Главная » Просмотр файлов » Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки

Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 71

Файл №1077321 Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки) 71 страницаБруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321) страница 712018-01-10СтудИзба
Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 71)

ISC BIND – программное обеспечение для организации службы DSN301Установите права доступа к файлу и назначьте владельцем файла пользователя named из группыnamed:[root@drwalbr /]# chmod 644 /var/named/76.24.213.in-addr.arpa[root@drwalbr /]# chown named.named /var/named/76.24.213.in-addr.arpaКонфигурирование ISC BIND в режиме вторичного DNS-сервераВторичный DNS-сервер используется для повышения надежности службы DNS и снижения загрузкипервичного DNS-сервера.

Вторичный DNS-сервер периодически загружает файлы зон и обратных зон с первичного или других вторичных DNS-серверов. Этот процесс называют переносом. Настройку вторичногоDNS-сервера рассмотрим на примере вторичного DNS сервера отвечающего за зону contora.ru.Шаг 1Создайте файл /etc/named.conf, руководствуясь своими потребностями и ниже приведеннымирекомендациями:// Authorized source addresses.acl "trusted" {localhost;192.168.1.0/24;213.24.76.0/24;// Known fake source addresses shouldn't be replied to.acl "bogon" {0.0.0.0/8;1.0.0.0/8;2.0.0.0/8;192.0.2.0/24;224.0.0.0/3;169.254.0.0/16;// Enterprise networks may or may not be bogus.10.0.0.0/8;172.16.0.0/12;192.168.0.0/16;};options {directory "/var/named";allow-transfer { none; };allow-query { trusted; };allow-recursion { trusted; };blackhole { bogon; };tcp-clients 1024;forwarders { none; };version "Hangry Bambr DNS v.

0.01";};logging {category lame-servers { null; };};// Root server hintszone "." { type hint; file "db.cache"; };// Provide a reverse mapping for the loopback address 127.0.0.1/24zone "localhost" {type master;file "db.localhost";notify no;};zone "0.0.127.in-addr.arpa" {type master;file "0.0.127.in-addr.arpa";302Часть 5. Служба DSNnotify no;};// We are the slave server for contora.ruzone "contora.ru" {type slave;file "db.contora";masters { 213.24.76.2; };allow-query { any; };};// Provide a reverse mapping for domains network 213.24.76.0/24zone "76.24.213.in-addr.arpa" {type slave;file "76.24.213.in-addr.arpa";masters { 213.24.76.2; };allow-query { any; };};Предлагаемый пример конфигурационного файла аналогичен файлу, используемому при конфигурировании первичного DNS-сервера.

Отличием является определение в строках:type slave;конфигурируемого сервера в качестве вторичного для зоны и обратной зоны;и в строках:masters { 213.24.76.2; };указывающих на IP-адрес первичного DNS-сервера.Шаг 2Установите права доступа к файлу и назначьте владельцем файла пользователя named из группыnamed:[root@drwalbr /]# chmod 600 /etc/named.conf[root@drwalbr /]# chown named.named /etc/named.confКонфигурационные файлы /var/named/db.cache, /var/named/db.localhost,/var/named/0.0.127.in-addr.arpa, /etc/sysconfig/named и /etc/init.d/named/var/named/db.cache,/var/named/db.localhost,Конфигурацияфайлов/var/named/0.0.127.in-addr.arpa, /etc/sysconfig/named и /etc/init.d/named идентична описанной выше конфигурации файлов для кэширующего и первичного DNS-серверов.Обеспечение безопасности транзакций для ISC BIND с использованием TSIGМеханизм подписи транзакций (Transaction Signature, TSIG), используемый в ISC BIND версии 9, позволяет проверять подлинность транзакций.

