Debian 6.0上のLANのプライマリマスターDNS(II)

私たちは一連の記事を続け、この記事では次の側面を扱います。

  • インストール
  • ディレクトリとメインファイル

続行する前に、以下を読むのをやめないことをお勧めします。

インストール

コンソール内およびユーザーとして ルート インストールします bind9:

aptitude インストール bind9

パッケージもインストールする必要があります dnsutil DNSクエリを実行し、操作を診断するために必要なツールがあります。

aptitude インストール dnsutils

リポジトリに含まれているドキュメントを参照する場合:

aptitude のインストール bind9-doc

ドキュメントはディレクトリに保存されます / usr / share / doc / bind9-doc / arm インデックスファイルまたは目次は bv9ARM.html。 それを開くには、以下を実行します。

firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html

インストールすると bind9 Debianでは、パッケージもそうです bind9utils これは、BINDの正常なインストールを維持するためのいくつかの非常に便利なツールを提供します。 それらの中で私たちは見つけるでしょう rndc、named-checkconf、named-checkzone。 また、パッケージ dnsutil 一連のBINDクライアントプログラム全体に貢献します。 dig Y·エル nslookup。 次の記事では、これらすべてのツールまたはコマンドを使用します。

各パッケージのすべてのプログラムを知るには、ユーザーとして実行する必要があります ルート:

dpkg -L bind9utils dpkg -L dnsutils

またはに行く シナプス、パッケージを探し、インストールされているファイルを確認します。 特にフォルダにインストールされているもの / usr / bin o / usr / sbin.

インストールされている各ツールまたはプログラムの使用方法について詳しく知りたい場合は、以下を実行する必要があります。

おとこ

ディレクトリとメインファイル

Debianをインストールすると、ファイルが作成されます /etc/resolv.conf。 このファイルまたは "リゾルバーサービス構成ファイル"、これには、デフォルトでインストール中に宣言されたDNSサーバーのドメイン名とIPアドレスであるいくつかのオプションが含まれています。 ファイルのヘルプの内容はスペイン語であり、非常に明確であるため、コマンドを使用して読むことをお勧めします 男resolv.conf.

インストール後 bind9 Squeezeでは、少なくとも次のディレクトリが作成されます。

/ etc / bind / var / cache / bind / var / lib / bind

アドレスブックで / etc / bind 特に、次の構成ファイルがあります。

名前付き.confnamed.conf.optionsnamed.conf.default-ゾーンnamed.conf.localrndc.key

アドレスブックで / var / cache / bind のファイルを作成します ローカルエリア これについては後で扱います。 好奇心から、ユーザーとしてコンソールで次のコマンドを実行します ルート:

ls -l / etc / bind ls -l / var / cache / bind

もちろん、ローカルゾーンをまだ作成していないため、最後のディレクトリには何も含まれません。

BIND設定を複数のファイルに分割するのは、利便性と明確さのためです。 以下に示すように、各ファイルには特定の機能があります。

named.conf:メイン構成ファイル。 ファイルが含まれていますnamed.conf.optionsnamed.conf.local y named.conf.default-zones.

named.conf.options:一般的なDNSサービスオプション。 指令: ディレクトリ "/ var / cache / bind" 作成されたローカルゾーンのファイルを探す場所をbind9に指示します。 また、ここでサーバーを宣言します。フォワーダー「またはおおよその翻訳では、最大3つまで「前進」します。これは、DNSに対する質問や要求に応答する、ネットワークから(もちろんファイアウォールを介して)参照できる外部DNSサーバーにすぎません。ローカルは応答できません。

たとえば、LANのDNSを構成している場合192.168.10.0 / 24、フォワーダーのXNUMXつをUCIネームサーバーにしたい場合は、ディレクティブフォワーダーを宣言する必要があります {200.55.140.178,​​XNUMX; }; サーバーに対応するIPアドレス ns1.uci.cu.

