Nimeserveri labor V.2: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Oparnoja (talk | contribs)
No edit summary
Oparnoja (talk | contribs)
 
(63 intermediate revisions by 6 users not shown)
Line 1: Line 1:
=Viimase muutmise aeg=
06. Detsember 2011 10:47
== Sissejuhatus ==
== Sissejuhatus ==
See wiki artikkel on koostatud IT infrastruktuuri teenused aine raames ning kogu konfiguratsioon käib järgmise stsenaariumi järgi:
Me oleme ISP ja meie ülesandeks on talletada ja jagada erinevate asutuste infrastruktuuride aadresse. Selleks on  vaja teha master ja slave nimeserverid. Master server on selle jaoks, et hoida meie (ISP) enda domeeni tsoonifaile ja slave server on selleks, et hoida klientide tsoonifaile ja lubada tsoonifailide vahetust.
Lisaks meile on samas võrgus ühe kooli ja kahe firma infrastruktuurid (vaata joonist).
Enne stsenaariumi täielikku rakendamist peavad olema seadistatud asutuste erinevad teenused (nimeserver,veebiserver, failiserver jne).
Täpsemalt saab lugeda DNS serveri kohta siit: [http://kuutorvaja.eenet.ee/wiki/DNS http://kuutorvaja.eenet.ee/wiki/DNS]


Me oleme ISP ja meil on vaja teha master ja slave nimeserverid. Master server on selle jaoks, et hoida meie enda domeeni tsoonifaile ja slave server on selleks, et hoida klientide tsoonifaile ja lubada tsoonifailide vahetust.
NB! See artikkel ei sobi tavalise nimeserveri seadistamiseks, kuna konfiguratsioon on spetsiifiline.


== Meeskonnaliikmed ==
== Meeskonnaliikmed ==


Urmo Laaneots, Karet Rikko, Ott Pärnoja, Markus Kont, Siim Kängsepp, Taavi Salumets, Juhan Liiva
Urmo Laaneots, Karet Rikko, Ott Pärnoja, Markus Kont, Siim Kängsepp, Taavi Salumets, Juhan Liiva


== Joonis ==
== Joonis ==
Line 32: Line 43:
== Master nimeserveri installeerimine ja seadistamine ==
== Master nimeserveri installeerimine ja seadistamine ==


Master nimeserver on ISP tsooni hoidmiseks.  See sektsioon õpetab kuidas konfigureerida ISP primaarset nimeserverit.
Installeerime bind9 teenuse.
<pre>
<pre>
sudo -i
sudo apt-get install bind9
apt-get install bind9
</pre>
</pre>


Avame tekstiredaktoriga /etc/hosts faili
<pre>
<pre>
nano /etc/hosts
sudo nano /etc/hosts
</pre>
</pre>


Failis muutke 127.0.1.1 aadressiga algavat rida, muudatus võiks välja näha järgmine:
Failis muudame 127.0.1.1 aadressiga algavat rida, pärast muutmist on rida järgmine:


<pre>
<pre>
127.0.1.1      ns1.vork.ee      ns
127.0.1.1      ns1.vork.ee      ns1
</pre>
</pre>


Muutke ka /etc/hostname faili.
Muudame ka /etc/hostname faili. Avame selleks faili tekstiredaktoriga.


<pre>
<pre>
nano /etc/hostname
sudo nano /etc/hostname
</pre>
</pre>


Seal muutke nimi ns1-ks.
Faili sisu peab olema järgnev:


Järgmiseks muutke faili /etc/bind/named.conf.options .
<pre>
<pre>
nano /etc/bind/named.conf.options
ns1
</pre>
</pre>
Kommenteerige sisse forwarders sektsioon ja sinna kirjutage ISP DNS serveri IP aadress.
 
