เราดำเนินการต่อกับชุดบทความของเราและในบทความนี้เราจะจัดการกับประเด็นต่อไปนี้:
- การติดตั้ง
- ไดเร็กทอรีและไฟล์หลัก
ก่อนดำเนินการต่อเราขอแนะนำให้คุณอย่าหยุดอ่าน:
การติดตั้ง
ในคอนโซลและในฐานะผู้ใช้ ราก เราติดตั้งไฟล์ ผูก 9:
ความถนัดติดตั้ง bind9
เราต้องติดตั้งแพคเกจด้วย dnsutil ซึ่งมีเครื่องมือที่จำเป็นในการสร้างแบบสอบถาม DNS และวินิจฉัยการดำเนินการ:
ความถนัดในการติดตั้ง dnsutils
หากคุณต้องการดูเอกสารที่มาในที่เก็บ:
ความถนัดติดตั้ง bind9-doc
เอกสารจะถูกเก็บไว้ในไดเร็กทอรี / usr / share / doc / bind9-doc / arm และไฟล์ดัชนีหรือสารบัญคือไฟล์ bv9ARM.html. ในการเปิดให้เรียกใช้:
firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html
เมื่อเราติดตั้งไฟล์ ผูก 9 บน Debian แพ็คเกจก็เช่นกัน ผูก 9utils ซึ่งให้เครื่องมือที่มีประโยชน์มากมายแก่เราในการรักษาการติดตั้ง BIND ที่ใช้งานได้ ในหมู่พวกเขาเราจะพบ rndc, named-checkconf และ named-checkzone. ยิ่งไปกว่านั้นแพ็คเกจ dnsutil สร้างชุดโปรแกรมไคลเอนต์ BIND ทั้งหมดซึ่งจะเป็น ขุด และ y nslookup. เราจะใช้เครื่องมือหรือคำสั่งเหล่านี้ทั้งหมดในบทความต่อไปนี้
หากต้องการทราบโปรแกรมทั้งหมดของแต่ละแพ็คเกจเราต้องดำเนินการในฐานะผู้ใช้ ราก:
dpkg -L bind9utils dpkg -L dnsutils
หรือไปที่ synapticมองหาแพ็คเกจและดูว่าไฟล์ใดติดตั้ง โดยเฉพาะอย่างยิ่งที่ติดตั้งในโฟลเดอร์ / usr / bin o / usr / sbin.
หากเราต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับการใช้เครื่องมือหรือโปรแกรมแต่ละตัวที่ติดตั้งเราต้องดำเนินการ:
ชาย
ไดเร็กทอรีและไฟล์หลัก
เมื่อเราติดตั้ง Debian ไฟล์จะถูกสร้างขึ้น / etc / resolv.conf. ไฟล์นี้หรือ "ไฟล์คอนฟิกูเรชันเซอร์วิส Resolver", ประกอบด้วยตัวเลือกต่างๆซึ่งโดยค่าเริ่มต้นคือชื่อโดเมนและที่อยู่ IP ของเซิร์ฟเวอร์ DNS ที่ประกาศระหว่างการติดตั้ง เนื่องจากเนื้อหาของวิธีใช้ของไฟล์เป็นภาษาสเปนและมีความชัดเจนมากเราขอแนะนำให้อ่านโดยใช้คำสั่ง คน resolv.conf.
หลังจากติดตั้งไฟล์ ผูก 9 ใน Squeeze อย่างน้อยจะมีการสร้างไดเร็กทอรีต่อไปนี้:
/ etc / bind / var / cache / bind / var / lib / bind
ในสมุดรายชื่อ / etc / bind เราพบไฟล์การกำหนดค่าต่อไปนี้:
named.conf named.conf.options named.conf.default-zones named.conf.local rndc.key
ในสมุดรายชื่อ / var / cache / bind เราจะสร้างไฟล์ของไฟล์ พื้นที่ในท้องถิ่น ซึ่งเราจะจัดการในภายหลัง ด้วยความอยากรู้อยากเห็นให้รันคำสั่งต่อไปนี้ในคอนโซลในฐานะผู้ใช้ ราก:
ls -l / etc / bind ls -l / var / cache / bind
แน่นอนว่าไดเร็กทอรีสุดท้ายจะไม่มีอะไรเลยเนื่องจากเรายังไม่ได้สร้าง Local Zone
การแบ่งการตั้งค่า BIND ออกเป็นหลายไฟล์นั้นทำได้เพื่อความสะดวกและชัดเจน แต่ละไฟล์มีฟังก์ชันเฉพาะดังที่เราจะเห็นด้านล่าง:
ชื่อ.conf: ไฟล์กำหนดค่าหลัก รวมถึงไฟล์ต่างๆnamed.conf.options, ชื่อ.conf.local y ชื่อ.conf.default-zones.
