Мы продолжаем нашу серию статей, и в этой мы рассмотрим следующие аспекты:
- Установка
- Каталоги и основные файлы
Прежде чем продолжить, рекомендуем не прекращать читать:
Установка
В консоли и как пользователь корень мы установили привязать9:
aptitude установить bind9
Мы также должны установить пакет днсутилс который имеет необходимые инструменты для выполнения DNS-запросов и диагностики операции:
aptitude установить dnsutils
Если вы хотите ознакомиться с документацией, которая есть в репозитории:
aptitude установить bind9-doc
Документация будет храниться в каталоге / usr / share / doc / bind9-doc / arm а индексный файл или оглавление - это bv9ARM.html. Чтобы открыть его, выполните:
firefox / usr / share / документ / bind9-документ / рука / Bv9ARM.html
Когда мы устанавливаем привязать9 в Debian, пакет связывание9utils который предоставляет нам несколько очень полезных инструментов для поддержки работающей установки BIND. Среди них мы найдем rndc, named-checkconf и named-checkzone. Более того, пакет днсутилс вносит вклад в целую серию клиентских программ BIND, среди которых будут копать y el Nslookup. Мы будем использовать все эти инструменты или команды в следующих статьях.
Чтобы узнать все программы каждого пакета, мы должны выполнять их как пользователь корень:
dpkg -L bind9utils dpkg -L dnsutils
Или перейти к Synaptic, найдите пакет и посмотрите, какие файлы установлены. Особенно те, что установлены в папках / USR / бен o / usr / sbin.
Если мы хотим узнать больше о том, как использовать каждый установленный инструмент или программу, мы должны выполнить:
мужчина
Каталоги и основные файлы
Когда мы устанавливаем Debian, файл создается / Etc / resolv.conf. Этот файл или "Файл конфигурации службы резолвера", Он содержит несколько параметров, которые по умолчанию являются доменным именем и IP-адресом DNS-сервера, объявленными во время установки. Поскольку содержание справки по файлу написано на испанском языке и очень понятно, мы рекомендуем прочитать его с помощью команды человек resolv.conf.
После установки привязать9 В Squeeze создаются как минимум следующие каталоги:
/ и т.д. / привязка / вар / кеш / привязка / вар / библиотека / привязка
В адресной книге / etc / bind мы находим, среди прочего, следующие файлы конфигурации:
named.conf named.conf.options named.conf.default-zone named.conf.local rndc.key
В адресной книге / var / cache / bind мы создадим файлы Местные районы о чем мы поговорим позже. Из любопытства запустите следующие команды в консоли от имени пользователя корень:
ls -l / etc / bind ls -l / var / cache / bind
Конечно, последний каталог ничего не будет содержать, поскольку мы еще не создали локальную зону.
Разделение настроек BIND на несколько файлов сделано для удобства и ясности. Каждый файл имеет определенную функцию, как мы увидим ниже:
именованный.conf: Главный файл конфигурации. Включает файлыназванный.conf.options, именованный.conf.local y named.conf.default-зоны.
названный.conf.options: Общие параметры службы DNS. Директива: каталог "/ var / cache / bind" он сообщит bind9, где искать файлы созданных локальных зон. Мы также объявляем здесь серверы «Транспортеры«Или, в приблизительном переводе,« продвигается »до максимального числа 3, которые являются не чем иным, как внешними DNS-серверами, с которыми мы можем обращаться из нашей сети (через брандмауэр, конечно), которые будут отвечать на вопросы или запросы, которые наш DNS местные не могут ответить.
Например, если мы настраиваем DNS для локальной сети192.168.10.0/24, и мы хотим, чтобы один из наших перенаправителей был сервером имен UCI, мы должны объявить директивы перенаправителей {200.55.140.178; }; IP-адрес, соответствующий серверу ns1.uci.cu.
