Master Primar DNS për një LAN në Debian 6.0 (II)

Ne vazhdojmë me serinë e artikujve tanë dhe në këtë do të merremi me aspektet e mëposhtme:

  • instalim
  • Drejtoritë dhe skedarët kryesorë

Para se të vazhdoni, ju rekomandojmë që të mos ndaloni së lexuari:

instalim

Në një Console dhe si përdorues rrënjë ne instaluam lidhin9:

aftësia instaloni bind9

Ne gjithashtu duhet të instalojmë paketën dnsutil i cili ka mjetet e nevojshme për të bërë pyetje DNS dhe për të diagnostikuar operacionin:

aftësia instaloni dnsutils

Nëse dëshironi të konsultoheni me dokumentacionin që vjen në depo:

aftësia instalo bind9-doc

Dokumentacioni do të ruhet në direktori / usr / share / doc / bind9-doc / krah dhe skedari i indeksit ose Tabela e Përmbajtjes është bv9ARM.html. Për ta hapur drejtuar:

firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html

Kur instalojmë lidhin9 në Debian, po kështu edhe paketa bind9utils i cili na siguron disa mjete shumë të dobishme për të ruajtur një instalim punues të një BIND. Midis tyre do të gjejmë rndc, me emrin-checkconf dhe me emrin-checkzone. Për më tepër, paketa dnsutil kontribuon në një seri të plotë të programeve të klientëve BIND ndër të cilat do të jetë gërmoj dhe nlookup. Ne do t'i përdorim të gjitha këto mjete ose komanda në artikujt vijues.

Për të njohur të gjitha programet e secilës paketë duhet të ekzekutojmë si përdorues rrënjë:

dpkg -L bind9utils dpkg -L dnsutils

Ose shkoni te Synaptic, shikoni për paketën dhe shikoni se cilat skedarë janë instaluar. Sidomos ato që janë instaluar në dosje / usr / bin o / usr / sbin.

Nëse duam të dimë më shumë se si të përdorim çdo mjet ose program të instaluar, ne duhet të ekzekutojmë:

njeri

Drejtoritë dhe skedarët kryesorë

Kur instalojmë Debian krijohet skedari /etc/resolv.conf. Kjo skedar ose "Skedari i konfigurimit të shërbimit zgjidhës", Përmban disa opsione që si parazgjedhje janë emri i domain-it dhe adresa IP e serverit DNS të deklaruar gjatë instalimit. Meqenëse përmbajtja e ndihmës së skedarit është në Spanjisht dhe është shumë e qartë, ne rekomandojmë ta lexoni atë duke përdorur komandën njeri zgjidh.konf.

Pas instalimit të lidhin9 Në Shtrydh, krijohen të paktën drejtoritë e mëposhtme:

/ etj / bind / var / cache / bind / var / lib / bind

Në librin e adresave / etj / lidh gjejmë, ndër të tjera, skedarët e mëposhtëm të konfigurimit:

names.conf names.conf.options names.conf.default-areas names.conf.lokale rndc.key

Në librin e adresave / var / cache / bind ne do të krijojmë skedarët e Zonat Lokale me të cilën do të merremi më vonë. Për kuriozitet, ekzekutoni komandat e mëposhtme në një Console si përdorues rrënjë:

ls -l / etc / bind ls -l / var / cache / bind

Sigurisht, direktoria e fundit nuk do të përmbajë asgjë, pasi ne ende nuk kemi krijuar një Zonë Lokale.

Ndarja e cilësimeve BIND në skedarë të shumtë bëhet për lehtësi dhe qartësi. Çdo skedar ka një funksion specifik siç do ta shohim më poshtë:

me emrin.konf: Skedari kryesor i konfigurimit. Ai përfshin skedarëtme emrin.konf.opcioneme emrin.konf.vendore y me emrin.konf.zona-default.

me emrin.konf.opcione: Opsione të përgjithshme të shërbimit DNS. Direktiva: direktoria "/ var / cache / bind" do t'i tregojë bind9 se ku të kërkojë skedarët e Zonave Lokale të krijuara. Ne gjithashtu deklarojmë serverat "Përcjellësit"Ose në një përkthim të përafërt" Advancers "deri në një numër maksimal prej 3, të cilët nuk janë asgjë më shumë se servera të jashtëm DNS që mund të konsultohemi nga rrjeti ynë (natyrisht përmes një Firewall) që do t'i përgjigjen pyetjeve ose kërkesave që DNS-ja jonë lokale nuk është në gjendje të përgjigjet.

Për shembull, nëse jemi duke konfiguruar një DNS për LAN192.168.10.0/24, dhe ne duam që një nga përcjellësit tanë të jetë një server UCI Name, ne duhet të deklarojmë përcjellësit e direktivave {200.55.140.178; }; Adresa IP që korrespondon me serverin ns1.uci.cu.