Muudetud fail peaks välja nägema järgmine:
 
Järgmiseks muudame faili /etc/bind/named.conf.options. Selleks avame faili tekstiredaktoris:
 
<pre>
sudo nano /etc/bind/named.conf.options
</pre>
 
Kommenteerige sisse (eemaldage märk ; rea eest) forwarders sektsioon ja sinna kirjutage ISP DNS serveri IP aadress.
Muudetud fail peab välja nägema järgmine:


<pre>
<pre>
acl me {192.168.6.124;};
options {
options {
         directory "/var/cache/bind";
         directory "/var/cache/bind";


        // If there is a firewall between you and nameservers you want
        forwarders {
        // to talk to, you may need to fix the firewall to allow multiple
                192.168.6.124;
        // ports to talk. See http://www.kb.cert.org/vuls/id/800113
        };


         // If your ISP provided one or more IP addresses for stable
         allow-recursion { me; };
         // nameservers, you probably want to use them as forwarders.
         allow-query { me; };
        // Uncomment the following block, and insert the addresses replacing
         allow-transfer { me; };
         // the all-0's placeholder.
 
        forwarders {  
                192.168.6.123;
        };


         auth-nxdomain no;    # conform to RFC1035
         auth-nxdomain no;    # conform to RFC1035
         listen-on-v6 { any; };
         listen-on-v6 { any; };
};
};
</pre>
Miks näeb antud fail välja selline? [http://jazzymarketing.com/main/lc/0904/open-resolver-securing-bind-server Loe.]


</pre>


Nüüd muutke faili /etc/bind/named.conf.default-zones
Järgmisena muudame faili /etc/bind/named.conf.default-zones. Avame faili tekstiredaktoris:
<pre>
<pre>
nano /etc/bind/named.conf.default-zones
sudo nano /etc/bind/named.conf.default-zones
</pre>
</pre>
Siia faili võiks lisada järgmised tsoonid :
 
Siia faili peab lisama järgmised tsoonid (lisa järgnevad read faili):
<pre>
<pre>
zone "vork.ee" {
zone "vork.ee" {
Line 99: Line 122:
};
};
</pre>
</pre>
Oma masinas laborit tehes tuleb pöördteisendus tsooni(6.168.192.in-addr.arpa) puhul panna nimi vastama oma võrgule.


Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
<pre>
cp /etc/bind/db.127 /etc/bind/db.6.168.192.in-addr.arpa
sudo cp /etc/bind/db.127 /etc/bind/db.6.168.192.in-addr.arpa
cp /etc/bind/db.local /var/lib/bind/vork.ee.zone
sudo cp /etc/bind/db.local /var/lib/bind/vork.ee.zone
</pre>
</pre>


'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''
Nüüd muudame vork.ee.zone faili, avame selle tekstiredaktoris:
 
Nüüd muudame vork.ee.zone faili
<pre>
<pre>
nano /var/lib/bind/vork.ee.zone
sudo nano /var/lib/bind/vork.ee.zone
</pre>
</pre>


Muudetud fail on selline:
Muudetud fail peab olema selline:


<pre>
<pre>
Line 130: Line 150:
                         900 )            ; minimum, seconds
                         900 )            ; minimum, seconds


$ORIGIN vork.ee.
             IN  NS      ns.vork.ee.
             IN  NS      ns.vork.ee.
            IN  MX      10 mail.vork.ee.
             IN  A      192.168.6.123
             IN  A      192.168.6.123
$ORIGIN vork.ee.
ns           IN   A      192.168.6.123
www           IN A      192.168.6.123
ns            IN  A      192.168.6.123
mail          IN  A      192.168.6.123
ns2          IN  A      192.168.6.122
</pre>
</pre>
'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''


Failis olevate kirjete kohta võib selgitusi saada [http://www.zytrax.com/books/dns/ch8/ siit]
Failis olevate kirjete kohta võib selgitusi saada [http://www.zytrax.com/books/dns/ch8/ siit]


Nüüd muudke db.6.168.192.in-addr.arpa faili:
Kui tsoonifailid on olemas, siis tuleb muuta resolv.conf faili, selleks avame selle tekstiredaktoriga:
<pre>
<pre>
nano /etc/bind/db.6.168.192.in-addr.arpa
sudo nano /etc/resolv.conf
</pre>
</pre>


