Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.7. BIND

BIND 配置中有如下主要更改:
默认 ACL 配置
在红帽企业版 Linux 5 中,默认 ACL 配置允许所有主机查询和提供递归。红帽企业版 Linux 6 默认,所有主机都可以对授权数据进行查询,但是只有来自本地网络的主机可以进行递归查询。
新的 allow-query-cache 选项
为了支持这个新选项,allow-recursion 选项已经被弃用。它用来控制服务器缓存的途径,其中包括所有非授权数据(像是递归查找和 root 服务器提示)。
Chroot 环境管理
用来从非 chroot 环境创建符号链接到 chroot 环境的 bind-chroot-admin 脚本已经被弃用,且不再存在。然而,可以直接在 non-chroot 环境中管理配置,如果在chroot 中文件不存在,在 named 启动时, init 脚本自动装载需要的文件到 chroot 环境。
/var/named 目录权限
/var/named 目录不再是可写入的。所有需要写入的区域文件(像是自动 DNS 区域,DDNS)必须放置在新的可写入目录:/var/named/dynamic
被移除的 dnssec [yes|no] 选项
全局 dnssec [yes|no] 选项被分成了两个新的选项:dnssec-enablednssec-validationdnssec-enable 选项启用了对 DNSSEC 的支持。dnssec-validation 选项启用了对 DNSSEC 的验证。既然在递归服务器设置 dnssec-enable 到 “ no ” 意味着它不能被执行 DNSSEC 验证的其它服务器作为转发器使用。两个选项都默认被设置为 yes。
不需要 controls 语句
如果您使用 rndc 管理工具,则您不再需要在 /etc/named.conf 中指定 controls 状态。named 服务自动允许使用回送服务的控制连接,且 namedrndc 使用同一个在安装过程中生成的密钥(位于 /etc/rndc.key)。
在默认安装里,BIND 被安装时启用了 DNSSEC 验证,也能使用 ISC DLV 注册。这意味所有在 ISC DLV 注册里有秘钥的已签名的域 (如 gov.、se.、cz.),在递归服务器上都是通过了密码验证的。如果由于尝试缓存中毒而导致验证失败,那么终端用户将不会被赋予这个伪造数据。红帽企业版 Linux 6 完全支持DNSSEC 部署。对于终端用户,DNSSEC 是使网络更加安全的重要一步,因此它被广泛执行。正如之前提到的,DNSSEC 验证是被 /etc/named.conf 中的 dnssec-validation 选项控制的。