Таким образом, мы можем проконсультироваться с нашим локальным DNS-сервером, который является IP-адресом хоста yahoo.es (который, очевидно, не находится в нашей локальной сети), так как наш DNS будет спрашивать UCI, знает ли он, какой IP-адрес yahoo.es , и тогда это даст нам удовлетворительный результат или нет. Также и в самом файле названный.conf.option Мы объявим другие важные аспекты конфигурации, как мы увидим позже.
named.conf.default-зоны: Как следует из названия, это зоны по умолчанию. Здесь настраивается имя файла, который содержит информацию о корневых серверах или корневых серверах, необходимую для запуска кеша DNS, а точнее файлdb.root. BIND также проинструктирован иметь полные полномочия (быть авторитарными) в разрешении имен для локальный, как в прямых, так и в обратных запросах, и то же самое для областей «Вещание».
именованный.conf.local: Файл, в котором мы объявляем локальную конфигурацию нашего DNS-сервера по имени каждого из Местные районы, и это будут файлы записей DNS, которые будут отображать имена компьютеров, подключенных к нашей локальной сети, с их IP-адресами и наоборот.
rndc.ключ: Сгенерированный файл, содержащий ключ для управления BIND. Использование служебной программы управления сервером BIND рндк, мы сможем перезагрузить конфигурацию DNS без перезапуска с помощью команды rndc перезагрузить. Очень полезно, когда мы вносим изменения в файлы локальных зон.
В Debian файлы локальных зон также может быть расположен в / var / lib / привязка; в то время как в других дистрибутивах, таких как Red Hat и CentOS, они обычно находятся в / var / lib / с именем или другие каталоги в зависимости от степени реализованной безопасности.
Выбираем каталог / var / cache / bind это тот, который предлагается по умолчанию Debian в файле названный.conf.options. Мы можем использовать любой другой каталог, если укажем привязать9 где искать файлы зон, или мы даем вам абсолютный путь к каждой из них в файле именованный.conf.local. Очень полезно использовать каталоги, рекомендованные используемым нами дистрибутивом.
Обсуждение дополнительных мер безопасности, связанных с созданием Cage или Chroot для BIND, выходит за рамки данной статьи. Такова проблема безопасности в контексте SELinux. Тем, кому необходимо реализовать такие функции, следует обратиться к руководствам или специализированной литературе. Помните, что пакет документации связывание9-док установлен в каталоге / usr / share / doc / bind9-doc.
Итак, господа, пока вторая часть. Мы не хотим подробно останавливаться на одной статье из-за хороших рекомендаций нашего руководителя. В заключение! мы подробно рассмотрим настройку и тестирование BIND… в следующей главе.
поздравляю очень хорошая статья!
Спасибо ..
Это менее важно из соображений безопасности: не оставляйте DNS открытым (открытый преобразователь)
Ссылки:
1) http://www.google.com/search?hl=en&q=spamhaus+ataque
2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
Я цитирую:
«... Например, проект Open DNS Resolver Project (openresolverproject.org), усилия группы экспертов по безопасности, чтобы исправить это, оценивает, что в настоящее время существует 27 миллионов« открытых рекурсивных преобразователей », и 25 миллионов из них являются значительная угроза., скрытая, ожидающая, чтобы снова обрушить свою ярость на новую цель .. »
привет
Очень хорошо сегодня привлечь людей к такой важной службе, как DNS.
Что я делаю, если могу указать на что-то, так это ваш извиняющийся перевод слова «экспедиторы», который, похоже, был взят из Google Translate. Правильный перевод - «Серверы пересылки» или «Серверы пересылки».
В остальном все отлично.
привет
Проблема семантики. Если вы перенаправляете запрос другому лицу для получения ответа, вы не продвигаете запрос на другой уровень. Я считал, что лучшим обращением на кубинском испанском языке будет Adelantadores, потому что я имел в виду Pass или Advance вопрос, на который я (местный DNS) не мог ответить. Просто. Мне было бы проще написать статью на английском языке. Однако я всегда уточняю свои переводы. Спасибо за своевременный комментарий.
Роскошь;)!
Привет!
А для OpenSUSE?
CREO работает с любым дистрибутивом. Я думаю, что расположение файлов зон различается. нет?
Спасибо всем за комментарии .. и я с радостью принимаю ваши предложения .. 😉