konf.helyi. Nagyon egészséges használni az általunk használt disztribúció által ajánlott könyvtárakat.
A cikk keretein kívül esik a BIND Cage vagy Chroot létrehozásához kapcsolódó további biztonság megvitatása. Ugyanígy a biztonság kérdése a SELinux kontextuson keresztül is. Azoknak, akiknek ilyen funkciókat kell megvalósítaniuk, kézikönyvet vagy szakirodalmat kell keresniük. Ne feledje, hogy a dokumentációs csomag bind9-doc telepítve van a könyvtárba / usr / share / doc / bind9-doc.
Hát Uraim, eddig a 2. rész. Vezetőnk jó ajánlásai miatt nem akarunk egyetlen cikknél sem maradni. Végül! a következő fejezetben a BIND telepítés és tesztelés aprólékosságára térünk ki.
gratulálok nagyon jó cikk!
Köszönöm szépen ..
Ez biztonsági okokból kevésbé fontos: Ne hagyjon nyitva egy DNS-t (nyissa meg a megoldót)
referenciák:
1) http://www.google.com/search?hl=en&q=spamhaus+ataque
2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
Idézem:
«... Például az Open DNS Resolver Project (openresolverproject.org), amely egy biztonsági szakértői csoport törekvése a probléma megoldására, becslések szerint jelenleg 27 millió" Open Recursive Resolvers "van, és közülük 25 millió egy jelentős fenyegetés., látens, arra vár, hogy újrakezdje dühét egy új célpont ellen .. »
Üdvözlet
Nagyon jó, hogy az embereket egy olyan fontos szolgáltatásba vonják be ma, mint a DNS.
Amit teszek, ha valamit tudok rámutatni, az az ön szánalmas fordítása a "szállítmányozókról", amely úgy néz ki, mintha a google translate-ból húzták volna. A helyes fordítás: "Forwarding Servers" vagy "Forwarders".
Minden más, nagyszerű.
Üdvözlet
Szemantikai probléma. Ha egy kérést továbbít egy másiknak, hogy választ kapjon, akkor nem továbbítja a kérést egy másik szintre. Úgy gondoltam, hogy a kubai spanyol nyelvben a legjobb kezelés az Adelantadores volt, mert a Pass vagy Advance kérdésre utaltam, amelyet én (a helyi DNS) nem tudtam megválaszolni. Egyszerű. Könnyebb lett volna a cikket angolul megírnom. Azonban mindig tisztázom a Saját fordításokat. Köszönöm az időszerű megjegyzést.
Luxus;)!
Üdvözlet!
És az OpenSUSE-hoz?
A CREO bármilyen disztróhoz működik. A zónák fájl helye szerintem változó. nem?
Köszönöm mindenkinek a hozzászólást .. és örömmel fogadom a javaslatait .. 😉