Ми продовжуємо свою серію статей, і в цій статті ми розглянемо такі аспекти:
- Установка
- Каталоги та основні файли
Перш ніж продовжувати, рекомендуємо не припиняти читати:
Установка
У консолі та як користувач корінь ми встановлюємо прив’язати9:
aptitude встановити bind9
Ми також повинні встановити пакет dnsutil який має необхідні інструменти для запитів DNS та діагностики операції:
aptitude встановити dnsutils -
Якщо ви хочете ознайомитись із документацією, яка додається до сховища:
aptitude встановити bind9-doc
Документація буде зберігатися в каталозі / usr / share / doc / bind9-doc / arm а індексний файл або Зміст - це bv9ARM.html. Щоб відкрити його, виконайте:
firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html
Коли ми встановлюємо прив’язати9 на Debian, так само як і пакет bind9utils що надає нам декілька дуже корисних інструментів для підтримання робочої установки BIND. Серед них ми знайдемо rndc, named-checkconf та named-checkzone. Більше того, пакет dnsutil вносить цілу серію клієнтських програм BIND, серед яких буде копати у-ель- Nslookup. Ми будемо використовувати всі ці інструменти або команди в наступних статтях.
Щоб знати всі програми кожного пакету, ми повинні виконуватися як користувач корінь:
dpkg -L bind9utils dpkg -L dnsutils
Або перейти до Синаптик, шукайте пакет і подивіться, які файли встановлені. Особливо ті, які встановлені в папках / usr / bin o / usr / sbin.
Якщо ми хочемо дізнатись більше про те, як використовувати кожен встановлений інструмент або програму, ми повинні виконати:
людина
Каталоги та основні файли
Коли ми встановлюємо Debian, файл створюється / Etc / resolv.conf. Цей файл або "Файл конфігурації служби Resolver", Містить кілька параметрів, які за замовчуванням - це доменне ім'я та IP-адреса DNS-сервера, оголошені під час інсталяції. Оскільки вміст довідки щодо файлу є іспанською і дуже зрозумілим, ми рекомендуємо прочитати його за допомогою команди людина резол.конф.
Після встановлення прив’язати9 У Squeeze створюються принаймні такі каталоги:
/ etc / bind / var / cache / bind / var / lib / bind
В адресній книзі / etc / bind серед іншого ми знаходимо такі конфігураційні файли:
named.conf named.conf.options named.conf.default-zone named.conf.local rndc.key
В адресній книзі / var / cache / bind ми створимо файли Місцеві райони з яким ми розберемося пізніше. З цікавості виконуйте такі команди в консолі як користувач корінь:
ls -l / etc / bind ls -l / var / cache / bind
Звичайно, останній каталог нічого не міститиме, оскільки ми ще не створили Локальну зону.
Розділення параметрів BIND на кілька файлів виконується для зручності та наочності. Кожен файл має певну функцію, як ми побачимо нижче:
named.conf: Основний файл конфігурації. Він включає файлиnamed.conf.options, named.conf.local y named.conf.default-зонами.
named.conf.options: Загальні параметри служби DNS. Директива: каталог "/ var / cache / bind" він підкаже bind9, де шукати файли створених локальних зон. Ми також заявляємо тут сервери “Транспортери"Або в приблизному перекладі" Advancers "максимум до 3, що є не що інше, як зовнішні DNS-сервери, до яких ми можемо звернутися з нашої мережі (звичайно через брандмауер), які відповідатимуть на запитання або запити, які надсилає наш DNS місцевий житель не може відповісти.
Наприклад, якщо ми налаштовуємо DNS для локальної мережі192.168.10.0/24, і ми хочемо, щоб один з наших експедиторів був сервером імен UCI, ми повинні оголосити експедитори директив {200.55.140.178; }; IP-адреса, що відповідає серверу ns1.uci.cu.
