Primary Master DNS dla sieci LAN w systemie Debian 6.0 (II)

Kontynuujemy naszą serię artykułów, w tym zajmiemy się następującymi aspektami:

  • instalacja
  • Katalogi i pliki główne

Przed kontynuowaniem zalecamy nie przerywać czytania:

instalacja

W konsoli i jako użytkownik korzeń instalujemy wiązać9:

aptitude zainstaluj bind9

Musimy również zainstalować pakiet dnsutils który posiada niezbędne narzędzia do wykonywania zapytań DNS i diagnozowania operacji:

aptitude zainstaluj dnsutils

Jeśli chcesz zapoznać się z dokumentacją znajdującą się w repozytorium:

aptitude zainstaluj bind9-doc

Dokumentacja będzie przechowywana w katalogu / usr / share / doc / bind9-doc / arm a plik indeksu lub spis treści to Bv9ARM.html. Aby go otworzyć, uruchom:

firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html

Kiedy instalujemy wiązać9 na Debianie, tak samo działa pakiet bind9utils co zapewnia nam kilka bardzo przydatnych narzędzi do utrzymania działającej instalacji programu BIND. Wśród nich znajdziemy rndc, named-checkconf i named-checkzone. Ponadto pakiet dnsutils wnosi całą serię programów klienckich BIND, wśród których będzie kopać i nslookup. Użyjemy wszystkich tych narzędzi lub poleceń w kolejnych artykułach.

Aby poznać wszystkie programy z każdego pakietu, musimy wykonać je jako użytkownik korzeń:

dpkg -L bind9utils dpkg -L dnsutils

Albo idź do Synaptic, poszukaj pakietu i zobacz, które pliki są zainstalowane. Szczególnie te, które są zainstalowane w folderach / usr / bin o / usr / sbin.

Jeśli chcemy dowiedzieć się więcej o tym, jak korzystać z każdego zainstalowanego narzędzia lub programu, musimy wykonać:

człowiek

Katalogi i pliki główne

Kiedy instalujemy Debiana, plik jest tworzony / Etc / resolv.conf. Ten plik lub „Plik konfiguracyjny usługi resolvera", Zawiera kilka opcji, którymi są domyślnie nazwa domeny i adres IP serwera DNS zadeklarowane podczas instalacji. Ponieważ treść pomocy pliku jest w języku hiszpańskim i jest bardzo przejrzysta, zalecamy przeczytanie go za pomocą polecenia man resolv.conf.

Po zainstalowaniu wiązać9 W Squeeze tworzone są przynajmniej następujące katalogi:

/ etc / bind / var / cache / bind / var / lib / bind

W książce adresowej / etc / bind znajdziemy między innymi następujące pliki konfiguracyjne:

named.conf named.conf.options named.conf.default-zones named.conf.local rndc.key

W książce adresowej / var / cache / bind stworzymy pliki Obszary lokalne którym zajmiemy się później. Z ciekawości uruchom następujące polecenia w konsoli jako użytkownik korzeń:

ls -l / etc / bind ls -l / var / cache / bind

Oczywiście w ostatnim katalogu nic nie będzie, ponieważ nie utworzyliśmy jeszcze Strefy Lokalnej.

Dzielenie ustawień BIND na wiele plików odbywa się dla wygody i przejrzystości. Każdy plik ma określoną funkcję, jak zobaczymy poniżej:

nazwa.conf: Główny plik konfiguracyjny. Zawiera plikinamed.conf.optionsnazwany.conf.lokalny y named.conf.default-zones.

named.conf.options: Ogólne opcje usługi DNS. Dyrektywa: katalog „/ var / cache / bind” powie bind9 gdzie szukać plików utworzonych Stref Lokalnych. Deklarujemy tutaj również serwery „Spedytorzy„Lub w przybliżonym tłumaczeniu„ Zaliczki ”do maksymalnej liczby 3, które są niczym innym jak zewnętrznymi serwerami DNS, z którymi możemy się skonsultować w naszej sieci (oczywiście przez zaporę sieciową), które odpowiedzą na pytania lub żądania, które nasz DNS local nie jest w stanie odpowiedzieć.

Na przykład, jeśli konfigurujemy DNS dla sieci LAN192.168.10.0 / 24i chcemy, aby jeden z naszych usług przesyłania dalej był serwerem nazw UCI, musimy zadeklarować dyrektywy forwarders {200.55.140.178; }; Adres IP odpowiadający serwerowi ns1.uci.cu.

