Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
4.6. BIND
Ниже перечислены основные изменения BIND.
- Стандартная конфигурация ACL в Red Hat Enterprise Linux 5 разрешала выполнение запросов и рекурсивную обработку узлов. В Red Hat Enterprise Linux 6, все узлы по умолчанию могут запрашивать достоверные данные, но только компьютерам в локальной сети разрешается отправлять рекурсивные запросы.
allow-query-cache
заменяет устаревший параметрallow-recursion
и используется для управления доступом к кэшу сервера, где содержатся недоверенные данные (результаты рекурсивного поиска и информация о корневом сервере имен).- Сценарий
bind-chroot-admin
, который использовался для создания символьных ссылок к окружению chroot, был удален. Теперь настройки можно изменять напрямую из обычного (не chroot) окружения, а сценарии инициализации автоматически подключают необходимые файлы в окружении chroot в процессе запускаnamed
. - Каталог
/var/named
теперь недоступен для записи. Файлы зон, которые необходимо записать (такие как DDNS), должны помещаться в/var/named/dynamic
. - Параметр
dnssec [yes|no]
удален. Его заменили два отдельных параметра —dnssec-enable
(включает поддержку DNSSEC) иdnssec-validation
(включает проверку DNSSEC). Присвоениеdnssec-enable
значения "no" на рекурсивном сервере означает, что он не будет использоваться для перенаправления с другого сервера, отвечающего за проверку DNSSEC. Оба параметра по умолчанию установлены в "yes". - В
/etc/named.conf
больше не требуется добавлять выражениеcontrols
для использования утилитыrndc
. Службаnamed
автоматически разрешает управление подключениями через петлевое устройство, аnamed
иrndc
используют один и тот же секретный ключ, созданный в процессе установки и расположенный в/etc/rndc.key
.
По умолчанию BIND устанавливается с функциями проверки DNSSEC и использует регистр ISC DLV. Все подписанные домены (gov., se., cz. и т.п.), для которых есть ключ в регистре ISC DLV, будут проверены на рекурсивном сервере. Если результат проверки неудовлетворителен вследствие попытки «отравления» кэша, фальшивые данные не будут переданы пользователю. Широко применяемые спецификации DNSSEC характеризуют важный шаг в обеспечении защиты пользователей и активно поддерживаются Red Hat Enterprise Linux 6. Как уже упоминалось, за проверку DNSSEC отвечает параметр
dnssec-validation
в /etc/named.conf
.