我們將繼續閱讀我們的系列文章,在這篇文章中,我們將探討以下方面:
- 安裝
- 目錄和主文件
在繼續之前,我們建議您不要停止閱讀:
安裝
在控制台中並作為用戶 根 我們安裝了 綁定9:
資質安裝bind9
我們還必須安裝軟件包 dnsutil 它具有進行DNS查詢和診斷操作所需的必要工具:
aptitude安裝dnsutils
如果要查閱存儲庫中隨附的文檔:
aptitude安裝bind9-doc
該文檔將存儲在目錄中 / usr /共享/ doc / bind9-doc / arm 索引文件或目錄是 bv9ARM.html。 要打開它,請運行:
firefox / usr /共享/ doc / bind9-doc / arm / Bv9ARM.html
當我們安裝 綁定9 在Debian上,軟件包也是如此 綁定9實用程序 這為我們提供了一些非常有用的工具來維護BIND的有效安裝。 其中我們會發現 rndc,named-checkconf和named-checkzone。 而且,包裝 dnsutil 貢獻了一系列的BIND客戶程序,其中包括 挖 Y EL NSLOOKUP。 在以下文章中,我們將使用所有這些工具或命令。
要了解每個軟件包的所有程序,我們必須以用戶身份執行 根:
dpkg -L bind9utils dpkg -L dnsutils
或去 突觸,查找軟件包,然後查看安裝了哪些文件。 特別是那些安裝在文件夾中的文件 在/ usr / bin中 o / usr / sbin.
如果我們想更多地了解如何使用已安裝的每個工具或程序,我們必須執行:
人
目錄和主文件
當我們安裝Debian時,文件被創建 / etc / resolv.conf中。 此文件或“解析程序服務配置文件”,其中包含多個選項,默認情況下是安裝過程中聲明的DNS服務器的域名和IP地址。 由於文件幫助的內容是西班牙語,並且非常清楚,因此建議您使用以下命令閱讀文件 人resolv.conf.
安裝後 綁定9 在Squeeze中,至少創建以下目錄:
/ etc / bind / var / cache / bind / var / lib / bind
在通訊錄中 / etc /綁定 我們找到了以下配置文件,其中包括:
named.conf named.conf.options named.conf.default-zones named.conf.local rndc.key
在通訊錄中 / var /緩存/綁定 我們將創建 地區 我們稍後會處理。 出於好奇,請以用戶身份在控制台中運行以下命令 根:
ls -l / etc / bind ls -l / var / cache / bind
當然,最後一個目錄將不包含任何內容,因為我們尚未創建本地區域。
為了方便和清楚起見,已將BIND配置分為多個文件。 每個文件都有特定的功能,如下所示:
命名.conf:主配置文件。 它包括文件named.conf.options, 命名.conf.local y named.conf.default 區域.
named.conf.options:常規DNS服務選項。 指示: 目錄“ / var / cache / bind” 它將告訴bind9在哪裡尋找創建的本地區域的文件。 我們還在這裡聲明服務器“代理“或近似翻譯”最多可增加3個,無非就是我們可以從我們的網絡(當然是通過防火牆)向網絡查詢的外部DNS服務器,它將響應問題或請求我們的DNS當地無法回應。
例如,如果我們正在為局域網配置DNS192.168.10.0/24,並且我們希望我們的轉發器之一是UCI名稱服務器,我們必須聲明指令轉發器 {200.55.140.178; }; 服務器對應的IP地址 ns1.uci.cu.
通過這種方式,我們可以查詢本地yahoo.es主機的IP地址(顯然不在我們的LAN上)的DNS服務器,因為我們的DNS會詢問UCI是否知道yahoo.es的IP地址。 ,那麼它是否會給我們令人滿意的結果。 另外,在文件本身中 命名.conf.option 我們將聲明配置的其他重要方面,我們將在後面看到。
named.conf.default 區域:顧名思義,它們是默認區域。 此處配置了包含啟動DNS緩存所需的一個或多個根服務器信息的文件名,更具體地說是文件數據庫.root。 還指示BIND在解析域名名稱時擁有完全的權限(專制)。 本地,無論是直接查詢還是反向查詢,對於“廣播”區域都是相同的。
命名.conf.local:文件,我們在其中聲明每個DNS服務器名稱的本地配置 地區,這將是DNS記錄文件,該文件將映射連接到我們局域網的計算機的名稱及其IP地址,反之亦然。
rndc密鑰:生成的文件包含控制BIND的密鑰。 使用BIND服務器控制實用程序 直流,我們將能夠重新加載DNS配置,而無需使用以下命令重新啟動它 rndc重新加載。 當我們在本地區域的文件中進行更改時非常有用。
在Debian中,“本地區域”文件 也可以位於 / var / lib /綁定; 而在其他發行版(如Red Hat和CentOS)中,它們通常位於 / var / lib /命名 或其他目錄,具體取決於實現的安全程度。
我們選擇目錄 / var /緩存/綁定 這是默認Debian在文件中建議的一個 named.conf.options。 我們可以使用任何其他目錄,只要我們告訴 綁定9 在哪裡尋找區域的文件,或者我們在文件中給您每個區域的絕對路徑 命名.conf.local。 使用我們使用的發行版推薦的目錄是非常健康的。
討論為BIND創建Cage或Chroot所涉及的其他安全性不在本文討論範圍之內。 通過SELinux上下文的安全性問題也是如此。 那些需要實現這些功能的人應該參考手冊或專業文獻。 請記住,文檔包 bind9文件 安裝在目錄中 / usr /共享/ doc / bind9-doc.
先生,到目前為止,第二部分。 由於我們的科長提出了很好的建議,我們不想只討論一條。 最後! 在下一章中,我們將深入探討BIND設置和測試……。
恭喜,很好的文章!
非常感謝..
這對於安全性而言不太重要:請勿將dns保持打開狀態(打開解析器)
引用:
1) http://www.google.com/search?hl=en&q=spamhaus+ataque
2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
我引用:
«…例如,開放DNS解析器項目(openresolverproject.org)是一組安全專家為解決此問題而做出的努力,估計目前有27萬“開放遞歸解析器”,其中有25萬是嚴重威脅。 ……潛伏著,等待著釋放出對新目標的憤怒。
問候
很好地帶給人們像DNS這樣的重要服務。
如果我能指出一件事,我所做的就是您對“轉發者”的抱歉翻譯,該翻譯似乎是從Google翻譯中提取的。 正確的翻譯是“轉發服務器”或“轉發器”。
一切都很好。
問候
語義問題。 如果將請求轉發給另一個人以獲得響應,則不是將請求推進到另一個級別。 我認為古巴西班牙語中最好的治療方法是Adelantadores,因為我指的是“通過”或“提前”一個我(本地DNS)無法回答的問題。 簡單。 對我來說,用英語寫這篇文章會更容易些。 但是,我總是澄清我的翻譯。 感謝您的及時評論。
豪華;)!
的問候!
對於OpenSUSE?
CREO適用於任何發行版。 我認為,區域文件的位置會有所不同。 沒有?
謝謝大家的評論..我很高興接受您的建議..😉