אנו ממשיכים בסדרת המאמרים שלנו ובהם נעסוק בהיבטים הבאים:
- התקנה
- ספריות ותיקים עיקריים
לפני שתמשיך, אנו ממליצים לא להפסיק לקרוא:
התקנה
במסוף וכמשתמש שורש אנו מתקינים את לאגד 9:
aptitude להתקין bind9
עלינו להתקין את החבילה dnutils שיש לו את הכלים הדרושים לביצוע שאילתות DNS ולאבחון הפעולה:
יכולת להתקין
אם ברצונך להתייעץ עם התיעוד המופיע במאגר:
aptitude להתקין bind9-doc
התיעוד יישמר בספריה / usr / share / doc / bind9-doc / arm וקובץ האינדקס או תוכן העניינים הוא ה- bv9ARM.html. כדי לפתוח את זה, הפעל:
firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html
כאשר אנו מתקינים את לאגד 9 על דביאן, כך גם החבילה bind9utils המספק לנו כמה כלים שימושיים מאוד לשמירה על התקנת עבודה של BIND. ביניהם נגלה rndc, named-checkconf ו- zone-checkzone. יתר על כן, החבילה dnutils תורמת סדרה שלמה של תוכניות לקוח BIND ביניהן לחפור ו - nslookup. אנו נשתמש בכל הכלים או הפקודות הללו במאמרים הבאים.
כדי להכיר את כל התוכניות של כל חבילה עלינו לבצע כמשתמש שורש:
dpkg -L bind9utils dpkg -L dnsutils
או ללכת ל סינפטי, חפש את החבילה, וראה אילו קבצים מותקנים. במיוחד אלה המותקנים בתיקיות / usr / bin o / usr / sbin.
אם אנו רוצים לדעת יותר כיצד להשתמש בכל כלי או תוכנית המותקנים, עלינו לבצע:
איש
ספריות ותיקים עיקריים
כאשר אנו מתקינים את דביאן הקובץ נוצר / Etc / resolv.conf. קובץ זה או "קובץ תצורת שירות Resolver", מכיל מספר אפשרויות שכברירת מחדל הן שם התחום וכתובת ה- IP של שרת ה- DNS שהוכרזו במהלך ההתקנה. מכיוון שתוכן העזרה של הקובץ הוא בספרדית והוא ברור מאוד, אנו ממליצים לקרוא אותו באמצעות הפקודה איש resolv.conf.
לאחר התקנת ה- לאגד 9 ב- Squeeze נוצרות לפחות הספריות הבאות:
/ etc / bind / var / cache / bind / var / lib / bind
בפנקס הכתובות / וכו / לקשור אנו מוצאים, בין היתר, את קבצי התצורה הבאים:
בשם.conf בשם.conf.options בשם.conf.default-zones בשם.conf.local rndc.key
בפנקס הכתובות / var / cache / binding ניצור את הקבצים של אזורים מקומיים שאנו נעסוק בהמשך. מתוך סקרנות, הפעל את הפקודות הבאות במסוף כמשתמש שורש:
ls -l / etc / bind ls -l / var / cache / bind
כמובן שהספריה האחרונה לא תכיל דבר, מכיוון שעדיין לא יצרנו אזור מקומי.
חלוקת הגדרות ה- BIND למספר קבצים נעשית מטעמי נוחות ובהירות. לכל קובץ יש פונקציה ספציפית כפי שנראה בהמשך:
בשם.קונף: קובץ תצורה ראשי. זה כולל את הקבציםבשם.conf.options, בשם.conf.local y בשם.conf.default-zones.
בשם.conf.options: אפשרויות שירות DNS כלליות. הוֹרָאָה: ספרייה "/ var / cache / bind" הוא יגיד ל- bind9 היכן לחפש את הקבצים של האזורים המקומיים שנוצרו. אנו מצהירים כאן גם על השרתים “משלחים"או בתרגום משוער" Advancers "עד למספר מרבי של 3, שהם לא יותר משרתי DNS חיצוניים שנוכל להתייעץ עם הרשת שלנו (באמצעות חומת אש כמובן) שיענו על השאלות או הבקשות ש- DNS שלנו מקומי אינו מסוגל להגיב.
לדוגמא, אם אנו מגדירים DNS עבור ה- LAN192.168.10.0/24, ואנחנו רוצים שאחד מהמעבירים שלנו יהיה שרת שמות של UCI, עלינו להכריז על העברת ההנחיות {200.55.140.178; }; כתובת IP המתאימה לשרת ns1.uci.cu.
בדרך זו נוכל להתייעץ עם שרת ה- DNS המקומי שלנו שהוא כתובת ה- IP של המארח yahoo.es (שברור שאינו נמצא ב- LAN שלנו), מכיוון שה- DNS שלנו ישאל את ה- UCI אם הוא יודע איזו כתובת ה- IP של yahoo.es, ואז זה ייתן לנו תוצאה מספקת או לא. גם ובקובץ עצמו בשם.conf.option אנו נכריז על היבטים חשובים אחרים בתצורה כפי שנראה בהמשך.