named.conf.options: ตัวเลือกบริการ DNS ทั่วไป คำสั่ง: ไดเรกทอรี "/ var / cache / bind" มันจะบอก bind9 ว่าจะค้นหาไฟล์ของ Local Zones ที่สร้างไว้ที่ไหน นอกจากนี้เรายังประกาศที่นี่เซิร์ฟเวอร์“ลำเลียง"หรือในการแปลโดยประมาณ" Advances "สูงสุดจำนวน 3 ซึ่งไม่มีอะไรมากไปกว่าเซิร์ฟเวอร์ DNS ภายนอกที่เราสามารถปรึกษาได้จากเครือข่ายของเรา (ผ่าน Firewall แน่นอน) ซึ่งจะตอบสนองต่อคำถามหรือคำขอที่ DNS ของเรา ท้องถิ่นไม่สามารถตอบสนองได้
ตัวอย่างเช่นหากเรากำหนดค่า DNS สำหรับ LAN192.168.10.0/24และเราต้องการให้หนึ่งในผู้ส่งของเราเป็นเซิร์ฟเวอร์ชื่อ UCI เราต้องประกาศคำสั่งผู้ส่งต่อ {200.55.140.178; }; ที่อยู่ IP ที่สอดคล้องกับเซิร์ฟเวอร์ ns1.uci.cu.
ด้วยวิธีนี้เราจะสามารถปรึกษาเซิร์ฟเวอร์ DNS ในพื้นที่ของเราซึ่งเป็นที่อยู่ IP ของโฮสต์ yahoo.es (ซึ่งเห็นได้ชัดว่าไม่อยู่ใน LAN ของเรา) เนื่องจาก DNS ของเราจะถาม UCI หากทราบว่าเป็นที่อยู่ IP ของ yahoo.es แล้วมันจะทำให้เราได้ผลลัพธ์ที่น่าพอใจหรือไม่ นอกจากนี้และในไฟล์เอง ชื่อ.conf.option เราจะประกาศลักษณะสำคัญอื่น ๆ ของการกำหนดค่าดังที่เราจะเห็นในภายหลัง
ชื่อ.conf.default-zones: ตามความหมายของชื่อพวกมันคือ Default Zones ที่นี่คุณกำหนดค่า BIND ชื่อของไฟล์ที่มีข้อมูลของเซิร์ฟเวอร์รูทหรือเซิร์ฟเวอร์รูทที่จำเป็นในการเริ่มแคช DNS โดยเฉพาะไฟล์db.root. BIND ยังได้รับคำสั่งให้มีอำนาจเต็ม (เป็นเผด็จการ) ในการแก้ปัญหาชื่อสำหรับ localhostทั้งในแบบสอบถามโดยตรงและย้อนกลับและเหมือนกันสำหรับพื้นที่ "ออกอากาศ"
ชื่อ.conf.local: ไฟล์ที่เราประกาศการกำหนดค่าภายในของเซิร์ฟเวอร์ DNS ของเราตามชื่อของไฟล์ พื้นที่ในท้องถิ่นซึ่งจะเป็นไฟล์บันทึก DNS ที่จะแมปชื่อของคอมพิวเตอร์ที่เชื่อมต่อกับ LAN ของเราด้วยที่อยู่ IP ของพวกเขาและในทางกลับกัน
rndc.key: ไฟล์ที่สร้างขึ้นซึ่งมีคีย์เพื่อควบคุม BIND การใช้ยูทิลิตี้การควบคุมเซิร์ฟเวอร์ BIND ร.น.ดเราจะสามารถโหลดการกำหนดค่า DNS ซ้ำได้โดยไม่ต้องรีสตาร์ทด้วยคำสั่ง rndc รีโหลด. มีประโยชน์มากเมื่อเราทำการเปลี่ยนแปลงในไฟล์ของ Local Zones
ใน Debian ไฟล์ Local Zones ยังสามารถอยู่ใน / var / lib / bind; ในขณะที่การกระจายอื่น ๆ เช่น Red Hat และ CentOS มักจะอยู่ใน / var / lib / ชื่อ หรือไดเรกทอรีอื่น ๆ ขึ้นอยู่กับระดับความปลอดภัยที่ใช้
