Kami meneruskan siri artikel kami dan dalam artikel ini kami akan membahas aspek berikut:
- Pemasangan
- Direktori dan fail utama
Sebelum meneruskan, kami mengesyorkan agar anda tidak berhenti membaca:
Pemasangan
Di Konsol dan sebagai pengguna akar kami memasang mengikat9:
aptitude install bind9
Kita juga mesti memasang pakej dnsutil yang mempunyai alat yang diperlukan untuk membuat pertanyaan DNS dan mendiagnosis operasi:
kemampuan memasang dnsutils
Sekiranya anda ingin melihat dokumentasi yang terdapat di repositori:
aptitude install bind9-doc
Dokumentasi akan disimpan dalam direktori / usr / share / doc / bind9-doc / arm dan fail indeks atau Jadual Kandungan adalah bv9ARM.html. Untuk membukanya jalankan:
firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html
Apabila kita memasang mengikat9 pada Debian, begitu juga dengan pakejnya mengikat9util yang menyediakan kami beberapa alat yang sangat berguna untuk mengekalkan pemasangan BIND yang berfungsi. Antaranya kita akan dapati rndc, bernama-checkconf dan bernama-checkzone. Lebih-lebih lagi, pakej dnsutil menyumbang keseluruhan siri program klien BIND di antaranya akan menjadi menggali dan nslookup. Kami akan menggunakan semua alat atau perintah ini dalam artikel berikut.
Untuk mengetahui semua program setiap pakej kita mesti melaksanakan sebagai pengguna akar:
dpkg -L bind9utils dpkg -L dnsutils
Atau pergi ke Synaptic, cari pakej, dan lihat fail mana yang dipasang. Terutama yang dipasang di folder / usr / bin o / usr / sbin.
Sekiranya kita ingin mengetahui lebih lanjut mengenai cara menggunakan setiap alat atau program yang dipasang, kita mesti melaksanakan:
lelaki
Direktori dan fail utama
Semasa kami memasang Debian fail dibuat /etc/resolv.conf. Fail ini atau "Fail konfigurasi perkhidmatan penyelesaian semula", Ini berisi beberapa pilihan yang secara lalai adalah nama domain dan alamat IP pelayan DNS yang dinyatakan semasa pemasangan. Oleh kerana kandungan bantuan fail dalam bahasa Sepanyol dan sangat jelas, kami mengesyorkan membacanya menggunakan arahan lelaki resolv.conf.
Selepas memasang mengikat9 Dalam Squeeze, sekurang-kurangnya direktori berikut dibuat:
/ etc / bind / var / cache / bind / var / lib / bind
Dalam buku alamat / dll / ikat kami dapati, antara lain, fail konfigurasi berikut:
bernama.conf bernama.conf.options bernama.conf.default-zones bernama.conf.local rndc.key
Dalam buku alamat / var / cache / bind kami akan membuat fail dari Kawasan Tempatan yang akan kita tangani kemudian. Kerana ingin tahu, jalankan arahan berikut di Konsol sebagai pengguna akar:
ls -l / etc / bind ls -l / var / cache / bind
Sudah tentu, direktori terakhir tidak akan mengandungi apa-apa, kerana kita belum membuat Zon Tempatan.
Membahagikan tetapan BIND ke dalam beberapa fail dilakukan untuk kemudahan dan kejelasan. Setiap fail mempunyai fungsi tertentu seperti yang akan kita lihat di bawah ini:
bernama.conf: Fail konfigurasi utama. Ia merangkumi failnamed.conf.options, bernama.conf.local y bernama.conf.default-zones.
named.conf.options: Pilihan perkhidmatan DNS am. Arahan: direktori "/ var / cache / bind" ia akan memberitahu bind9 di mana untuk mencari fail Zon Tempatan yang dibuat. Kami juga menyatakan di sini pelayan "Penghantar"Atau dalam terjemahan perkiraan" Advancers "hingga jumlah maksimum 3, yang tidak lebih dari pelayan DNS luaran yang dapat kami rujuk dari rangkaian kami (tentu saja melalui Firewall) yang akan menjawab pertanyaan atau permintaan yang DNS kami tempatan tidak dapat bertindak balas.
Sebagai contoh, jika kita mengkonfigurasi DNS untuk LAN192.168.10.0/24, dan kami mahu salah satu penerus kami menjadi Pelayan Nama UCI, kami mesti menyatakan arahan penerusan {200.55.140.178; }; Alamat IP yang sesuai dengan pelayan ns1.uci.cu.