Muudetud fail võiks välja näha selline:
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks(-deks). Fail näeb peale muutmist välja järgmine:
<pre>
<pre>
 
nameserver 192.168.6.124
nameserver 192.168.6.123
</pre>
</pre>


Kui tsoonifailid on olemas, siis tuleb muuta resolv.conf faili:
Nüüd tuleb BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
<pre>
nano /etc/resolv.conf
sudo /etc/init.d/bind9 restart
</pre>
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
Sama töö teeb ära käsk:
<pre>
<pre>
#domain localdomain
sudo service bind9 restart
#search localdomain
nameserver 192.168.6.124
nameserver 192.168.6.123
</pre>
</pre>


Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
Kui teenuse restart õnnestub, siis kontrolli, kas nimeserver töötab. Selleks kasuta tööriistu ''nslookup, dig, ping''.
<pre>
 
/etc/init.d/bind9 restart
== Slave nimeserveri installeerimine ja seadistamine ==
</pre>
Slave nimeserver on kõikide võrgus olevate tsoonide hoidmiseks.  See sektsioon õpetab kuidas konfigureerida ISP slave nimeserverit.


Kui tsooni muutate ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.


Süntaks oleks järgmine:


Installeerime bind9 teenuse.
<pre>
<pre>
rndc reload <tsoon>
sudo apt-get install bind9
</pre>
</pre>


Näiteks:
Avame tekstiredaktoriga /etc/hosts faili
<pre>
<pre>
rndc reload too.ee
sudo nano /etc/hosts
</pre>
</pre>


== Slave nimeserveri installeerimine ja seadistamine ==
Failis muudame 127.0.1.1 aadressiga algavat rida, muudatus peab välja nägema järgmine:


<pre>
<pre>
sudo -i
127.0.1.1      ns2.vork.ee      ns2
apt-get install bind9
</pre>
</pre>
Muudame ka /etc/hostname faili. Avame selleks faili tekstiredaktoriga.


<pre>
<pre>
nano /etc/hosts
sudo nano /etc/hostname
</pre>
</pre>


Failis muutke 127.0.1.1 aadressiga algavat rida, muudatus võiks välja näha järgmine:
Faili sisu peab olema järgnev:
 
<pre>
<pre>
127.0.1.1      ns2.vork.ee      ns
ns2
</pre>
</pre>


Muutke ka /etc/hostname faili.
Järgmiseks muudame faili /etc/bind/named.conf.options. Selleks avame faili tekstiredaktoris:


<pre>
<pre>
nano /etc/hostname
sudo nano /etc/bind/named.conf.options
</pre>
</pre>


Seal muutke nimi ns2-ks.
Muudetud fail peaks välja nägema järgmine:


Järgmiseks muutke faili /etc/bind/named.conf.options .
<pre>
<pre>
nano /etc/bind/named.conf.options
acl me {192.168.6.0/24;};
</pre>
Kommenteerige sisse forwarders sektsioon ja sinna kirjutage ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:


<pre>
options {
options {
         directory "/var/cache/bind";
         directory "/var/cache/bind";


        // If there is a firewall between you and nameservers you want
        forwarders {
        // to talk to, you may need to fix the firewall to allow multiple
                192.168.6.124;
        // ports to talk. See http://www.kb.cert.org/vuls/id/800113
        };


         // If your ISP provided one or more IP addresses for stable
         allow-recursion { me; };
         // nameservers, you probably want to use them as forwarders.
         allow-query { me; };
        // Uncomment the following block, and insert the addresses replacing
         allow-transfer { me; };
         // the all-0's placeholder.
 
        forwarders {  
                192.168.6.123;
        };


         auth-nxdomain no;    # conform to RFC1035
         auth-nxdomain no;    # conform to RFC1035
         listen-on-v6 { any; };
         listen-on-v6 { any; };
};
};
</pre>
Miks näeb antud fail välja selline? [http://jazzymarketing.com/main/lc/0904/open-resolver-securing-bind-server Loe.]


