Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.6. BIND

Sono presenti numerose modifiche nella configurazione di BIND:
  • Configurazione ACL predefinita - in Red Hat Enterprise Linux 5 la configurazione ACL predefinita permetteva l'uso delle interrogazioni ed offriva impostazioni ricorsive per tutti gli host. Per default in Red Hat Enterprise Linux 6 tutti gli host possono eseguire una interrogazione per dati autoritari, ma solo gli host della rete locale sono in grado di eseguire interrogazioni ricorsive.
  • Nuova opzione allow-query-cache - l'opzione allow-recursion è stata deprecata a favore di questa opzione. Essa viene usata per controllare l'accesso alle cache dei server, il quale include tutti i dati non autoritari (come ad esempio lookup ricorsivi e suggerimenti del nameserver di root).
  • Gestione ambiente di chroot - lo script bind-chroot-admin usato per creare i link simbolici da un ambiente non chroot ad uno chroot è deprecato e non esiste più. Al suo posto la configurazione può essere gestita direttamente in un ambiente non chroot e gli init script sono in grado di montare automaticamente i file necessari durante l'avvio di named nel caso in cui i file non siano presenti in chroot.
  • Permessi della directory /var/named - La directory /var/named non è più scrivibile. Tutte le zone scrivibili (ad esempio le zone dinamiche DNS, DDNS) dovranno essere posizionate nella nuova directory: /var/named/dynamic.
  • L'opzione dnssec [yes|no] non esiste più - L'opzione globale dnssec [yes|no] è stata suddivisa in due nuove opzioni: dnssec-enable e dnssec-validation. L'opzione dnssec-enable abilita il supporto DNSSEC, mentre l'opzione dnssec-validation abilita la convalida DNSSEC. Da notare che l'impostazione di dnssec-enable su "no" sul server ricorsivo significa che non potrà essere usato come tramite per l'inoltro da parte di un altro server che esegue la convalida DNSSEC. Entrambe le opzioni sono impostate su si (yes) per impostazione predefinita.
  • Non è più necessario specificare l'istruzione controls in /etc/named.conf se utilizzate l'utilità di gestione rndc. Il servizio named permette automaticamente il controllo dei collegamenti tramite il dispositivo di loopback ed entrambi named e rndc usano la stessa chiave segreta generata durante l'installazione (posizionata in /etc/rndc.key).
In una installazione predefinita BIND viene installato con la convalida DNSSEC abilitata ed utilizza ISC DLV register. Ciò significa che tutti i domini firmati (come ad esempio gov., se., cz.), che presentano le proprie chiavi in ISC DLV register, sono convalidati crittograficamente su di un server ricorsivo. Se la convalida fallisce a causa di vari tentativi di cache poisoning, allora l'utente finale non riceverà questi dati contraffatti. L'implementazione di DNSSEC è una funzione molto diffusa e rappresenta una fase molto importante nel rendere internet più sicuro per gli utenti finali, ed è completamente supportato in Red Hat Enterprise Linux 6. Come precedentemente indicato la convalida DNSSEC è controllata con l'opzione dnssec-validation in /etc/named.conf.