4.6. BIND

Hay varios cambios importantes en la configuración de BIND:
  • Configuración predeterminada ACL - en Red Hat Enterprise Linux 5, la configuración predeterminada ACL permitía las consultas y ofrecía recursión para todos los hosts. Por defecto, en Red Hat Enterprise Linux 6, todos los hosts pueden consultar datos autoritativos pero sólo los hosts de la red local puede hacer solicitudes recursivas.
  • La nueva opción allow-query-cache - la opción allow-recursion ha sido depreciada en favor de esta opción. Se utiliza para controlar el acceso a las memorias caches de servidor, las cuales incluyen todos los datos no autoritativos (como por ejemplo búsquedas y ayudas de nombre de servidor de root).
  • Administración del entorno Chroot - el script bind-chroot-admin, el cual se utilizaba para crear symlinks desde un entorno de no chroot a un entorno chroot, se depreció y ya no existe. En su lugar, la configuración puede administrarse directamente en un entorno de no chroot y los scripts init montan automáticamente los archivos necesarios para el entorno chroot durante el inicio de named en el caso de que los archivos ya no estén presentes en el chroot.
  • Permisos de directorio /var/named - El directorio /var/named ya no es de escritura. Todos los archivos de zona que necesitan ser de escritura (tales como zonas DNS dinámicas, DDNS) deben colocarse en el nuevo directorio de escritura: /var/named/dynamic.
  • La opción dnssec [yes|no] ya no existe - Las opciones globales dnssec [yes|no] han sido divididas en dos nuevas opciones: dnssec-enable y dnssec-validation. La opción dnssec-enable permite soporte DNSSEC. La opción dnssec-validation permite validación de DNSSEC. Observe que al configurar dnssec-enable en "no" en servidor recursivo significa que no se puede utilizar como un reenviador por otro servidor que realice validación DNSSEC. Ambas opciones se establecen a sí por defecto.
  • Ya no se necesitará especificar la declaración controls en /etc/named.conf si se utiliza el servicio de administración rndc. El servicio named permite automáticamente controlar conexiones a través del dispositivo de bucle de retroceso y tanto named como rndc utilizan la misma clave secreta generada durante la instalación (localizada en /etc/rndc.key).
En una instalación predeterminada, BIND se instala con validación DNSSEC habilitada y utiliza el registro de ISC DLV. Esto significa que todos los dominios firmados (tales como gov., se., cz.), que tienen su clave en el registro de ISC DLV, criptográficamente se validan en el servidor recursivo. Si la validación falla debido a los intentos de envenenamiento de memoria cache, entonces, no se darán al usuario final estos datos falsificados. Ahora DNSSEC es una funcionalidad ampliamente implementada, es un paso importante para hacer la Internet más segura para los usuarios finales y es totalmente compatible en Red Hat Enterprise Linux 6. Como ya se ha mencionado, la validación de DNSSEC se controla mediante la opción dnssec-validation en /etc/named.conf.