</pre>


Nüüd muutke faili /etc/bind/named.conf.default-zones
Järgmisena muudame faili /etc/bind/named.conf.default-zones. Avame faili tekstiredaktoris:
<pre>
<pre>
nano /etc/bind/named.conf.default-zones
sudo nano /etc/bind/named.conf.default-zones
</pre>
</pre>
Siia faili võiks lisada järgmised tsoonid :
 
Siia faili peab lisama järgmised tsoonid (lisa järgnevad read faili):
<pre>
<pre>
zone "vork.ee" {
zone "vork.ee" {
Line 251: Line 259:
</pre>
</pre>


Kui tsoonifailid on olemas, siis tuleb muuta resolv.conf faili:
Kui tsoonifailid on olemas, siis tuleb muuta resolv.conf faili, selleks avame selle tekstiredaktoriga:
<pre>
<pre>
nano /etc/resolv.conf
sudo nano /etc/resolv.conf
</pre>
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
 
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks(-deks). Fail näeb peale muutmist välja järgmine:
<pre>
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.6.124
nameserver 192.168.6.124
nameserver 192.168.6.123
nameserver 192.168.6.123
</pre>
</pre>


Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
Nüüd tuleb BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
<pre>
/etc/init.d/bind9 restart
sudo /etc/init.d/bind9 restart
</pre>
Sama töö teeb ära käsk:
<pre>
sudo service bind9 restart
</pre>
</pre>


== Vajalikud käsud nimeserveri administeerimisel ==
Kui tsoonifaile muudate, siis on vajalik tsooni uuesti laadida. Seda on võimalik teha kasutades '''rndc''' käsku. Süntaks on järgmine:
<pre>
sudo rndc reload <tsoon>
</pre>


== Mis läks valesti ==
Näiteks:
Urmo kustutas ära /etc/bind kausta. Kuidas tagasi sai? Loe siit: [http://ubuntuforums.org/showthread.php?t=1375580 http://ubuntuforums.org/showthread.php?t=1375580]
<pre>
sudo rndc reload vork.ee
</pre>
 
Kui on vaja nimeserveri vahemälust kustutada ära üks nimi (näiteks on see kasulik mürgitatud serveri vahemälu puhul, Viide: [[DNS_Spoofing | DNS Spoofing]] ), siis seda on võimlik teha käsuga '''rndc'''. Süntaks on järgmine:
<pre>
sudo rndc flushname <nimi>
</pre>
 
Näiteks:
<pre>
sudo rndc flushname vork.ee
</pre>
 
 
 
Kui on vaja nimeserveri vahemälu täielikult ära kustutada, siis seda on võimlik teha käsuga '''rndc'''. Süntaks on järgmine:
<pre>
sudo rndc flush
</pre>
 
 
Dynaamilise tsooni reload tarbeks tuleb käituda nii:
 
<pre>
rndc freeze <tsoon>
sudo rndc reload <tsoon>
rndc thaw <tsoon>
</pre>
 
Näiteks:
<pre>
rndc freeze vork.ee
sudo rndc reload vork.ee
rndc thaw vork.ee
</pre>
 
=Teenuse varundamine=
 
Teenuse varundamiseks tuleb teha koopia /etc/bind ja /var/lib/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
sudo tar czvf /backup/bind.tar.gz /etc/bind
sudo tar czvf /backup/bindtsoonid.tar.gz /var/lib/bind
</pre>
 
=Teenuse taastamine=
 
==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloogid /etc/bind ja /var/lib/bind kataloogide asemele
 
<pre>
sudo tar xzvf /backup/bind.tar.gz --directory /
sudo tar xzvf /backup/bindtsoonid.tar.gz --directory /
</pre>
 
= DNS'i teenuse administraatori teadmised =
 
== Kui on vaja vaadata nimeserveri cache'i sisu ==
 
Selleks on vaja anda nimeserverile käsk
<pre>
sudo rndc dumpdb -cache
</pre>
seejärel avada loodud dump'i fail.
<pre>
sudo less /var/cache/bind/named_dump.db
</pre>
 
== Kui on vaja vaadata nimeserveri cache statistikat ==
 
Selleks on vaja anda nimeserverile käsk
<pre>
sudo rndc stats
</pre>
seejärel avada named.stats fail.
<pre>
sudo less /var/cache/bind/named.stats
</pre>
 
== Kui vaja näha statistikas ka tsoonifailide informatsiooni ==
 
Selleks on vaja lisada nano /etc/bind/named.conf.options faili rida
<pre>
zone-statistics yes;
</pre>
seejärel avada named.stats fail.
<pre>
sudo less /var/cache/bind/named.stats
</pre>
 
== DNS Spoofing ==
Kuidas toimib avaliku võrgu DNS Spoofing – üheks näiteks oleks „DNS cache poisoning“ tehnoloogia, millega solgitakse avaliku DNS serveri (mis töötab Open Resolver põhimõttel) DNS cache ja vahetatakse mingi üldiselt enam levinud saidi (või saitide) IP aadress(id) välja ründe objektiks oleva IP’ga.
 