このようにして、yahoo.esホストのIPアドレスであるローカルDNSサーバー(明らかにLAN上にない)を調べることができます。これは、DNSがUCIに、のIPアドレスがどれであるかを知っているかどうかを尋ねるからです。 yahoo.es、そしてそれは私たちに満足のいく結果を与えるかどうか。 また、ファイル自体に named.conf.option 後で説明するように、構成の他の重要な側面を宣言します。

named.conf.default-zones:名前が示すように、これらはデフォルトゾーンです。 ここでは、DNSキャッシュを開始するために必要なルートサーバーまたはルートサーバーの情報を含むファイルの名前、より具体的にはファイルのBINDを構成します。デシベルルート。 BINDはまた、名前の解決において完全な権限(権威者になる)を持つように指示されます。 ローカルホスト、直接クエリと逆クエリの両方で、「ブロードキャスト」領域でも同じです。

named.conf.local:DNSサーバーのローカル構成をそれぞれの名前で宣言するファイル ローカルエリア、およびこれは、LANに接続されているコンピューターの名前をIPアドレスにマップするDNSレコードファイルになります。その逆も同様です。

rndc.key:BINDを制御するためのキーを含む生成されたファイル。 BINDサーバー制御ユーティリティの使用 rndc、コマンドで再起動せずにDNS構成をリロードできるようになります rndcリロード。 ローカルゾーンのファイルに変更を加えるときに非常に便利です。

Debianではローカルゾーンファイル に配置することもできます / var / lib / bind; Red HatやCentOSのような他のディストリビューションでは、通常、  / var / lib /名前付き または実装されたセキュリティの程度に応じて他のディレクトリ。

ディレクトリを選択します / var / cache / bind これは、ファイルでデフォルトでDebianに提案されているものです。 named.conf.options。 私たちが言う限り、他のディレクトリを使用することができます bind9 ゾーンのファイルを探す場所、またはファイル内の各ゾーンの絶対パスを提供します named.conf.local。 使用しているディストリビューションで推奨されているディレクトリを使用することは非常に健全です。

BINDのケージまたはChrootの作成に関連する追加のセキュリティについて説明することは、この記事の範囲を超えています。 SELinuxコンテキストを介したセキュリティの問題も同様です。 そのような機能を実装する必要がある人は、マニュアルまたは専門の文献に目を向けるべきです。 ドキュメントパッケージを忘れないでください bind9-doc ディレクトリにインストールされています / usr / share / doc / bind9-doc.

さて、これまでのところ第2部です。 私たちのチーフの良い推薦のために、私たちは単一の記事に拡大したくありません。 最終的に! 次の章では、BINDのセットアップとテストの要点について説明します。


記事の内容は、次の原則に準拠しています。 編集倫理。 エラーを報告するには、 ここで.

9コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   カルロス·アンドレス

    おめでとうございます!

    1.    FICO

      どうもありがとうございました..

  2.   ハリー

    これはセキュリティ上の理由からそれほど重要ではありません。dnsを開いたままにしないでください(オープンリゾルバー)

    参考文献:
    1) http://www.google.com/search?hl=en&q=spamhaus+ataque
    2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
    私は引用します:
    «…たとえば、これを修正するためのセキュリティ専門家グループの取り組みであるOpen DNS Resolver Project(openresolverproject.org)は、現在27万の「OpenRecursive Resolver」があり、そのうちの25万が重大な脅威であると推定しています。 。、潜在的、新しいターゲットに対して再びその怒りを解き放つのを待っている..»
    よろしく

  3.   これまで

    今日、DNSのような重要なサービスに人々を参加させるのは非常に良いことです。
    私がしていることは、一つ指摘できれば、「フォワーダー」の申し訳ない翻訳です。これは、グーグル翻訳から抜粋されたようです。 正しい翻訳は「ForwardingServers」または「Forwarders」です。
    他のすべて、素晴らしい。
    よろしく

    1.    フェデリコ

      セマンティクスの問題。 応答を取得するために要求を別のレベルに転送する場合、要求を別のレベルに進めているわけではありません。 私(ローカルDNS)が答えることができなかった質問に合格または事前に言及していたので、キューバのスペイン語での最良の治療はアデランタドレスであると信じていました。 シンプル。 記事を英語で書くほうが簡単だったでしょう。 しかし、私は常に私の翻訳について明確にしています。 タイムリーなコメントありがとうございます。

  4.   st0rmt4il

    贅沢;)!

    ご挨拶!

  5.   ジェカレ47

    そしてOpenSUSEの場合は?

    1.    フェデリコ

      CREOはあらゆるディストリビューションで機能します。 ゾーンファイルの場所はさまざまだと思います。 番号?

  6.   FICO

    コメントありがとうございました..そして私はあなたの提案を喜んで受け入れます..😉