Например, установить, что запрос на перенос зоны поступаетдействительно от вторичного сервера, а не злоумышленника, пытающегося путем переноса файла зоныDNS-сервера получить информацию, необходимую для подготовки атаки на вашу сеть. Если вы хотите повысить безопасность службы DNS с использованием механизма TSIG, установите на первичном и вторичном DNS-серверах поддержку механизма подписи транзакций.Для включения поддержки TSIG необходимо выполнить следующие операции.Шаг 1На одном из серверов сгенерируйте ключ для первичного и вторичного DNS-серверов:[root@drwalbr /]# dnssec-keygen -a hmac-md5 -b 128 -n HOST ns1-ns2Kns1-ns2.+157+40221В результате выполнения следующей команды будет сгенерирован и сохранен в файле Kns1ns2.+157+40221.private 128-битный HMAC-MD5 ключ:[root@drwalbr /]# cat Kns1-ns2.+157+40221.privatePrivate-key-format: v1.2Algorithm: 157 (HMAC_MD5)Key: 2rhwwM2En/n5KScRtssAbA==Глава 23.

ISC BIND – программное обеспечение для организации службы DSN303Ключ, в рассматриваемом примере выделенный жирным шрифтом, впоследствии используется вконфигурационных файлах /etc/named.conf на первичном и вторичном DNS-серверах. На паре взаимодействующих серверов используется один и тот же ключ.Шаг 2Внесите изменения в файл /etc/named.conf в соответствии с вашими потребностями и приводимыми ниже рекомендациями.Для первичного DNS-сервера:// Authorized source addresses.acl "trusted" {localhost;192.168.1.0/24;213.24.76.0/24;};// Known fake source addresses shouldn't be replied to.acl "bogon" {0.0.0.0/8;1.0.0.0/8;2.0.0.0/8;192.0.2.0/24;224.0.0.0/3;169.254.0.0/16;// Enterprise networks may or may not be bogus.10.0.0.0/8;172.16.0.0/12;192.168.0.0/16;};key "ns1-ns2" {algorithm hmac-md5;secret "2rhwwM2En/n5KScRtssAbA==";};server 194.226.76.0 {keys {"ns1-ns2";}};options {directory "/var/named";allow-transfer { key ns1-ns2; };allow-query { trusted; };allow-recursion { trusted; };blackhole { bogon; };tcp-clients 1024;forwarders { none; };version "Hangry Bambr DNS v.

0.01";};logging {category lame-servers { null; };};// Root server hintszone "." { type hint; file "db.cache"; };// Provide a reverse mapping for the loopback address 127.0.0.1/24zone "localhost" {type master;file "db.localhost";notify no;};zone "0.0.127.in-addr.arpa" {304Часть 5. Служба DSNtype master;file "0.0.127.in-addr.arpa";notify no;};// We are the master server for contora.ruzone "contora.ru" {type master;file "db.contora";allow-query { any; };};// Provide a reverse mapping for domains network 213.24.76.0/24zone "76.24.213.in-addr.arpa" {type master;file "76.24.213.in-addr.arpa";allow-query { any; };};Для вторичного DNS-сервера:// Authorized source addresses.acl "trusted" {localhost;192.168.1.0/24;213.24.76.0/24;// Known fake source addresses shouldn't be replied to.acl "bogon" {0.0.0.0/8;1.0.0.0/8;2.0.0.0/8;192.0.2.0/24;224.0.0.0/3;169.254.0.0/16;// Enterprise networks may or may not be bogus.10.0.0.0/8;172.16.0.0/12;192.168.0.0/16;};key "ns1-ns2" {algorithm hmac-md5;secret "2rhwwM2En/n5KScRtssAbA==";};server 213.24.76.2 {keys {"ns1-ns2";}};options {directory "/var/named";allow-transfer { none; };allow-query { trusted; };allow-recursion { trusted; };blackhole { bogon; };tcp-clients 1024;forwarders { none; };version "Hangry Bambr DNS v.