Viide: [[DNS_Spoofing | DNS Spoofing]]


Vaata seda: [http://samcaldwell.net/index.php/technical-articles/3-how-to-articles/99-how-do-i-setup-a-secure-bind9-dns-server-in-debianubuntu-linux-using-chroot jama]
== Open resolver ==
Open resolveriks nimetatakse nimeserverit, mis pakub nimelahendusteenust ka väljapoole oma administratiivset domeeni. Enamasti on open resolveriks puudulikult konfigureeritud DNS server. Ilma otsese vajaduseta tasuks kindlasti vältida open resolveri püstipanekut oma võrku. Pole mingit vajadust pakkuda avalikku teenust kõigile. See tähendab enamasti, et nimelahendust saab kasutada kogu internet. Teiseks saab kogu maailmale avatud DNS serverit kasutada DDOS rünnakute läbiviimiseks. Lisaks on avatud serverit rünnata vahemälu manipuleerimise teel. Nii satuksid ohtu konkreetse serveri teenuseid kasutavad kliendid.


Meie teeme selle järgi: [https://help.ubuntu.com/community/BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto]
Viide: [[Open_resolver | Open Resolver]]


= Mis läks valesti =
Urmo kustutas ära /etc/bind kausta. Kuidas tagasi sai? Loe siit: [http://ubuntuforums.org/showthread.php?t=1375580 http://ubuntuforums.org/showthread.php?t=1375580]


RESOLVED HACK vastu: [http://jazzymarketing.com/main/lc/0904/open-resolver-securing-bind-server http://jazzymarketing.com/main/lc/0904/open-resolver-securing-bind-server]
= Muu info =


== Meie retsenseerisime ==
[[CUPS_seadistamine]]


== Asub ==
== Asub ==
[[Category:IT infrastruktuuri teenused]]
[[Category:IT infrastruktuuri teenused]]

Latest revision as of 11:03, 14 December 2011

Viimase muutmise aeg

06. Detsember 2011 10:47

Sissejuhatus

See wiki artikkel on koostatud IT infrastruktuuri teenused aine raames ning kogu konfiguratsioon käib järgmise stsenaariumi järgi:

Me oleme ISP ja meie ülesandeks on talletada ja jagada erinevate asutuste infrastruktuuride aadresse. Selleks on vaja teha master ja slave nimeserverid. Master server on selle jaoks, et hoida meie (ISP) enda domeeni tsoonifaile ja slave server on selleks, et hoida klientide tsoonifaile ja lubada tsoonifailide vahetust.

Lisaks meile on samas võrgus ühe kooli ja kahe firma infrastruktuurid (vaata joonist).

Enne stsenaariumi täielikku rakendamist peavad olema seadistatud asutuste erinevad teenused (nimeserver,veebiserver, failiserver jne).

Täpsemalt saab lugeda DNS serveri kohta siit: http://kuutorvaja.eenet.ee/wiki/DNS

NB! See artikkel ei sobi tavalise nimeserveri seadistamiseks, kuna konfiguratsioon on spetsiifiline.

Meeskonnaliikmed

Urmo Laaneots, Karet Rikko, Ott Pärnoja, Markus Kont, Siim Kängsepp, Taavi Salumets, Juhan Liiva

Joonis

          192.168.6.123
          ns1.vork.ee
          www.vork.ee                              192.168.6.124
            Master                                  ns2.vork.ee
                                                       Slave 
                                                    nimeserver 2
                                                        ___
            nimeserver 1                               |   |
              ___                                      |___|
             |   |                                               
             |___|                                               
                  Master         Master        Master                           
                klient 1        klient 2      klient 3           
                 ___             ___            ___
                |   |           |   |          |   |
                |___|           |___|          |___|

              itkool.ee        puder.ee      kartulid.ee
           192.168.6.101      192.168.6.116   192.168.6.120

Master nimeserveri installeerimine ja seadistamine

Master nimeserver on ISP tsooni hoidmiseks. See sektsioon õpetab kuidas konfigureerida ISP primaarset nimeserverit.