Таким чином ми зможемо проконсультуватися з нашим локальним DNS-сервером, який є IP-адресою хосту yahoo.es (який, очевидно, не в нашій локальній мережі), оскільки наш DNS запитає UCI, чи знає він, яка IP-адреса yahoo.es, і тоді це дасть нам задовільний результат чи ні. Також і в самому файлі named.conf.option Ми оголосимо про інші важливі аспекти конфігурації, як ми побачимо пізніше.
named.conf.default-зонами: Як випливає з назви, це Зони за замовчуванням. Тут ви налаштовуєте BIND ім'я файлу, що містить інформацію про кореневі сервери або кореневі сервери, необхідні для запуску кешу DNS, точніше про файлdb.root. BIND також пропонується мати повноваження (бути авторитарними) у вирішенні імен для локальний, як у прямому, так і в зворотному запитах, і однаково для областей "Трансляція".
named.conf.local: Файл, де ми оголошуємо локальну конфігурацію нашого DNS-сервера за іменем кожного з Місцеві райони, а це будуть файли записів DNS, які відображатимуть назви комп'ютерів, підключених до нашої локальної мережі, з їхньою IP-адресою і навпаки.
rndc.key: Створений файл, що містить ключ для управління BIND. Використання утиліти управління сервером BIND rndc, ми зможемо перезавантажити конфігурацію DNS без необхідності перезапускати її за допомогою команди rndc перезавантажити. Дуже корисно, коли ми робимо зміни у файлах локальних зон.
У Debian файли локальних зон також може знаходитися в / var / lib / bind; тоді як в інших дистрибутивах, таких як Red Hat та CentOS, вони зазвичай знаходяться в / var / lib / named або інші каталоги залежно від ступеня захищеності, що застосовується.
Вибираємо каталог / var / cache / bind це запропонований за замовчуванням Debian у файлі named.conf.options. Ми можемо використовувати будь-який інший каталог, поки ми повідомляємо прив’язати9 де шукати файли зон, або ми даємо вам абсолютний шлях до кожного з них у файлі named.conf.local. Дуже здорово використовувати каталоги, рекомендовані дистрибутивом, який ми використовуємо.
Ця сфера не виходить за межі обговорення додаткової безпеки, пов’язаної зі створенням клітки або Chroot для BIND. Так само питання безпеки через контекст SELinux. Тим, хто потребує впровадження таких функцій, слід звернутися до посібників чи спеціалізованої літератури. Пам'ятайте, що пакет документації bind9-doc встановлюється в каталог / usr / share / doc / bind9-doc.
Ну панове, поки що 2-а частина. Ми не хочемо розширювати жодної статті через добрі рекомендації нашого начальника. Нарешті! ми розберемося з дрібницею налаштування та тестування BIND ... у наступному розділі.
вітаю дуже гарна стаття!
Дуже дякую ..
Це менш важливо з міркувань безпеки: Не залишайте dns відкритим (відкритий вирішувач)
Посилання:
1) http://www.google.com/search?hl=en&q=spamhaus+ataque
2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
Я цитую:
«… Наприклад, проект Open DNS Resolver Project (openresolverproject.org), зусилля групи експертів з питань безпеки, щоб це виправити, підраховує, що в даний час існує 27 мільйонів« Відкритих рекурсивних вирішувачів », і 25 мільйонів з них становлять значну загрозу ., прихований, чекаючи, щоб знову випустити свою лють проти нової цілі .. »
привіт
Дуже добре залучити людей до такої важливої служби, як DNS.
Що я роблю, якщо можу зазначити одне, - це ваш вибачливий переклад "експедиторів", схоже на те, що його витягнули з google translate. Правильний переклад - "Пересилання серверів" або "Пересилання".
Все інше, чудово.
привіт
Проблема семантики. Якщо ви переслали запит іншому для отримання відповіді, ви не переходите на інший рівень. Я вважав, що найкращим лікуванням на кубинській іспанській мові був Adelantadores, оскільки я посилався на Pass або Advance на запитання, на яке я (місцевий DNS) не міг відповісти. Простий. Мені було б простіше написати статтю англійською мовою. Однак я завжди уточнюю інформацію щодо Моїх перекладів. Дякуємо за вчасний коментар.
Розкіш;)!
Привіт!
А для OpenSUSE?
CREO працює для будь-якого дистрибутива. Я думаю, що зони розташування файлів різняться. ні?
Дякую всім за коментарі .. і я із задоволенням приймаю ваші пропозиції .. 😉