4.6. BIND

La configuration de BIND a subie quelques modifications majeures :
  • Configuration ACL par défaut - dans Red Hat Enterprise Linux 5, la configuration ACL par défaut autorisait les requêtes et offrait une récursion pour tous les hôtes. Par défaut dans Red Hat Enterprise Linux 6, tous les hôtes peuvent effectuer des requêtes de données faisant autorité mais seuls les hôtes d'un réseau local peuvent effectuer des requêtes récursives.
  • Nouvelle option allow-query-cache - l'option allow-recursion a été rendue obsolète en faveur de cette option. Elle est utilisée pour contrôler l'accès aux caches du serveur, qui incluent les données ne faisant pas autorité (comme les recherches récursives et les indices de nom de serveur racine).
  • Gestion de l'environnement Chroot - le script bind-chroot-admin, qui était utilisé pour créer des symlinks depuis un environnement non-chroot vers un environnement chroot, est maintenant obsolète et n'existe plus. Au lieu de cela, la configuration peut maintenant être directement gérée dans un environnement non-chroot et les scripts init montent automatiquement les fichiers nécessaires à l'environnement chroot pendant le démarrage named dans le cas où les fichiers ne seraient pas déjà présents dans le chroot.
  • Permissions du répertoire /var/named - le répertoire /var/named N,est plus inscriptible. Tous les fichiers de zones qui nécessitent d'être inscriptibles (comme les zones DNS dynamiques, DDNS) doivent être placés dans le nouveau répertoire inscriptible : /var/named/dynamic.
  • L'option dnssec [yes|no] n'existe plus - les options globales dnssec [yes|no] ont été divisées en deux nouvelles options : dnssec-enable et dnssec-validation. L'option dnssec-enable active le support DNSSEC. L'option dnssec-validation active la validation DNSSEC . Remarquez que définir dnssec-enable sur "no" sur un serveur récursif signifiw qu'il ne pourra pas être utilisé comme redirecteur par un autre serveur effectuant une validation DNSSEC. Ces deux options sont réglées sur "yes" par défaut.
  • Il n'est plus nécessaire de spécifier l'état de controls dans /etc/named.conf si vous utilisez l'utilitaire de gestion rndc. Le service named autorise automatiquement les connexions de contrôle via le périphérique de bouclage (loopback device) et named et rndc utilisent la même clé secrète générée lors de l'installation (située dans /etc/rndc.key).
Dans une installation par défaut, BIND est installé avec la validation DNSSEC activée et utilise le registre DLV ISC. Ceci signifie que tous les domaines signés (tel que gov., se., cz.) possédant leur clé dans le registre DLV ISC seront validés par chiffrement sur le serveur récursif. Si, dû à des tentatives d'empoisonnement du cache, la validation échoue, alors l'utilisateur final ne se verra pas remettre ces données forgées/usurpées. Le déploiement DNSSEC est une fonction qui est maintenant largement implémentée, est une étape importante pour rendre l'internet plus sécurisé pour ses utilisateurs, et est entièrement pris en charge dans Red Hat Enterprise Linux 6. Comme mentionné auparavant, la validation DNSSEC est contrôlée avec l'option dnssec-validation dans /etc/named.conf.