0.01";};logging {category lame-servers { null; };};Глава 23. ISC BIND – программное обеспечение для организации службы DSN305// Root server hintszone "." { type hint; file "db.cache"; };// Provide a reverse mapping for the loopback address 127.0.0.1/24zone "localhost" {type master;file "db.localhost";notify no;};zone "0.0.127.in-addr.arpa" {type master;file "0.0.127.in-addr.arpa";notify no;};// We are the slave server for contora.ruzone "contora.ru" {type slave;file "db.contora";masters { 213.24.76.2; };allow-query { any; };};// Provide a reverse mapping for domains network 213.24.76.0/24zone "76.24.213.in-addr.arpa" {type slave;file "76.24.213.in-addr.arpa";masters { 213.24.76.2; };allow-query { any; };};Шаг 3Удалите файлы Kns1-ns2.+157+40221.key и Kns1-ns2.+157+40221.private, созданныепри генерации ключа:[root@drwalbr /]# rm -f Kns1-ns2.+157+40221.key[root@drwalbr /]# rm -f Kns1-ns2.+157+40221.private.privateИспользование TSIG для безопасного администрирования ISC BIND с использованием утилиты rndcУтилита rndc предназначена для управления сервером ISC BIND.

Если вы хотите использовать этуутилиту для администрирования DNS-сервера с поддержкой TSIG, вам необходимо внести соответствующие изменения в конфигурационный файл утилиты rndc – /etc/rndc.conf и главный конфигурационный файл DNS-сервера – /etc/named.conf. Для этого необходимо выполнить следующие операции.Шаг 1Сгенерируйте ключ:[root@drwalbr /]# dnssec-keygen -a hmac-md5 -b 128 -n user rndcKrndc.+157+45611В результате выполнения следующей команды будет сгенерирован и сохранен в файлеKrndc.+157+45611.private 128-битный HMAC-MD5 ключ:[root@drwalbr /]# cat Krndc.+157+45611.privatePrivate-key-format: v1.2Algorithm: 157 (HMAC_MD5)Key: erNkIU6wLgAfd7XZdfKiO==Ключ, в рассматриваемом примере выделенный жирным шрифтом, используется утилитой rndc идолжен быть добавлен в конфигурационные файлы /etc/rndc.conf и /etc/named.conf.Шаг 2306Часть 5.

Служба DSNВставьте в файл /etc/rndc.conf ключ, сгенерированный на предыдущем шаге:options {default-server localhost;default-key"key";};server localhost {key"key";};key "key" {algorithmhmac-md5;secret "erNkIU6wLgAfd7XZdfKiO==";};Шаг 3Отредактируйте файл /etc/named.conf в соответствии с вашими требованиями и ниже приведенными рекомендациями (в рассматриваемом примере в качестве исходного используется файл для первичного DNS-сервера):// Authorized source addresses.acl "trusted" {localhost;192.168.1.0/24;213.24.76.0/24;};// Known fake source addresses shouldn't be replied to.acl "bogon" {0.0.0.0/8;1.0.0.0/8;2.0.0.0/8;192.0.2.0/24;224.0.0.0/3;169.254.0.0/16;// Enterprise networks may or may not be bogus.10.0.0.0/8;172.16.0.0/12;192.168.0.0/16;};key "key" {algorithm hmac-md5;secret "erNkIU6wLgAfd7XZdfKiO==";};controls {inet 127.0.0.1 allow { localhost; } keys { "key"; };};key "ns1-ns2" {algorithm hmac-md5;secret "2rhwwM2En/n5KScRtssAbA==";};server 194.226.76.0 {keys {"ns1-ns2";}};options {directory "/var/named";allow-transfer { key ns1-ns2; };allow-query { trusted; };allow-recursion { trusted; };blackhole { bogon; };tcp-clients 1024;forwarders { none; };Глава 23.

Характеристики

Список файлов книги

Свежие статьи
Популярно сейчас
А знаете ли Вы, что из года в год задания практически не меняются? Математика, преподаваемая в учебных заведениях, никак не менялась минимум 30 лет. Найдите нужный учебный материал на СтудИзбе!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
6363
Авторов
на СтудИзбе
310
Средний доход
с одного платного файла
Обучение Подробнее