Mēs turpinām rakstu sēriju, un šajā mēs apskatīsim šādus aspektus:
- Uzstādīšana
- Katalogi un galvenie faili
Pirms turpināt, iesakām nepārtraukt lasīšanu:
Uzstādīšana
Konsolē un kā lietotājs sakne mēs instalējam saistošs9:
spēja instalēt bind9
Mums arī jāinstalē pakotne dnsutils kurai ir nepieciešamie rīki, lai veiktu DNS vaicājumus un diagnosticētu darbību:
spēja instalēt dnsutils
Ja vēlaties iepazīties ar dokumentāciju, kas atrodas krātuvē:
spēja instalēt bind9-doc
Dokumentācija tiks saglabāta direktorijā / usr / share / doc / bind9-doc / arm un indeksa fails vai Satura rādītājs ir bv9ARM.html. Lai to atvērtu, palaidiet:
firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html
Kad mēs instalējam saistošs9 uz Debian, tāpat arī pakete bind9utils kas mums nodrošina vairākus ļoti noderīgus rīkus, lai uzturētu efektīvu BIND instalāciju. Starp tiem mēs atradīsim rndc, nosaukts-checkconf un nosaukts-checkzone. Turklāt iepakojums dnsutils piedalās virknē BIND klientu programmu, starp kurām būs rakt un nslookup. Visi šie rīki vai komandas tiks izmantoti turpmākajos rakstos.
Lai zinātu visas katras paketes programmas, mums tas ir jāizpilda kā lietotājam sakne:
dpkg -L bind9utils dpkg -L dnsutils
Vai arī dodieties uz Synaptic, meklējiet pakotni un skatiet, kuri faili ir instalēti. Īpaši tie, kas ir instalēti mapēs / usr / bin o / usr / sbin.
Ja mēs vēlamies uzzināt vairāk par to, kā izmantot katru instalēto rīku vai programmu, mums ir jāizpilda:
cilvēks
Katalogi un galvenie faili
Kad mēs instalējam Debian, fails tiek izveidots / Etc / resolv.conf. Šis fails vaiResolver pakalpojuma konfigurācijas fails", Tajā ir vairākas iespējas, kuras pēc noklusējuma ir instalēšanas laikā deklarētais DNS servera domēna nosaukums un IP adrese. Tā kā faila palīdzības saturs ir spāņu valodā un ir ļoti skaidrs, ieteicams to izlasīt, izmantojot komandu cilvēks izšķir.konf.
Pēc instalēšanas saistošs9 Pakalpojumā Squeeze tiek izveidoti vismaz šādi direktoriji:
/ etc / bind / var / cache / bind / var / lib / bind
Adrešu grāmatā / etc / bind mēs cita starpā atrodam šādus konfigurācijas failus:
named.conf named.conf.options named.conf.default-zone named.conf.local rndc.key
Adrešu grāmatā / var / cache / bind mēs izveidosim Vietējie apgabali ar kuru tiksim galā vēlāk. Intereses pēc palaidiet šīs komandas konsolē kā lietotājs sakne:
ls -l / etc / bind ls -l / var / cache / bind
Protams, pēdējā direktorijā nebūs nekā, jo mēs vēl neesam izveidojuši vietējo zonu.
BIND iestatījumu sadalīšana vairākos failos tiek veikta ērtības un skaidrības labad. Katram failam ir noteikta funkcija, kā redzēsim tālāk:
nosaukts.conf: Galvenais konfigurācijas fails. Tas ietver failusnamed.conf.options, nosaukts.konf. vietējais y named.conf.default-zone.
named.conf.options: Vispārīgas DNS pakalpojumu iespējas. Direktīva: direktorijs "/ var / cache / bind" tas norādīs bind9, kur meklēt izveidoto lokālo zonu failus. Mēs šeit paziņojam arī par serveriem “Forvarderi"Vai arī aptuvenā tulkojumā" Advances "līdz maksimālajam skaitam 3, kas ir nekas cits kā ārējie DNS serveri, kurus mēs varam konsultēt no sava tīkla (protams, izmantojot ugunsmūri), kas atbildēs uz jautājumiem vai pieprasījumiem, kurus mūsu DNS vietējais nespēj atbildēt.
Piemēram, ja mēs konfigurējam LAN DNS192.168.10.0/24, un mēs vēlamies, lai viens no mūsu ekspeditoriem būtu UCI vārdu serveris, mums jāpaziņo direktīvu ekspeditori {200.55.140.178; }; IP adrese, kas atbilst serverim ns1.uci.cu.