Installeerime bind9 teenuse.

sudo apt-get install bind9

Avame tekstiredaktoriga /etc/hosts faili

sudo nano /etc/hosts

Failis muudame 127.0.1.1 aadressiga algavat rida, pärast muutmist on rida järgmine:

127.0.1.1       ns1.vork.ee       ns1

Muudame ka /etc/hostname faili. Avame selleks faili tekstiredaktoriga.

sudo nano /etc/hostname

Faili sisu peab olema järgnev:

ns1


Järgmiseks muudame faili /etc/bind/named.conf.options. Selleks avame faili tekstiredaktoris:

sudo nano /etc/bind/named.conf.options

Kommenteerige sisse (eemaldage märk ; rea eest) forwarders sektsioon ja sinna kirjutage ISP DNS serveri IP aadress. Muudetud fail peab välja nägema järgmine:

acl me {192.168.6.124;};

options {
        directory "/var/cache/bind";

         forwarders {
                192.168.6.124;
         };

        allow-recursion { me; };
        allow-query { me; };
        allow-transfer { me; };

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

Miks näeb antud fail välja selline? Loe.


Järgmisena muudame faili /etc/bind/named.conf.default-zones. Avame faili tekstiredaktoris:

sudo nano /etc/bind/named.conf.default-zones

Siia faili peab lisama järgmised tsoonid (lisa järgnevad read faili):

zone "vork.ee" {
        type master;
        file "/var/lib/bind/vork.ee.zone";
        allow-transfer { 192.168.6.124; };
        allow-update { 192.168.6.124; };
        also-notify { 192.168.6.124; };
};

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.

sudo cp /etc/bind/db.127 /etc/bind/db.6.168.192.in-addr.arpa
sudo cp /etc/bind/db.local /var/lib/bind/vork.ee.zone

Nüüd muudame vork.ee.zone faili, avame selle tekstiredaktoris:

sudo nano /var/lib/bind/vork.ee.zone

Muudetud fail peab olema selline:

;
; Zone file for linux.bogus
;
; The full zone file
;
$TTL 900
@       IN      SOA     vork.ee. hostmaster.vork.ee. (
                        2011102603       ; serial, todays date + todays serial #
                        28800              ; refresh, seconds
                        7200              ; retry, seconds
                        864000              ; expire, seconds
                        900 )            ; minimum, seconds

$ORIGIN vork.ee.
             IN   NS      ns.vork.ee.
             IN   A       192.168.6.123
ns           IN   A       192.168.6.123

Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.

Failis olevate kirjete kohta võib selgitusi saada siit

Kui tsoonifailid on olemas, siis tuleb muuta resolv.conf faili, selleks avame selle tekstiredaktoriga:

sudo nano /etc/resolv.conf

Nimeserveri aadress tuleb seal muuta enda serveri aadressiks(-deks). Fail näeb peale muutmist välja järgmine:

nameserver 192.168.6.124
nameserver 192.168.6.123

Nüüd tuleb BIND9 teenus taaskäivitada järgmise käsuga:

sudo /etc/init.d/bind9 restart

Sama töö teeb ära käsk:

sudo service bind9 restart

Kui teenuse restart õnnestub, siis kontrolli, kas nimeserver töötab. Selleks kasuta tööriistu nslookup, dig, ping.

Slave nimeserveri installeerimine ja seadistamine

Slave nimeserver on kõikide võrgus olevate tsoonide hoidmiseks. See sektsioon õpetab kuidas konfigureerida ISP slave nimeserverit.


Installeerime bind9 teenuse.

sudo apt-get install bind9

Avame tekstiredaktoriga /etc/hosts faili

sudo nano /etc/hosts

Failis muudame 127.0.1.1 aadressiga algavat rida, muudatus peab välja nägema järgmine:

127.0.1.1       ns2.vork.ee       ns2

Muudame ka /etc/hostname faili. Avame selleks faili tekstiredaktoriga.

sudo nano /etc/hostname

Faili sisu peab olema järgnev:

ns2

Järgmiseks muudame faili /etc/bind/named.conf.options. Selleks avame faili tekstiredaktoris:

sudo nano /etc/bind/named.conf.options

Muudetud fail peaks välja nägema järgmine:

acl me {192.168.6.0/24;};

options {
        directory "/var/cache/bind";

         forwarders {
                 192.168.6.124;
        };

        allow-recursion { me; };
        allow-query { me; };
        allow-transfer { me; };

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

Miks näeb antud fail välja selline? Loe.


