Chúng tôi tiếp tục với loạt bài viết của mình và trong bài này, chúng tôi sẽ đề cập đến các khía cạnh sau:
- Cài đặt
- Thư mục và tệp chính
Trước khi tiếp tục, chúng tôi khuyên bạn không nên ngừng đọc:
Cài đặt
Trong Bảng điều khiển và với tư cách là người dùng nguồn gốc chúng tôi cài đặt ràng buộc9:
aptitude cài đặt bind9
Chúng tôi cũng phải cài đặt gói dnsutil có các công cụ cần thiết để thực hiện các truy vấn DNS và chẩn đoán hoạt động:
aptitude cài dnsutils
Nếu bạn muốn tham khảo tài liệu có trong kho:
aptitude cài đặt bind9-doc
Tài liệu sẽ được lưu trữ trong thư mục / usr / share / doc / bind9-doc / arm và tệp chỉ mục hoặc Mục lục là bv9ARM.html. Để mở nó, hãy chạy:
firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html
Khi chúng tôi cài đặt ràng buộc9 trên Debian, gói cũng vậy liên kết9utils cung cấp cho chúng tôi một số công cụ rất hữu ích để duy trì cài đặt BIND hoạt động. Trong số đó, chúng tôi sẽ tìm thấy rndc, tên-checkconf và vùng có tên-kiểm tra. Hơn nữa, gói dnsutil đóng góp một loạt các chương trình khách hàng BIND trong số đó sẽ là đào và nslookup. Chúng tôi sẽ sử dụng tất cả các công cụ hoặc lệnh này trong các bài viết sau.
Để biết tất cả các chương trình của mỗi gói, chúng ta phải thực thi với tư cách là người dùng nguồn gốc:
dpkg -L bind9utils dpkg -L dnsutils
Hoặc đi đến Synaptic, tìm gói và xem tệp nào đã được cài đặt. Đặc biệt là những người được cài đặt trong các thư mục / usr / bin o / usr / sbin.
Nếu chúng ta muốn biết thêm về cách sử dụng từng công cụ hoặc chương trình được cài đặt, chúng ta phải thực hiện:
Đàn ông
Thư mục và tệp chính
Khi chúng tôi cài đặt Debian, tệp sẽ được tạo / Etc / resolv.conf. Tệp này hoặc "Tệp cấu hình dịch vụ trình phân giải", Chứa một số tùy chọn theo mặc định là tên miền và địa chỉ IP của máy chủ DNS được khai báo trong quá trình cài đặt. Vì nội dung trợ giúp của tệp bằng tiếng Tây Ban Nha và rất rõ ràng, chúng tôi khuyên bạn nên đọc nó bằng lệnh man Resolutionv.conf.
Sau khi cài đặt ràng buộc9 Trong Squeeze, ít nhất các thư mục sau được tạo:
/ etc / bind / var / cache / bind / var / lib / bind
Trong sổ địa chỉ / etc / bind chúng tôi tìm thấy, trong số những người khác, các tệp cấu hình sau:
tên.conf tên.conf.options tên.conf.default-vùng tên.conf.local rndc.key
Trong sổ địa chỉ / var / cache / bind chúng tôi sẽ tạo các tệp của Khu vực địa phương mà chúng ta sẽ giải quyết sau. Vì tò mò, hãy chạy các lệnh sau trong Bảng điều khiển với tư cách là người dùng nguồn gốc:
ls -l / etc / bind ls -l / var / cache / bind
Tất nhiên, thư mục cuối cùng sẽ không chứa bất cứ thứ gì, vì chúng tôi chưa tạo Local Zone.
Việc chia cài đặt BIND thành nhiều tệp được thực hiện để thuận tiện và rõ ràng. Mỗi tệp có một chức năng cụ thể như chúng ta sẽ thấy bên dưới:
Name.conf: Tệp cấu hình chính. Nó bao gồm các tệpname.conf.options, name.conf.local y names.conf.default-zone.
name.conf.options: Tùy chọn dịch vụ DNS chung. Chỉ thị: thư mục "/ var / cache / bind" nó sẽ cho bind9 biết nơi tìm kiếm các tệp của Local Zones đã tạo. Chúng tôi cũng tuyên bố ở đây các máy chủ “Giao nhận"Hoặc trong bản dịch gần đúng là" Advances "lên đến số lượng tối đa là 3, không hơn gì các máy chủ DNS bên ngoài mà chúng tôi có thể tham khảo từ mạng của mình (tất nhiên là thông qua Tường lửa) sẽ phản hồi các câu hỏi hoặc yêu cầu mà DNS của chúng tôi địa phương không có khả năng đáp ứng.
Ví dụ: nếu chúng tôi đang định cấu hình DNS cho mạng LAN192.168.10.0/24và chúng tôi muốn một trong những công ty giao nhận của chúng tôi là Máy chủ định danh UCI, chúng tôi phải khai báo chỉ thị giao nhận {200.55.140.178; }; Địa chỉ IP tương ứng với máy chủ ns1.uci.cu.
