Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.6. BIND

Há diversas importantes mudanças na configuração do BIND:
  • A configuração ACL padrão - no Red Hat Enterprise Linux 5, a configuração ACL padrão permitia consultas e oferecia recursão para todos os hosts. Por padrão, no Red Hat Enterprise Linux 6, todos os hosts podem fazer consultas por dados autoritários mas somente hosts da rede local podem fazer consultas recursivas.
  • Nova opção allow-query-cache - a opção allow-recursion se tornou obsoleta com esta opção. Ela é usada para controlar acesso aos caches dos servidores, que incluem todos os dados não autoritários (como consultas recursivas e sugestões de nomes de servidores root).
  • Gerenciamento do ambiente chroot - O script bind-chroot-admin, que era usado para criar symlinks de um ambiente que não é chroot para um ambiente chroot, se tornou obsoleto e não existe mais. Ao invés, a configuração pode ser gerenciada diretamente em um ambiente que não seja chroot e scripts init automaticamente montam os arquivos necessários para o ambiente chroot durante a inicialização named em caso que os arquivos já não estão presentes no chroot.
  • O diretório de permissões /var/named - O diretório /var/named não é mais gravável. Todos os arquivos de zona que precisam ser graváveis (tais como zonas DNS dinâmicas, DDNS) devem ser colocados no novo diretório gravável: /var/named/dynamic.
  • A opção dnssec [yes|no] não existe mais - As opções globais dnssec [yes|no] foram divididas em duas novas opções: dnssec-enable e dnssec-validation. A opção dnssec-enable ativa o suporte DNSSEC. A opção dnssec-validation ativa a validação DNSSEC. Note que definindo a dnssec-enable para "não" em um servidor recursivo significa que ele não pode ser usado como um encaminhador para outro servidor que realiza a validação DNSSEC. Ambas opções são definidas para sim "yes" por padrão.
  • Você não precisa mais especificar a declaração controls no /etc/named.conf se você usar o utilitário de gerenciamento rndc. O serviço named automaticamente permite controlar conexões pelo dispositivo loopback e ambos named e rndc usam a mesma chave secreta gerada durante a instalação (localizada em /etc/rndc.key).
Em uma instalação padrão, o BIND é instalado com a validação DNSSEC ativada e usa o registro ISC DLV. Isto significa que todos os domínios assinados (tais como gov., se., cz.), que possuem suas próprias chaves no registro ISC DLV, são criptograficamente validados no servidor recursivo. Se a validação falhar devido à tentativas de envenenamento do cache, então o usuário final não receberá estes dados falsificados. A implementação DNSSEC é agora um recurso totalmente implementado, é um passo importante para fazer a internet mais segura para os usuários finais e é totalmente suportada no Red Hat Enterprise Linux 6. Como mencionado anteriormente, a validação DNSSEC é controlada com a opção dnssec-validation no /etc/named.conf.