DNS Master Utama untuk LAN pada Debian 6.0 (II)

Kami meneruskan siri artikel kami dan dalam artikel ini kami akan membahas aspek berikut:

  • Pemasangan
  • Direktori dan fail utama

Sebelum meneruskan, kami mengesyorkan agar anda tidak berhenti membaca:

Pemasangan

Di Konsol dan sebagai pengguna akar kami memasang mengikat9:

aptitude install bind9

Kita juga mesti memasang pakej dnsutil yang mempunyai alat yang diperlukan untuk membuat pertanyaan DNS dan mendiagnosis operasi:

kemampuan memasang dnsutils

Sekiranya anda ingin melihat dokumentasi yang terdapat di repositori:

aptitude install bind9-doc

Dokumentasi akan disimpan dalam direktori / usr / share / doc / bind9-doc / arm dan fail indeks atau Jadual Kandungan adalah Bv9ARM.html. Untuk membukanya jalankan:

firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html

Apabila kita memasang mengikat9 pada Debian, begitu juga dengan pakejnya mengikat9util yang menyediakan kami beberapa alat yang sangat berguna untuk mengekalkan pemasangan BIND yang berfungsi. Antaranya kita akan dapati rndc, bernama-checkconf dan bernama-checkzone. Lebih-lebih lagi, pakej dnsutil menyumbang keseluruhan siri program klien BIND di antaranya akan menjadi menggali dan nslookup. Kami akan menggunakan semua alat atau perintah ini dalam artikel berikut.

Untuk mengetahui semua program setiap pakej kita mesti melaksanakan sebagai pengguna akar:

dpkg -L bind9utils dpkg -L dnsutils

Atau pergi ke Synaptic, cari pakej, dan lihat fail mana yang dipasang. Terutama yang dipasang di folder / usr / bin o / usr / sbin.

Sekiranya kita ingin mengetahui lebih lanjut mengenai cara menggunakan setiap alat atau program yang dipasang, kita mesti melaksanakan:

lelaki

Direktori dan fail utama

Semasa kami memasang Debian fail dibuat /etc/resolv.conf. Fail ini atau "Fail konfigurasi perkhidmatan penyelesaian semula", Ini berisi beberapa pilihan yang secara lalai adalah nama domain dan alamat IP pelayan DNS yang dinyatakan semasa pemasangan. Oleh kerana kandungan bantuan fail dalam bahasa Sepanyol dan sangat jelas, kami mengesyorkan membacanya menggunakan arahan lelaki resolv.conf.

Selepas memasang mengikat9 Dalam Squeeze, sekurang-kurangnya direktori berikut dibuat:

/ etc / bind / var / cache / bind / var / lib / bind

Dalam buku alamat / dll / ikat kami dapati, antara lain, fail konfigurasi berikut:

bernama.conf bernama.conf.options bernama.conf.default-zones bernama.conf.local rndc.key

Dalam buku alamat / var / cache / bind kami akan membuat fail dari Kawasan Tempatan yang akan kita tangani kemudian. Kerana ingin tahu, jalankan arahan berikut di Konsol sebagai pengguna akar:

ls -l / etc / bind ls -l / var / cache / bind

Sudah tentu, direktori terakhir tidak akan mengandungi apa-apa, kerana kita belum membuat Zon Tempatan.

Membahagikan tetapan BIND ke dalam beberapa fail dilakukan untuk kemudahan dan kejelasan. Setiap fail mempunyai fungsi tertentu seperti yang akan kita lihat di bawah ini:

bernama.conf: Fail konfigurasi utama. Ia merangkumi failnamed.conf.optionsbernama.conf.local y bernama.conf.default-zones.

named.conf.options: Pilihan perkhidmatan DNS am. Arahan: direktori "/ var / cache / bind" ia akan memberitahu bind9 di mana untuk mencari fail Zon Tempatan yang dibuat. Kami juga menyatakan di sini pelayan "Penghantar"Atau dalam terjemahan perkiraan" Advancers "hingga jumlah maksimum 3, yang tidak lebih dari pelayan DNS luaran yang dapat kami rujuk dari rangkaian kami (tentu saja melalui Firewall) yang akan menjawab pertanyaan atau permintaan yang DNS kami tempatan tidak dapat bertindak balas.

Sebagai contoh, jika kita mengkonfigurasi DNS untuk LAN192.168.10.0 / 24, dan kami mahu salah satu penerus kami menjadi Pelayan Nama UCI, kami mesti menyatakan arahan penerusan {200.55.140.178; }; Alamat IP yang sesuai dengan pelayan ns1.uci.cu.