Dengan cara ini, kita akan dapat melihat pelayan DNS tempatan kita yang merupakan alamat IP dari host yahoo.es (yang jelas tidak ada di LAN kita), kerana DNS kita akan bertanya kepada UCI jika mengetahui alamat IP dari yahoo.es, dan kemudian itu akan memberi kita hasil yang memuaskan atau tidak. Juga dan dalam fail itu sendiri bernama.conf.option Kami akan menyatakan aspek penting lain dari konfigurasi seperti yang akan kita lihat kemudian.
bernama.conf.default-zones: Seperti namanya, mereka adalah Zon Lalai. Di sini anda mengkonfigurasi BIND nama fail yang mengandungi maklumat Root Servers atau Root Servers yang diperlukan untuk memulakan DNS cache, lebih khusus filedb.root. BIND juga diperintahkan untuk memiliki Kuasa penuh (untuk menjadi Otoriter) dalam penyelesaian nama untuk localhost, dalam pertanyaan langsung dan terbalik, dan sama untuk kawasan "Siaran".
bernama.conf.local: Fail di mana kita menyatakan konfigurasi tempatan pelayan DNS kami dengan nama masing-masing Kawasan Tempatan, dan yang akan menjadi Fail Rekod DNS yang akan memetakan nama komputer yang disambungkan ke LAN kami dengan alamat IP mereka dan sebaliknya.
rndc.key: Fail yang dihasilkan mengandungi Kunci untuk mengawal BIND. Menggunakan utiliti kawalan pelayan BIND rndc, kita akan dapat memuat semula konfigurasi DNS tanpa perlu memulakannya semula dengan perintah tambah nilai rndc. Sangat berguna ketika kita membuat perubahan pada fail Zon Tempatan.
Dalam fail Debian the Local Zones boleh juga terletak di / var / lib / mengikat; sementara dalam pengedaran lain seperti Red Hat dan CentOS biasanya mereka berada di / var / lib / bernama atau direktori lain bergantung pada tahap keselamatan yang dilaksanakan.
Kami memilih direktori / var / cache / bind ia adalah yang disarankan oleh Debian lalai dalam fail named.conf.options. Kita boleh menggunakan direktori lain selagi kita memberitahu mengikat9 di mana untuk mencari fail zon, atau kita memberikan jalan mutlak masing-masing di dalam fail bernama.conf.local. Sangat sihat untuk menggunakan direktori yang disyorkan oleh pengedaran yang kita gunakan.
Di luar skop artikel ini untuk membincangkan keselamatan tambahan yang terlibat dalam membuat Cage atau Chroot untuk BIND. Begitu juga masalah keselamatan melalui konteks SELinux. Mereka yang perlu menerapkan ciri tersebut harus beralih kepada buku panduan atau literatur khusus. Ingat bahawa pakej dokumentasi bind9-doc dipasang di direktori / usr / share / doc / bind9-doc.
Tuan-tuan, setakat ini Bahagian ke-2. Kami tidak mahu memikirkan satu artikel kerana cadangan Ketua kami yang baik. Akhirnya! kita akan masuk ke dalam Penyediaan dan Pengujian BIND yang terperinci ... dalam bab seterusnya.
selamat artikel yang sangat baik!
Terima kasih banyak ..
Perkara ini kurang penting untuk keselamatan: Jangan biarkan dns terbuka (open resolver)
Rujukan:
1) http://www.google.com/search?hl=en&q=spamhaus+ataque
2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
Saya memetik:
«… Sebagai contoh, Open DNS Resolver Project (openresolverproject.org), usaha sekumpulan pakar keselamatan untuk memperbaikinya, menganggarkan bahawa pada masa ini terdapat 27 juta" Open Recursive Resolvers ", dan 25 juta daripadanya merupakan ancaman yang besar ., pendam, menunggu untuk melepaskan kemarahannya lagi terhadap sasaran baru .. »
salam
Sangat baik untuk menjadikan orang menjadi perkhidmatan penting hari ini seperti DNS.
Apa yang saya lakukan, jika saya dapat menunjukkan sesuatu, ialah terjemahan "forwarders" maaf anda, yang sepertinya ditarik dari terjemahan Google. Terjemahan yang betul ialah "Forwarding Servers" atau "Forwarders."
Yang lain, hebat.
salam
Masalah semantik. Sekiranya anda meneruskan permintaan ke orang lain untuk mendapatkan Respons, anda tidak akan memajukan permintaan ke tingkat lain. Saya percaya bahawa rawatan terbaik dalam bahasa Sepanyol Kuba adalah Adelantadores kerana saya merujuk kepada soalan Pass or Advance yang tidak dapat saya jawab (DNS tempatan). Ringkas. Lebih mudah bagi saya untuk menulis artikel tersebut dalam bahasa Inggeris. Walau bagaimanapun, saya selalu menjelaskan mengenai Terjemahan Saya. Terima kasih atas komen anda yang tepat pada masanya.
Mewah;)!
Salam!
Dan untuk OpenSUSE?
CREO berfungsi untuk sebarang distro. Lokasi fail zon berbeza, saya rasa. tidak?
Terima kasih semua kerana memberi komen .. dan saya dengan senang hati menerima cadangan anda .. 😉