Continuiamo con la nostra serie di articoli e in questo tratteremo i seguenti aspetti:
- Installazione
- Directory e file principali
Prima di continuare, ti consigliamo di non smettere di leggere:
Installazione
In una console e come utente radice installiamo il bind9:
aptitude installa bind9
Dobbiamo anche installare il pacchetto dnsutil che ha gli strumenti necessari per effettuare query DNS e diagnosticare l'operazione:
aptitude installa dnsutils
Se vuoi consultare la documentazione che arriva nel repository:
aptitude installa bind9-doc
La documentazione verrà archiviata nella directory / usr / share / doc / bind9-doc / arm e il file indice o il sommario è il file bv9ARM.html. Per aprirlo eseguire:
firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html
Quando installiamo il bind9 su Debian, così fa il pacchetto bind9utils che ci fornisce diversi strumenti molto utili per mantenere un'installazione funzionante di un BIND. Tra loro troveremo rndc, named-checkconf e named-checkzone. Inoltre, il pacchetto dnsutil contribuisce a tutta una serie di programmi client BIND tra cui il dig e il nslookup. Useremo tutti questi strumenti o comandi nei seguenti articoli.
Per conoscere tutti i programmi di ogni pacchetto dobbiamo eseguirli come utente radice:
dpkg -L bind9utils dpkg -L dnsutils
Oppure vai a Synaptic, cerca il pacchetto e vedi quali file sono installati. Soprattutto quelli installati nelle cartelle / Usr / bin o / usr / sbin.
Se vogliamo saperne di più su come utilizzare ogni strumento o programma installato, dobbiamo eseguire:
uomo
Directory e file principali
Quando installiamo Debian il file viene creato /etc/resolv.conf. Questo file o "File di configurazione del servizio resolver", Contiene diverse opzioni che per impostazione predefinita sono il nome di dominio e l'indirizzo IP del server DNS dichiarato durante l'installazione. Poiché il contenuto della guida del file è in spagnolo ed è molto chiaro, si consiglia di leggerlo utilizzando il comando uomo resolv.conf.
Dopo aver installato il bind9 In Squeeze vengono create almeno le seguenti directory:
/ etc / bind / var / cache / bind / var / lib / bind
Nella rubrica / etc / bind troviamo, tra gli altri, i seguenti file di configurazione:
named.conf named.conf.options named.conf.default-zone named.conf.local rndc.key
Nella rubrica / var / cache / bind creeremo i file del Aree locali di cui ci occuperemo in seguito. Per curiosità, esegui i seguenti comandi in una console come utente radice:
ls -l / etc / bind ls -l / var / cache / bind
Ovviamente l'ultima directory non conterrà nulla, poiché non abbiamo ancora creato una Zona locale.
La divisione delle impostazioni BIND in più file viene eseguita per comodità e chiarezza. Ogni file ha una funzione specifica come vedremo di seguito:
nome.conf: File di configurazione principale. Include i filenome.conf.opzioni, nome.conf.local y named.conf.default-zone.
nome.conf.opzioni: Opzioni generali del servizio DNS. Direttiva: directory "/ var / cache / bind" dirà a bind9 dove cercare i file delle zone locali create. Dichiariamo anche qui i server "Spedizionieri"Oppure in una traduzione approssimativa" Advances "fino a un numero massimo di 3, che altro non sono che server DNS esterni che possiamo consultare dalla nostra rete (tramite Firewall ovviamente) che risponderanno alle domande o richieste che il nostro DNS locale non è in grado di rispondere.
Ad esempio, se stiamo configurando un DNS per la LAN192.168.10.0/24e vogliamo che uno dei nostri forwarder sia un server dei nomi UCI, dobbiamo dichiarare la direttiva forwarders {200.55.140.178; }; Indirizzo IP corrispondente al server ns1.uci.cu.