W ten sposób będziemy mogli skonsultować się z naszym lokalnym serwerem DNS, który jest adresem IP hosta yahoo.es (który oczywiście nie znajduje się w naszej sieci LAN), ponieważ nasz DNS zapyta UCI, czy wie, który jest adres IP yahoo.es, a wtedy da nam zadowalający wynik lub nie. Również w samym pliku nazwa.conf.opcja Zadeklarujemy inne ważne aspekty konfiguracji, jak zobaczymy później.

named.conf.default-zones: Jak sama nazwa wskazuje, są to Strefy domyślne. Tutaj konfigurujesz BIND nazwę pliku, który zawiera informacje o serwerach głównych lub serwerach głównych niezbędne do uruchomienia pamięci podręcznej DNS, a dokładniej o plikudb.root. BIND jest również poinstruowany, aby mieć pełną władzę (być autorytarną) w rozstrzyganiu nazw domen localhost, zarówno w zapytaniach bezpośrednich, jak i odwrotnych, i to samo dla obszarów „Broadcast”.

nazwany.conf.lokalny: Plik, w którym deklarujemy lokalną konfigurację naszego serwera DNS za pomocą nazwy każdego z plików Obszary lokalne, i które będą plikami rekordów DNS, które będą mapować nazwy komputerów podłączonych do naszej sieci LAN z ich adresami IP i odwrotnie.

klucz.rndc: Wygenerowany plik zawierający klucz do sterowania BIND. Korzystanie z narzędzia kontroli serwera BIND rndc, będziemy mogli ponownie załadować konfigurację DNS bez konieczności ponownego jej uruchamiania za pomocą polecenia rndc przeładuj. Bardzo przydatne, gdy dokonujemy zmian w plikach Stref Lokalnych.

W Debianie pliki stref lokalnych może również znajdować się w / var / lib / bind; podczas gdy w innych dystrybucjach, takich jak Red Hat i CentOS, zwykle znajdują się w  / var / lib / named lub inne katalogi w zależności od stopnia zaimplementowanego bezpieczeństwa.

Wybieramy katalog / var / cache / bind jest to ta sugerowana domyślnie w pliku Debian named.conf.options. Możemy użyć dowolnego innego katalogu, o ile podamy plik wiązać9 gdzie szukać plików stref, lub podajemy bezwzględną ścieżkę do każdej z nich w pliku nazwany.conf.lokalny. Używanie katalogów zalecanych przez dystrybucję, której używamy, jest bardzo zdrowe.

Omówienie dodatkowych zabezpieczeń związanych z tworzeniem klatki lub środowiska Chroot dla BIND wykracza poza zakres tego artykułu. Podobnie jest z kwestią bezpieczeństwa w kontekście SELinux. Ci, którzy muszą wdrożyć takie funkcje, powinni zwrócić się do podręczników lub literatury specjalistycznej. Pamiętaj, że pakiet dokumentacji bind9-doc jest zainstalowany w katalogu / usr / share / doc / bind9-doc.

Cóż, panowie, jak dotąd druga część. Nie chcemy rozwijać ani jednego artykułu ze względu na dobre rekomendacje naszego Szefa. Wreszcie! przejdziemy do podstaw konfiguracji i testowania BIND… w następnym rozdziale.


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

9 komentarzy, zostaw swoje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany.

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   Carlos Andres powiedział

    gratuluję bardzo dobrego artykułu!

    1.    phico powiedział

      Dziękuję bardzo ..

  2.   Harry powiedział

    Jest to mniej ważne dla bezpieczeństwa: nie zostawiaj otwartego dns (otwórz resolver)

    Referencje:
    1) http://www.google.com/search?hl=en&q=spamhaus+ataque
    2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
    Cytuję:
    «… Na przykład Open DNS Resolver Project (openresolverproject.org), wysiłek grupy ekspertów ds. Bezpieczeństwa w celu rozwiązania tego problemu, szacuje, że obecnie istnieje 27 milionów„ Open Recursive Resolvers ”, a 25 milionów z nich stanowi poważne zagrożenie ., utajony, czekający, by ponownie uwolnić swoją furię przeciwko nowemu celowi. »
    pozdrowienia

  3.   zawsze powiedział

    Bardzo dobrze jest dziś przyciągać ludzi do tak ważnej usługi, jak DNS.
    To, co robię, jeśli mogę wskazać jedną rzecz, to twoje żałosne tłumaczenie „forwarderów”, które wygląda tak, jakby zostało wyciągnięte z Google Translate. Prawidłowe tłumaczenie to „Serwery przesyłające” lub „Serwery przesyłające”.
    Wszystko inne super.
    pozdrowienia

    1.    Federico powiedział

      Problem semantyki. Jeśli prześlesz prośbę do innej osoby w celu uzyskania odpowiedzi, nie przesuniesz wniosku na inny poziom. Pomyślałem, że najlepszym sposobem leczenia w kubańskim hiszpańskim było Adelantadores, ponieważ odnosiłem się do Pass lub Advance, na które ja (lokalny DNS) nie mogłem odpowiedzieć. Prosty. Łatwiej byłoby mi napisać artykuł po angielsku. Zawsze jednak wyjaśniam moje tłumaczenia. Dziękuję za aktualny komentarz.

  4.   st0rmt4il powiedział

    Luksus;)!

    Pozdrowienia!

  5.   jecale47 powiedział

    A co z OpenSUSE?

    1.    Federico powiedział

      CREO działa dla każdej dystrybucji. Myślę, że lokalizacja pliku stref jest różna. Nie?

  6.   phico powiedział

    Dziękuję wszystkim za komentarze… i chętnie przyjmuję Twoje sugestie… 😉