Bằng cách này, chúng tôi sẽ có thể tham khảo máy chủ DNS cục bộ của chúng tôi, đó là địa chỉ IP của máy chủ yahoo.es (rõ ràng không có trong mạng LAN của chúng tôi), vì DNS của chúng tôi sẽ hỏi UCI nếu nó biết đâu là địa chỉ IP của yahoo.es, và sau đó nó sẽ cho chúng ta một kết quả hài lòng hay không. Ngoài ra và trong chính tệp name.conf.option Chúng tôi sẽ khai báo các khía cạnh quan trọng khác của cấu hình như chúng ta sẽ thấy ở phần sau.
names.conf.default-zone: Như tên của nó, chúng là các Vùng mặc định. Ở đây, tên của tệp chứa thông tin của Máy chủ gốc hoặc Máy chủ gốc cần thiết để khởi động bộ đệm DNS được cấu hình, cụ thể hơn là tệpdb.root. BIND cũng được hướng dẫn để có toàn quyền (độc đoán) trong việc giải quyết các tên cho localhost, cả trong truy vấn trực tiếp và truy vấn ngược, và giống nhau đối với các khu vực "Truyền phát".
name.conf.local: Tệp nơi chúng tôi khai báo cấu hình cục bộ của máy chủ DNS của chúng tôi theo tên của từng Khu vực địa phương, và đó sẽ là Tệp Bản ghi DNS sẽ ánh xạ tên của các máy tính được kết nối với mạng LAN của chúng tôi với địa chỉ IP của chúng và ngược lại.
rndc.key.: Tệp được tạo chứa Chìa khóa để điều khiển BIND. Sử dụng tiện ích điều khiển máy chủ BIND rndc., chúng tôi sẽ có thể tải lại cấu hình DNS mà không cần phải khởi động lại bằng lệnh tải lại rndc. Rất hữu ích khi chúng tôi thực hiện thay đổi trong các tệp của Vùng cục bộ.
Trong Debian, các tệp Local Zones cũng có thể được đặt tại / var / lib / bind; trong khi ở các bản phân phối khác như Red Hat và CentOS, chúng thường nằm ở / var / lib / được đặt tên hoặc các thư mục khác tùy thuộc vào mức độ bảo mật được thực hiện.
Chúng tôi chọn thư mục / var / cache / bind nó là cái được đề xuất bởi Debian mặc định trong tệp name.conf.options. Chúng tôi có thể sử dụng bất kỳ thư mục nào khác miễn là chúng tôi cho ràng buộc9 nơi để tìm tệp của các khu vực hoặc chúng tôi cung cấp cho bạn đường dẫn tuyệt đối của từng khu vực trong tệp name.conf.local. Sẽ rất tốt cho sức khỏe khi sử dụng các thư mục được khuyến nghị bởi bản phân phối mà chúng tôi đang sử dụng.
Việc thảo luận về bảo mật bổ sung liên quan đến việc tạo Cage hoặc Chroot cho BIND nằm ngoài phạm vi của bài viết này. Vấn đề bảo mật thông qua ngữ cảnh SELinux cũng vậy. Những người cần triển khai các tính năng này nên chuyển sang hướng dẫn sử dụng hoặc tài liệu chuyên ngành. Hãy nhớ rằng gói tài liệu liên kết9-doc được cài đặt trong thư mục / usr / share / doc / bind9-doc.
Well Sirs, cho đến nay là Phần thứ 2. Chúng tôi không muốn mở rộng trên một bài báo do những khuyến nghị tốt của Trưởng phòng của chúng tôi. Cuối cùng! chúng ta sẽ đi sâu vào vấn đề thiết lập và kiểm tra BIND… trong chương tiếp theo.
chúc mừng bài viết rất hay!
Cảm ơn bạn rất nhiều ...
Điều này ít quan trọng hơn vì lý do bảo mật: Không để mở dns (trình phân giải mở)
Tài liệu tham khảo:
1) http://www.google.com/search?hl=en&q=spamhaus+ataque
2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
Tôi trích dẫn:
«... Ví dụ, Dự án Open DNS Resolver (openresolverproject.org), nỗ lực của một nhóm các chuyên gia bảo mật để sửa lỗi này, ước tính rằng hiện có 27 triệu" Open Recursive Resolver ", và 25 triệu trong số đó là mối đe dọa đáng kể., tiềm ẩn, đang chờ để bộc phát cơn thịnh nộ một lần nữa chống lại mục tiêu mới .. »
Liên quan
Rất tốt để thu hút mọi người sử dụng một dịch vụ quan trọng ngày nay như DNS.
Những gì tôi làm, nếu tôi có thể chỉ ra điều gì đó, là bản dịch đáng thương của bạn về "người giao nhận", trông như thể nó được lấy từ google dịch. Bản dịch chính xác là "Máy chủ chuyển tiếp" hoặc "Máy giao nhận".
Mọi thứ khác, tuyệt vời.
Liên quan
Vấn đề ngữ nghĩa. Nếu bạn chuyển tiếp một yêu cầu đến một người khác để nhận được Phản hồi, bạn không phải là Nâng cao một yêu cầu lên một cấp độ khác. Tôi tin rằng cách xử lý tốt nhất bằng tiếng Tây Ban Nha ở Cuba là Adelantadores vì tôi đang đề cập đến Pass hoặc Advance một câu hỏi mà tôi (DNS cục bộ) không thể trả lời. Đơn giản. Sẽ dễ dàng hơn cho tôi khi viết bài báo bằng tiếng Anh. Tuy nhiên, tôi luôn làm rõ về Bản dịch của tôi. Cảm ơn bạn đã bình luận kịp thời của bạn.
Sang trọng;)!
Chúc mừng!
Và đối với OpenSUSE?
CREO hoạt động cho bất kỳ bản phân phối nào. Tôi nghĩ rằng vị trí tệp vùng khác nhau. Không?
Cảm ơn tất cả các bạn đã bình luận .. và tôi vui lòng chấp nhận các đề xuất của bạn .. 😉