In questo modo potremo consultare il nostro server DNS locale che è l'indirizzo IP dell'host yahoo.es (che ovviamente non è sulla nostra LAN), poiché il nostro DNS chiederà all'UCI se sa qual è l'indirizzo IP di yahoo.es, e poi ci darà un risultato soddisfacente o meno. Inoltre e nel file stesso nome.conf.opzione Dichiareremo altri aspetti importanti della configurazione come vedremo in seguito.
named.conf.default-zone: Come suggerisce il nome, sono le zone predefinite. Qui si configura il BIND il nome del file che contiene le informazioni dei Root Server o dei Root Server necessari per avviare la cache DNS, più precisamente il fileradice.db. Il BIND è anche incaricato di avere piena Autorità (essere Autoritario) nella risoluzione dei nomi per localhost, sia nelle query dirette che inverse, e lo stesso per le aree "Broadcast".
nome.conf.local: File in cui dichiariamo la configurazione locale del nostro server DNS con il nome di ciascuno dei file Aree locali, e quali saranno i DNS Records Files che mapperanno i nomi dei computer collegati alla nostra LAN con il loro indirizzo IP e viceversa.
rndc.key: File generato contenente la chiave per controllare il BIND. Utilizzo dell'utilità di controllo del server BIND rndc, potremo ricaricare la configurazione DNS senza doverla riavviare con il comando rndc ricaricare. Molto utile quando apportiamo modifiche ai file delle Zone locali.
In Debian i file delle zone locali può essere localizzato anche in / var / lib / bind; mentre in altre distribuzioni come Red Hat e CentOS si trovano solitamente in / var / lib / named o altre directory a seconda del grado di sicurezza implementato.
Selezioniamo la directory / var / cache / bind è quello suggerito di default da Debian nel file nome.conf.opzioni. Possiamo usare qualsiasi altra directory purché diciamo al file bind9 dove cercare i file delle zone, oppure ti diamo il percorso assoluto di ciascuna di esse nel file nome.conf.local. È molto salutare utilizzare le directory consigliate dalla distribuzione che stiamo utilizzando.
È oltre lo scopo di questo articolo discutere la sicurezza aggiuntiva coinvolta nella creazione di una gabbia o di un chroot per BIND. Così è la questione della sicurezza attraverso il contesto SELinux. Coloro che hanno bisogno di implementare tali funzionalità dovrebbero rivolgersi a manuali o letteratura specializzata. Ricorda che il pacchetto di documentazione bind9-doc è installato nella directory / usr / share / doc / bind9-doc.
Bene signori, finora la seconda parte. Non vogliamo dilungarci su un singolo articolo a causa dei buoni consigli del nostro capo. Finalmente! entreremo nel nocciolo della questione dell'installazione e del test di BIND ... nel prossimo capitolo.
complimenti ottimo articolo!
Grazie mille ..
Questo è meno importante per ragioni di sicurezza: non lasciare un DNS aperto (open resolver)
riferimenti:
1) http://www.google.com/search?hl=en&q=spamhaus+ataque
2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
Quoto:
«… Ad esempio, l'Open DNS Resolver Project (openresolverproject.org), lo sforzo di un gruppo di esperti di sicurezza per risolvere questo problema, stima che ci siano attualmente 27 milioni di" Open Recursive Resolver "e 25 milioni di loro sono una minaccia significativa ., latente, in attesa di scatenare nuovamente la sua furia contro un nuovo bersaglio .. »
saluti
Ottimo per portare le persone in un servizio così importante oggi come DNS.
Quello che faccio, se posso sottolineare qualcosa, è la tua triste traduzione di "forwarders", che sembra essere stata estratta da Google Translate. La traduzione corretta è "Server di inoltro" o "Forwarding".
Tutto il resto, fantastico.
saluti
Problema di semantica. Se inoltri una richiesta a un altro per ottenere una risposta, non stai avanzando una richiesta a un altro livello. Credevo che il miglior trattamento in spagnolo cubano fosse Adelantadores perché mi riferivo a Pass o Advance a una domanda a cui io (il DNS locale) non potevo rispondere. Semplice. Sarebbe stato più facile per me scrivere l'articolo in inglese. Tuttavia, chiarisco sempre le mie traduzioni. Grazie per il tuo tempestivo commento.
Lusso;)!
Saluti!
E per OpenSUSE?
CREO funziona per qualsiasi distribuzione. La posizione dei file delle zone varia, credo. no?
Grazie a tutti per aver commentato .. e accetto volentieri i vostri suggerimenti .. 😉