Nadaljujemo s serijo člankov in v tem bomo obravnavali naslednje vidike:
- Namestitev
- Imeniki in glavne datoteke
Pred nadaljevanjem priporočamo, da nehate brati:
Namestitev
V konzoli in kot uporabnik koren namestimo veži9:
aptitude namestite bind9
Paket moramo tudi namestiti dnsutil ki ima potrebna orodja za poizvedbe DNS in diagnosticiranje operacije:
aptitude namestite dnsutils
Če si želite ogledati dokumentacijo, ki je priložena v skladišču:
aptitude namestite bind9-doc
Dokumentacija bo shranjena v imeniku / usr / share / doc / bind9-doc / arm in indeksna datoteka ali kazalo je bv9ARM.html. Če ga želite odpreti, zaženite:
firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html
Ko namestimo veži9 na Debianu pa tudi paket bind9utils ki nam ponuja več zelo uporabnih orodij za vzdrževanje delujoče namestitve BIND. Med njimi bomo našli rndc, named-checkconf in named-checkzone. Poleg tega paket dnsutil ponuja celo vrsto odjemalskih programov BIND, vključno z kopati in nslookup. Vsa ta orodja ali ukaze bomo uporabili v naslednjih člankih.
Da bi poznali vse programe posameznega paketa, jih moramo izvesti kot uporabnik koren:
dpkg -L bind9utils dpkg -L dnsutils
Ali pa pojdite na Synaptic, poiščite paket in si oglejte, katere datoteke so nameščene. Še posebej tiste, ki so nameščene v mapah / usr / bin o / usr / sbin.
Če želimo izvedeti več o tem, kako uporabiti vsako nameščeno orodje ali program, moramo izvesti:
človek
Imeniki in glavne datoteke
Ko namestimo Debian, se datoteka ustvari / Etc / resolv.conf. Ta datoteka ali "Konfiguracijska datoteka storitve razrešitve", Vsebuje več možnosti, ki sta privzeto ime domene in naslov IP strežnika DNS, ki sta bila deklarirana med namestitvijo. Ker je vsebina pomoči za datoteko v španščini in je zelo jasna, priporočamo, da jo preberete z ukazom človek razreš.
Po namestitvi veži9 V Squeeze se ustvarijo vsaj naslednji imeniki:
/ etc / bind / var / cache / bind / var / lib / bind
V adresarju / etc / bind med drugim najdemo naslednje konfiguracijske datoteke:
named.conf named.conf.options named.conf.default-zone named.conf.local rndc.key
V adresarju / var / cache / bind ustvarili bomo datoteke Lokalna območja s katerimi se bomo ukvarjali kasneje. Iz radovednosti zaženite naslednje ukaze v konzoli kot uporabnik koren:
ls -l / etc / bind ls -l / var / cache / bind
Seveda zadnji imenik ne bo vseboval ničesar, saj še nismo ustvarili lokalne cone.
Nastavitve BIND so razdeljene na več datotek zaradi večje udobnosti in jasnosti. Vsaka datoteka ima določeno funkcijo, kot bomo videli spodaj:
named.conf: Glavna konfiguracijska datoteka. Vključuje datotekenamed.conf.options, named.conf.local y named.conf.default-zone.
named.conf.options: Splošne možnosti storitve DNS. Direktiva: imenik "/ var / cache / bind" bind9 bo povedal, kje naj išče datoteke ustvarjenih lokalnih con. Tukaj izjavljamo tudi strežnike “Špediterji"Ali v približnem prevodu" Advances "do največ 3, ki niso nič drugega kot zunanji strežniki DNS, s katerimi se lahko posvetujemo iz našega omrežja (seveda prek požarnega zidu), ki bodo odgovorili na vprašanja ali zahteve, ki jih naš DNS lokalni se ne more odzvati.
Na primer, če konfiguriramo DNS za LAN192.168.10.0/24in želimo, da je eden od naših posrednikov UCI Name Server, moramo razglasiti direktivo o posrednikih {200.55.140.178; }; Naslov IP, ki ustreza strežniku ns1.uci.cu.