Dengan cara ini, kita akan dapat melihat pelayan DNS tempatan kita yang merupakan alamat IP dari host yahoo.es (yang jelas tidak ada di LAN kita), kerana DNS kita akan bertanya kepada UCI jika mengetahui alamat IP dari yahoo.es, dan kemudian itu akan memberi kita hasil yang memuaskan atau tidak. Juga dan dalam fail itu sendiri bernama.conf.option Kami akan menyatakan aspek penting lain dari konfigurasi seperti yang akan kita lihat kemudian.

bernama.conf.default-zones: Seperti namanya, mereka adalah Zon Lalai. Di sini anda mengkonfigurasi BIND nama fail yang mengandungi maklumat Root Servers atau Root Servers yang diperlukan untuk memulakan DNS cache, lebih khusus filedb.root. BIND juga diperintahkan untuk memiliki Kuasa penuh (untuk menjadi Otoriter) dalam penyelesaian nama untuk localhost, dalam pertanyaan langsung dan terbalik, dan sama untuk kawasan "Siaran".

bernama.conf.local: Fail di mana kita menyatakan konfigurasi tempatan pelayan DNS kami dengan nama masing-masing Kawasan Tempatan, dan yang akan menjadi Fail Rekod DNS yang akan memetakan nama komputer yang disambungkan ke LAN kami dengan alamat IP mereka dan sebaliknya.

rndc.key: Fail yang dihasilkan mengandungi Kunci untuk mengawal BIND. Menggunakan utiliti kawalan pelayan BIND rndc, kita akan dapat memuat semula konfigurasi DNS tanpa perlu memulakannya semula dengan perintah tambah nilai rndc. Sangat berguna ketika kita membuat perubahan pada fail Zon Tempatan.

Dalam fail Debian the Local Zones boleh juga terletak di / var / lib / mengikat; sementara dalam pengedaran lain seperti Red Hat dan CentOS biasanya mereka berada di  / var / lib / bernama atau direktori lain bergantung pada tahap keselamatan yang dilaksanakan.

Kami memilih direktori / var / cache / bind ia adalah yang disarankan oleh Debian lalai dalam fail named.conf.options. Kita boleh menggunakan direktori lain selagi kita memberitahu mengikat9 di mana untuk mencari fail zon, atau kita memberikan jalan mutlak masing-masing di dalam fail bernama.conf.local. Sangat sihat untuk menggunakan direktori yang disyorkan oleh pengedaran yang kita gunakan.

Di luar skop artikel ini untuk membincangkan keselamatan tambahan yang terlibat dalam membuat Cage atau Chroot untuk BIND. Begitu juga masalah keselamatan melalui konteks SELinux. Mereka yang perlu menerapkan ciri tersebut harus beralih kepada buku panduan atau literatur khusus. Ingat bahawa pakej dokumentasi bind9-doc dipasang di direktori / usr / share / doc / bind9-doc.

Tuan-tuan, setakat ini Bahagian ke-2. Kami tidak mahu memikirkan satu artikel kerana cadangan Ketua kami yang baik. Akhirnya! kita akan masuk ke dalam Penyediaan dan Pengujian BIND yang terperinci ... dalam bab seterusnya.


Kandungan artikel mematuhi prinsip kami etika editorial. Untuk melaporkan ralat, klik di sini.

9 komen, tinggalkan komen anda

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan.

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   Carlos andres kata

    selamat artikel yang sangat baik!

    1.    phico kata

      Terima kasih banyak ..

  2.   Harry kata

    Perkara ini kurang penting untuk keselamatan: Jangan biarkan dns terbuka (open resolver)

    Rujukan:
    1) http://www.google.com/search?hl=en&q=spamhaus+ataque
    2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
    Saya memetik:
    «… Sebagai contoh, Open DNS Resolver Project (openresolverproject.org), usaha sekumpulan pakar keselamatan untuk memperbaikinya, menganggarkan bahawa pada masa ini terdapat 27 juta" Open Recursive Resolvers ", dan 25 juta daripadanya merupakan ancaman yang besar ., pendam, menunggu untuk melepaskan kemarahannya lagi terhadap sasaran baru .. »
    salam

  3.   eVER kata

    Sangat baik untuk menjadikan orang menjadi perkhidmatan penting hari ini seperti DNS.
    Apa yang saya lakukan, jika saya dapat menunjukkan sesuatu, ialah terjemahan "forwarders" maaf anda, yang sepertinya ditarik dari terjemahan Google. Terjemahan yang betul ialah "Forwarding Servers" atau "Forwarders."
    Yang lain, hebat.
    salam

    1.    Federico kata

      Masalah semantik. Sekiranya anda meneruskan permintaan ke orang lain untuk mendapatkan Respons, anda tidak akan memajukan permintaan ke tingkat lain. Saya percaya bahawa rawatan terbaik dalam bahasa Sepanyol Kuba adalah Adelantadores kerana saya merujuk kepada soalan Pass or Advance yang tidak dapat saya jawab (DNS tempatan). Ringkas. Lebih mudah bagi saya untuk menulis artikel tersebut dalam bahasa Inggeris. Walau bagaimanapun, saya selalu menjelaskan mengenai Terjemahan Saya. Terima kasih atas komen anda yang tepat pada masanya.

  4.   st0rmt4il kata

    Mewah;)!

    Salam!

  5.   jecale47 kata

    Dan untuk OpenSUSE?

    1.    Federico kata

      CREO berfungsi untuk sebarang distro. Lokasi fail zon berbeza, saya rasa. tidak?

  6.   phico kata

    Terima kasih semua kerana memberi komen .. dan saya dengan senang hati menerima cadangan anda .. 😉