เราเลือกไดเร็กทอรี / var / cache / bind เป็นสิ่งที่แนะนำโดย Debian เริ่มต้นในไฟล์ named.conf.options. เราสามารถใช้ไดเร็กทอรีอื่นได้ตราบเท่าที่เราบอกไฟล์ ผูก 9 จะค้นหาไฟล์ของโซนได้ที่ไหนหรือเราให้เส้นทางที่แน่นอนของแต่ละโซนในไฟล์ ชื่อ.conf.local. การใช้ไดเร็กทอรีที่แนะนำโดยการแจกจ่ายที่เราใช้นั้นเป็นประโยชน์อย่างยิ่ง
บทความนี้อยู่นอกเหนือขอบเขตที่จะกล่าวถึงการรักษาความปลอดภัยเพิ่มเติมที่เกี่ยวข้องในการสร้าง Cage หรือ Chroot สำหรับ BIND ดังนั้นปัญหาของการรักษาความปลอดภัยผ่านบริบท SELinux ผู้ที่ต้องการใช้คุณสมบัติดังกล่าวควรหันไปใช้คู่มือหรือวรรณกรรมเฉพาะทาง โปรดจำไว้ว่าชุดเอกสาร ผูก 9-doc ติดตั้งในไดเร็กทอรี / usr / share / doc / bind9-doc.
ดีครับจนถึงตอนที่ 2 เราไม่ต้องการขยายความในบทความเดียวเนื่องจากคำแนะนำที่ดีของหัวหน้าของเรา ในที่สุด! เราจะเข้าสู่สาระสำคัญของ BIND Setup and Testing …ในบทต่อไป
ขอแสดงความยินดีกับบทความที่ดีมาก!
ขอบคุณมาก ..
สิ่งนี้มีความสำคัญน้อยกว่าด้วยเหตุผลด้านความปลอดภัย: อย่าเปิด DNS ทิ้งไว้ (เปิดตัวแก้ไข)
อ้างอิง:
1) http://www.google.com/search?hl=en&q=spamhaus+ataque
2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
ฉันอ้าง:
«…ตัวอย่างเช่นโครงการ Open DNS Resolver (openresolverproject.org) ซึ่งเป็นความพยายามของกลุ่มผู้เชี่ยวชาญด้านความปลอดภัยในการแก้ไขปัญหานี้ประมาณการว่าปัจจุบันมี "Open Recursive Resolver" จำนวน 27 ล้านตัวและ 25 ล้านตัวเป็นภัยคุกคามที่สำคัญ ., แฝงตัวรอที่จะปลดปล่อยความเดือดดาลอีกครั้งกับเป้าหมายใหม่ .. »
ความนับถือ
ดีมากที่ได้รับผู้คนเข้าสู่บริการที่สำคัญเช่น DNS ในปัจจุบัน
สิ่งที่ฉันทำถ้าฉันสามารถชี้ให้เห็นสิ่งหนึ่งคือคำแปลขอโทษของคุณที่เป็น "forwarders" ซึ่งดูเหมือนว่าดึงมาจาก Google แปลภาษา คำแปลที่ถูกต้องคือ "Forwarding Servers" หรือ "Forwarders"
อย่างอื่นดีมาก
ความนับถือ
ปัญหาความหมาย หากคุณส่งต่อคำขอไปยังผู้อื่นเพื่อขอรับการตอบกลับแสดงว่าคุณไม่ได้ส่งต่อคำขอไปยังระดับอื่น ฉันคิดว่าการรักษาที่ดีที่สุดในคิวบาสเปนคือ Adelantadores เพราะฉันอ้างถึง Pass หรือ Advance คำถามที่ฉัน (DNS ในพื้นที่) ไม่สามารถตอบได้ เรียบง่าย คงจะง่ายกว่าสำหรับฉันที่จะเขียนบทความเป็นภาษาอังกฤษ อย่างไรก็ตามฉันมักจะชี้แจงเกี่ยวกับการแปลของฉัน ขอบคุณสำหรับความคิดเห็นในเวลาที่เหมาะสม
หรูหรา;)!
ทักทาย!
และสำหรับ OpenSUSE?
CREO ใช้งานได้กับ distro ใด ๆ ฉันคิดว่าตำแหน่งไฟล์โซนแตกต่างกันไป เปล่า?
ขอบคุณทุกท่านที่แสดงความคิดเห็น.. และยินดีรับคำแนะนำครับ .. 😉