Në këtë mënyrë ne do të jemi në gjendje të konsultohemi me serverin tonë lokal DNS i cili është adresa IP e hostit yahoo.es (e cila padyshim nuk është në LAN-in tonë), pasi që DNS do të pyesë UCI nëse e di cila është adresa IP e yahoo.es, dhe pastaj do të na japë një rezultat të kënaqshëm ose jo. Gjithashtu dhe në vetë dosjen me emrin.konf.zgjedhje Ne do të deklarojmë aspekte të tjera të rëndësishme të konfigurimit siç do të shohim më vonë.

me emrin.konf.zona-default: Siç nënkupton vetë emri, ato janë Zonat e Parazgjedhura. Këtu ju konfiguroni BIND emrin e skedarit që përmban informacionin e Root Servers ose Root Servers të nevojshëm për të filluar memorjen DNS, më saktësisht skedarindb.rrënjë. BIND udhëzohet gjithashtu që të ketë Autoritet të plotë (për të qenë Autoritar) në zgjidhjen e emrave për localhost, si në pyetje të drejtpërdrejta ashtu edhe në ato të kundërta, dhe e njëjta gjë për zonat e "Transmetimit".

me emrin.konf.vendore: Skedoni ku deklarojmë konfigurimin lokal të serverit tonë DNS me emrin e secilës nga Zonat Lokale, dhe cilat do të jenë DNS Records Files që do të hartojnë emrat e kompjuterëve të lidhur në LAN-in tonë me adresën e tyre IP dhe anasjelltas.

rndc.çelës: Skedar i gjeneruar që përmban Çelësin për të kontrolluar BIND. Përdorimi i shërbimeve të kontrollit të serverit BIND rndc, ne do të jemi në gjendje të rimbushim konfigurimin e DNS-së pa pasur nevojë ta rindezim atë me komandën ringarkoni rndc. Shumë e dobishme kur bëjmë ndryshime në skedarët e Zonave Lokale.

Në Debian skedarët e Zonave Lokale gjithashtu mund të jetë e vendosur në / var / lib / lidh; ndërsa në shpërndarjet e tjera si Red Hat dhe CentOS ato zakonisht ndodhen në  / var / lib / me emrin ose direktori të tjera në varësi të shkallës së sigurisë së zbatuar.

Ne zgjedhim drejtorinë / var / cache / bind është ai që sugjerohet nga Debian në skedar me emrin.konf.opcione. Ne mund të përdorim çdo direktori tjetër për sa kohë që i themi lidhin9 ku të kërkoni skedarët e zonave, ose ne ju japim rrugën absolute të secilës prej tyre në skedar me emrin.konf.vendore. Veryshtë shumë e shëndetshme të përdorni direktoritë e rekomanduara nga shpërndarja që po përdorim.

Beyondshtë përtej qëllimit të këtij artikulli për të diskutuar sigurinë shtesë të përfshirë në krijimin e një kafaz ose Chroot për BIND. Kështu është çështja e sigurisë përmes kontekstit SELinux. Ata që kanë nevojë për të zbatuar karakteristika të tilla duhet t'i drejtohen manualeve ose literaturës së specializuar. Mos harroni se paketa e dokumentacionit bind9-dok është instaluar në direktori / usr / share / doc / bind9-doc.

Zotërinj, deri më tani Pjesa e 2-të. Ne nuk duam të zgjerojmë një artikull të vetëm për shkak të rekomandimeve të mira të shefit tonë. Më në fund! ne do të futemi në gjendjen e ashpër të Rregullimit dhe Testimit të BIND… në kapitullin tjetër.


9 komente, lini tuajën

Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   Carlos andres dijo

    urime artikull shume i mire!

    1.    fiko dijo

      Ju faleminderit shume ..

  2.   Bastis dijo

    Kjo është më pak e rëndësishme për arsye sigurie: Mos lini një dns të hapur (zgjidhës të hapur)

    referencat:
    1) http://www.google.com/search?hl=en&q=spamhaus+ataque
    2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
    Unë citoj:
    «Për shembull, Projekti Open DNS Resolver (openresolverproject.org), përpjekja e një grupi ekspertësh të sigurisë për të rregulluar këtë, vlerëson se aktualisht ka 27 milion" Zgjidhje të Hapura Rekursive ", dhe 25 milion prej tyre janë një kërcënim i rëndësishëm. , i fshehur, duke pritur të lëshojë përsëri tërbimin e tij kundër një synimi të ri .. »
    të fala

  3.   EVER dijo

    Shumë mirë për t'i futur njerëzit në një shërbim kaq të rëndësishëm sot siç është DNS.
    Ajo që bëj, nëse mund të vë në dukje një gjë, është përkthimi juaj i keq për "përcjellësit", i cili duket sikur është tërhequr nga google translate. Përkthimi i saktë është "Forwarding Servers" ose "Forwarders".
    Gjithçka tjetër, shkëlqyeshëm.
    të fala

    1.    federico dijo

      Problemi i semantikës. Nëse ia përcillni një kërkesë një tjetri për të marrë një përgjigje, ju nuk po avanconi një kërkesë në një nivel tjetër. Mendova se trajtimi më i mirë në Spanjisht Kubane ishte Adelantadores sepse po i referohesha Pass ose Advance një pyetje që unë (DNS lokale) nuk mund t'i përgjigjesha. E thjeshtë Do të kishte qenë më e lehtë për mua të shkruaja artikullin në anglisht. Sidoqoftë, unë gjithmonë sqaroj për Përkthimet e Mia. Faleminderit për komentin tuaj në kohë

  4.   st0rmt4il dijo

    Luksoze;)!

    Përshëndetje!

  5.   xhece47 dijo

    Dhe për OpenSUSE?

    1.    federico dijo

      CREO punon për çdo distro. Vendndodhja e skedarit në zona ndryshon, mendoj. jo

  6.   fiko dijo

    Faleminderit të gjithëve që komentuat .. dhe me kënaqësi i pranoj sugjerimet tuaja ..