בשם.conf.default-zones: כפי שהשם מרמז, הם אזורי ברירת המחדל. כאן מוגדר שם הקובץ שמכיל את המידע של שרתי השורש או שרתי השורש הדרושים להפעלת מטמון ה- DNS, ליתר דיוק הקובץdb.root. ה- BIND גם הורה להיות בעל סמכות מלאה (להיות אוטוריטרית) ברזולוציית השמות של ה- localhost, הן בשאילתות ישירות והן לאחור, ואותו האזורים "שידור".
בשם.conf.local: קובץ שבו אנו מצהירים על התצורה המקומית של שרת ה- DNS שלנו על ידי שם כל אחד מה- אזורים מקומיים, ואשר יהיו קבצי רשומות ה- DNS אשר ימפו את שמות המחשבים המחוברים לרשת ה- LAN שלנו עם כתובת ה- IP שלהם ולהיפך.
מקש rndc.: קובץ שנוצר המכיל את המפתח לשליטה ב- BIND. באמצעות כלי הבקרה לשרת BIND rndcנוכל לטעון מחדש את תצורת ה- DNS מבלי שנצטרך להפעיל אותה מחדש באמצעות הפקודה טען מחדש rndc. שימושי מאוד כשאנחנו מבצעים שינויים בקבצים של האזורים המקומיים.
בדביאן קבצי האזורים המקומיים יכול להיות ממוקם גם ב / var / lib / bind; בעוד בהפצות אחרות כמו רד האט וסנטוס הן בדרך כלל ממוקמות / var / lib / בשם או ספריות אחרות בהתאם למידת האבטחה המיושמת.
אנו בוחרים את הספרייה / var / cache / binding זה המוצע כברירת מחדל של דביאן בקובץ בשם.conf.options. אנו יכולים להשתמש בכל ספריה אחרת כל עוד אנו מספרים ל- לאגד 9 היכן לחפש את קבצי האזורים, או אנו נותנים את הנתיב המוחלט של כל אחד מהם בקובץ בשם.conf.local. זה מאוד בריא להשתמש בספריות המומלצות על ידי ההפצה בה אנו משתמשים.
זה מעבר לתחום של מאמר זה לדון באבטחה הנוספת הכרוכה ביצירת כלוב או צ'רוט עבור ה- BIND. כך גם נושא האבטחה באמצעות הקשר SELinux. מי שצריך ליישם תכונות כאלה צריך לפנות למדריכים או לספרות מיוחדת. זכור כי חבילת התיעוד bind9-doc מותקן בספריה / usr / share / doc / bind9-doc.
ובכן אדונים, עד כה החלק השני. איננו רוצים להרחיב על מאמר אחד בשל המלצותיו הטובות של המפקד שלנו. סוף סוף! ניכנס לתכלס של התקנת ובדיקת BIND ... בפרק הבא.
מזל טוב מאמר טוב מאוד!
תודה רבה ...
זה פחות חשוב מטעמי אבטחה: אל תשאיר דנ"ש פתוח (פותר פתוח)
הפניות:
1) http://www.google.com/search?hl=en&q=spamhaus+ataque
2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
אני מצטט:
«... לדוגמא, פרויקט ה- Open DNS Resolver (openresolverproject.org), המאמץ של קבוצה של מומחי אבטחה לתקן זאת, מעריך שיש כיום 27 מיליון" Resolvers Open Recursive ", ו -25 מיליון מהם מהווים איום משמעותי. , סמוי, מחכה לשחרר את זעמו שוב כנגד מטרה חדשה .. »
לגבי
טוב מאוד להכניס אנשים לשירות כה חשוב כיום כמו DNS.
מה שאני עושה, אם אוכל לציין דבר אחד, הוא התרגום המצטער שלך ל"משלחים ", שנראה כאילו נשלף מ- google translate. התרגום הנכון הוא "העברת שרתים" או "מעבירים".
כל השאר, נהדר.
לגבי
בעיית סמנטיקה. אם אתה מעביר בקשה לאחר לקבלת תגובה, אינך מקדם בקשה לרמה אחרת. חשבתי שהטיפול הטוב ביותר בספרדית קובנית הוא Adelantadores כיוון שהתייחסתי לשאלה Pass או Advance שאני (ה- DNS המקומי) לא יכול לענות עליה. פָּשׁוּט. היה לי קל יותר לכתוב את המאמר באנגלית. עם זאת, אני תמיד מבהיר לגבי התרגומים שלי. תודה על תגובתך בזמן.
מוּתָרוּת;)!
ברכות!
ובשביל OpenSUSE?
CREO עובד עבור כל הפצה. מיקום הקובץ באזורים משתנה, אני חושב. לא?
תודה לכולכם על התגובות .. ואני מקבל את הצעותיכם בשמחה .. 😉