Tādā veidā mēs varēsim sazināties ar mūsu vietējo DNS serveri, kas ir yahoo.es resursdatora IP adrese (kas acīmredzami nav mūsu LAN), jo mūsu DNS jautās UCI, ja tas zina, kura ir IP adrese yahoo.es, un tad tas mums dos apmierinošu rezultātu vai nē. Arī un pašā failā nosaukts.konf.option Mēs paziņosim par citiem svarīgiem konfigurācijas aspektiem, kā redzēsim vēlāk.
named.conf.default-zone: Kā norāda nosaukums, tās ir noklusējuma zonas. Šeit jūs konfigurējat faila BIND nosaukumu, kurā ir DNS servera kešatmiņas palaišanai nepieciešamā saknes serveru vai sakņu serveru informācija, precīzāk failsdb.sakne. BIND ir arī uzdots, ka tai jābūt pilnīgai autoritātei (būt autoritārai), nosakot VDR nosaukumus localhost, gan tiešajos, gan reversajos vaicājumos, un tas pats attiecas uz apraides apgabaliem.
nosaukts.konf. vietējais: Fails, kurā mēs deklarējam mūsu DNS servera vietējo konfigurāciju pēc katra no šiem nosaukumiem Vietējie apgabali, un kas būs DNS ierakstu faili, kas kartēs mūsu LAN savienoto datoru nosaukumus ar to IP adresi un otrādi.
rndc.key: Ģenerēts fails ar atslēgu, lai kontrolētu BIND. Izmantojot servera vadības utilītu BIND rndc, mēs varēsim pārlādēt DNS konfigurāciju bez nepieciešamības to restartēt ar komandu rndc pārlādēt. Ļoti noderīgi, ja veicam izmaiņas lokālo zonu failos.
Debian lokālo zonu faili var atrasties arī / var / lib / bind; savukārt citos izplatījumos, piemēram, Red Hat un CentOS, tie parasti atrodas / var / lib / nosaukts vai citus direktorijus atkarībā no ieviestās drošības pakāpes.
Mēs izvēlamies direktoriju / var / cache / bind tas ir tas, kuru failā pēc noklusējuma iesaka Debian named.conf.options. Mēs varam izmantot jebkuru citu direktoriju, kamēr mēs to sakām saistošs9 kur meklēt zonu failus, vai arī mēs katram no tiem dodam absolūtu ceļu failā nosaukts.konf. vietējais. Ir ļoti veselīgi izmantot direktorijas, kuras ieteicis izplatījums, kuru mēs izmantojam.
Šī raksta darbības joma nav apspriest papildu drošību, kas saistīta ar BIND būra vai “Chroot” izveidošanu. Tāpat arī drošības jautājums, izmantojot SELinux kontekstu. Tiem, kuriem jāievieš šādas funkcijas, jāvēršas pie rokasgrāmatām vai specializētās literatūras. Atcerieties, ka dokumentācijas pakete saistošs9-dok ir instalēta direktorijā / usr / share / doc / bind9-doc.
Nu kungi, līdz šim 2. daļa. Mēs nevēlamies izvērsties par vienu rakstu, pateicoties mūsu priekšnieka labajiem ieteikumiem. Beidzot! mēs iekļūsim BIND iestatīšanas un testēšanas smalkjūtīgajā rakstā ... nākamajā nodaļā.
apsveicu ļoti labu rakstu!
Liels paldies ..
Drošības apsvērumu dēļ tas ir mazāk svarīgi: neatstājiet atvērtu DNS (atveriet risinātāju)
Norādes:
1) http://www.google.com/search?hl=en&q=spamhaus+ataque
2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
Es citēju:
«... Piemēram, Open DNS Resolver Project (openresolverproject.org), drošības ekspertu grupas centieni to novērst, tiek lēsts, ka pašlaik ir 27 miljoni" Open Recursive Resolvers ", un 25 miljoni no tiem ir ievērojams drauds. , latents, gaida, lai atkal atraisītu savas dusmas pret jaunu mērķi .. »
Sveicieni
Ļoti labi, lai cilvēki mūsdienās nonāktu tik svarīgā pakalpojumā kā DNS.
Ko es daru, ja varu kaut ko norādīt, ir jūsu žēl "ekspeditoru" tulkojums, kas izskatās kā izvilkts no google translate. Pareizais tulkojums ir "Pārsūtīšanas serveri" vai "Ekspeditori".
Viss pārējais, lieliski.
Sveicieni
Semantikas problēma. Ja pārsūtāt pieprasījumu citam, lai saņemtu atbildi, jūs nepārsniedzat pieprasījumu citam līmenim. Es uzskatīju, ka vislabākā ārstēšana kubiešu spāņu valodā bija Adelantadores, jo es atsaucos uz Pass vai Advance uz jautājumu, uz kuru es (vietējais DNS) nevarēju atbildēt. Vienkārši. Man būtu bijis vieglāk uzrakstīt rakstu angļu valodā. Tomēr es vienmēr precizēju sadaļu Mani tulkojumi. Paldies par savlaicīgo komentāru.
Greznība;)!
Sveicieni!
Un par OpenSUSE?
CREO darbojas jebkurā distro. Zones faila atrašanās vieta, manuprāt, ir atšķirīga. Nē?
Paldies visiem par komentāriem .. un es ar prieku pieņemu jūsu ierosinājumus .. 😉