Na ta način se lahko obrnemo na lokalni DNS strežnik, ki je IP naslov gostitelja yahoo.es (ki očitno ni v našem LAN-u), saj bo naš DNS vprašal UCI, če ve, kateri je IP naslov yahoo.es, in potem nam bo dal zadovoljiv rezultat ali ne. Tudi in v sami datoteki named.conf.option O drugih pomembnih vidikih konfiguracije bomo razglasili, kot bomo videli kasneje.
named.conf.default-zone: Kot že ime pove, so to privzete cone. Tu nastavite BIND ime datoteke, ki vsebuje informacije o korenskih strežnikih ali korenskih strežnikih, potrebnih za zagon predpomnilnika DNS, natančneje datotekedb.root. BIND je tudi zadolžen, da ima popolno avtoriteto (biti avtoritaren) pri razreševanju imen za localhost, tako pri neposrednih kot pri povratnih poizvedbah, in enako za področja »Broadcast«.
named.conf.local: Datoteka, v kateri razglasimo lokalno konfiguracijo našega strežnika DNS z imenom vsakega od Lokalna območja, in to bodo datoteke DNS Records, ki bodo preslikale imena računalnikov, povezanih v naš LAN, z njihovim naslovom IP in obratno.
rndc.key: Ustvarjena datoteka, ki vsebuje ključ za nadzor BIND. Uporaba pripomočka za nadzor strežnika BIND rndc, bomo lahko znova naložili konfiguracijo DNS, ne da bi jo morali znova zagnati z ukazom rndc ponovno naloži. Zelo koristno, ko spreminjamo datoteke v lokalnih conah.
V Debianu datoteke Local Cones lahko tudi v / var / lib / bind; medtem ko se v drugih distribucijah, kot sta Red Hat in CentOS, običajno nahajajo v / var / lib / named ali druge imenike, odvisno od stopnje uveljavljene varnosti.
Izberemo imenik / var / cache / bind to je privzeto predlagan Debian v datoteki named.conf.options. Uporabljamo lahko kateri koli drug imenik, dokler povemo veži9 kje iskati datoteke con, ali v datoteki podajamo absolutno pot vsakega od njih named.conf.local. Zelo zdravo je uporabljati imenike, ki jih priporoča distribucija, ki jo uporabljamo.
Ta članek ne obravnava dodatne razprave o dodatni varnosti pri ustvarjanju kletke ali Chroota za BIND. Tako je tudi vprašanje varnosti skozi kontekst SELinux. Tisti, ki morajo uvesti takšne funkcije, naj se obrnejo na priročnike ali specializirano literaturo. Ne pozabite, da je paket dokumentacije bind9-doc je nameščen v imeniku / usr / share / doc / bind9-doc.
No, gospodje, zaenkrat 2. del. Zaradi dobrih priporočil našega šefa se ne želimo zadrževati na enem samem članku. Končno! v naslednjem poglavju bomo prešli na drobne nastavitve in preizkušanje BIND ...
čestitke zelo dober članek!
Najlepša hvala ...
To je iz varnostnih razlogov manj pomembno: dns ne puščajte odprtega (odprti razreševalec)
reference:
1) http://www.google.com/search?hl=en&q=spamhaus+ataque
2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
Citiram:
«... Na primer, projekt Open DNS Resolver Project (openresolverproject.org), prizadevanje skupine varnostnih strokovnjakov, da bi to popravili, ocenjuje, da je trenutno 27 milijonov» odprtih rekurzivnih razreševalcev «, od tega 25 milijonov pomembna grožnja., latenten, ki čaka, da bo spet sprožil svoj bes pred novo tarčo .. »
pozdrav
Zelo dobro je danes ljudi spraviti v tako pomembno storitev, kot je DNS.
Če lahko na nekaj izpostavim, je vaš žalostni prevod "špediterji", ki je videti, kot da je bil povlečen iz google translate. Pravilen prevod je "Posredniški strežniki" ali "Posredniki".
Vse ostalo, super.
pozdrav
Problem semantike. Če zahtevo posredujete drugemu, da dobi odgovor, zahteve ne preusmerite na drugo raven. Verjel sem, da je najboljše zdravljenje v kubanski španščini Adelantadores, ker sem na Pass ali Advance skliceval na vprašanje, na katerega (lokalni DNS) nisem mogel odgovoriti. Preprosto. Lažje bi bil članek napisati v angleščini. Vendar vedno pojasnim glede svojih prevodov. Zahvaljujemo se vam za pravočasen komentar.
Razkošje;)!
Lep pozdrav!
In za OpenSUSE?
CREO deluje za katero koli distribucijo. Mislim, da se lokacija datotek območij razlikuje. ne?
Hvala vsem za komentar .. in z veseljem sprejemam vaše predloge .. 😉