Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.6. BIND

Es gibt mehrere größere Änderungen in der BIND-Konfiguration:
  • Standard-ACL-Konfiguration - unter Red Hat Enterprise Linux 5 ermöglicht die Standard-ACL-Konfiguration Anfragen und bot Rekursion für alle Hosts an. Standardmäßig können unter Red Hat Enterprise Linux 6 alle Hosts Anfragen zu autoritativen Daten stellen, aber nur Hosts aus dem lokalen Netzwerk können rekursive Anfragen stellen.
  • Neue Option allow-query-cache - Die Option allow-recursion wird zu Gunsten dieser Option nun als veraltet betrachtet. Sie wird zur Zugriffskontrolle auf Server-Caches, die alle nicht-autoritativen Daten enthalten (wie rekursive Lookups und Root-Nameserver-Hinweise) verwendet.
  • Chroot-Umgebungsmanagement - Das bind-chroot-admin-Skript, das zur Erstellung von symbolischen Links von einer Nicht-Chroot-Umgebung in eine Chroot-Umgebung verwendet wurde, ist veraltet und nicht länger vorhanden. Stattdessen kann die Konfiguration direkt in einer Nicht-Chroot-Umgebung verwaltet werden, und Init-Skripte hängen benötigte Dateien automatisch während des named-Starts in die Chroot-Umgebung ein, falls diese Dateien nicht bereits in Chroot existieren.
  • Zugriffsrechte für das /var/named-Verzeichnis - Das Verzeichnis /var/named ist ab sofort schreibgeschützt. Alle Zonendateien, in die geschrieben werden muss (wie dynamische DNS-Zonen, DDNS), sollten in dem neuen nicht schreibgeschützten Verzeichnis abgelegt werden: /var/named/dynamic.
  • Die Option dnssec [yes|no] existiert nicht mehr - Die globalen Optionen dnssec [yes|no] wurden in zwei neue Optionen unterteilt: dnssec-enable und dnssec-validation. Die Option dnssec-enable ermöglicht die Unterstützung von DNSSEC. Die Option dnssec-validation ermöglicht die Validierung von DNSSEC. Beachten Sie bitte, dass das Setzen von dnssec-enable auf "no" auf rekursiven Servern dazu führt, dass diese nicht als Forwarder von anderen Servern, die DNSSEC-Validierung durchführen, verwendet werden kann. Beide Optionen werden standardmäßig auf yes gesetzt.
  • Sie brauchen das controls-Statement nicht mehr länger in /etc/named.conf angeben, wenn Sie das rndc Management-Dienstprogramm verwenden. Der named-Dienst kontrolliert Verbindungen automatisch via Loopback-Gerät und sowohl named, als auch rndc verwenden denselben geheimen Schlüssel, der während der Installation generiert wird (und der sich unter /etc/rndc.key befindet).
Bei einer Standard-Installation wird BIND mit aktivierter DNSSEC-Validierung installiert und verwendet das ISC DLV-Register. Dies bedeutet, dass alle signierten Domains (wie gov., se., cz.) kryptografisch auf dem rekursiven Server validiert werden. Falls die Validierung aufgrund von Versuchen wie Cache-Poisoning fehlschlägt, werden diese veränderte/verfälschte Daten nicht an den Benutzer weitergegeben. Die Bereitstellung von DNSSEC ist nun ein weitgehend implementiertes Feature, stellt einen bedeutenden Schritt zur Verbesserung der Sicherheit im Internet für Endbenutzer und wird unter Red Hat Enterprise Linux 6 vollständig unterstützt. Wie bereits zuvor erwähnt, wird die DNSSEC-Validierung mit der Option dnssec-validation in /etc/named.conf gesteuert.