Järgmisena muudame faili /etc/bind/named.conf.default-zones. Avame faili tekstiredaktoris:

sudo nano /etc/bind/named.conf.default-zones

Siia faili peab lisama järgmised tsoonid (lisa järgnevad read faili):

zone "vork.ee" {
        type slave;
        file "/var/lib/bind/vork.zone";
        allow-notify { 192.168.6.123; };
        masters { 192.168.6.123; };
};

Kui tsoonifailid on olemas, siis tuleb muuta resolv.conf faili, selleks avame selle tekstiredaktoriga:

sudo nano /etc/resolv.conf

Nimeserveri aadress tuleb seal muuta enda serveri aadressiks(-deks). Fail näeb peale muutmist välja järgmine:

nameserver 192.168.6.124
nameserver 192.168.6.123

Nüüd tuleb BIND9 teenus taaskäivitada järgmise käsuga:

sudo /etc/init.d/bind9 restart

Sama töö teeb ära käsk:

sudo service bind9 restart

Vajalikud käsud nimeserveri administeerimisel

Kui tsoonifaile muudate, siis on vajalik tsooni uuesti laadida. Seda on võimalik teha kasutades rndc käsku. Süntaks on järgmine:

sudo rndc reload <tsoon>

Näiteks:

sudo rndc reload vork.ee

Kui on vaja nimeserveri vahemälust kustutada ära üks nimi (näiteks on see kasulik mürgitatud serveri vahemälu puhul, Viide: DNS Spoofing ), siis seda on võimlik teha käsuga rndc. Süntaks on järgmine:

sudo rndc flushname <nimi>

Näiteks:

sudo rndc flushname vork.ee


Kui on vaja nimeserveri vahemälu täielikult ära kustutada, siis seda on võimlik teha käsuga rndc. Süntaks on järgmine:

sudo rndc flush


Dynaamilise tsooni reload tarbeks tuleb käituda nii:

rndc freeze <tsoon>
sudo rndc reload <tsoon>
rndc thaw <tsoon>

Näiteks:

rndc freeze vork.ee
sudo rndc reload vork.ee
rndc thaw vork.ee

Teenuse varundamine

Teenuse varundamiseks tuleb teha koopia /etc/bind ja /var/lib/bind kataloogist ja seal asuvatest failidest. Käsk selleks on :

sudo tar czvf /backup/bind.tar.gz /etc/bind
sudo tar czvf /backup/bindtsoonid.tar.gz /var/lib/bind

Teenuse taastamine

Teenuse taastamine, kui on olemas varukoopia

Teenuse taastamiseks tuleb kopeerida varundatud kataloogid /etc/bind ja /var/lib/bind kataloogide asemele

sudo tar xzvf /backup/bind.tar.gz --directory /
sudo tar xzvf /backup/bindtsoonid.tar.gz --directory /

DNS'i teenuse administraatori teadmised

Kui on vaja vaadata nimeserveri cache'i sisu

Selleks on vaja anda nimeserverile käsk

sudo rndc dumpdb -cache

seejärel avada loodud dump'i fail.

sudo less /var/cache/bind/named_dump.db

Kui on vaja vaadata nimeserveri cache statistikat

Selleks on vaja anda nimeserverile käsk

sudo rndc stats

seejärel avada named.stats fail.

sudo less /var/cache/bind/named.stats

Kui vaja näha statistikas ka tsoonifailide informatsiooni

Selleks on vaja lisada nano /etc/bind/named.conf.options faili rida

zone-statistics yes;

seejärel avada named.stats fail.

sudo less /var/cache/bind/named.stats

DNS Spoofing

Kuidas toimib avaliku võrgu DNS Spoofing – üheks näiteks oleks „DNS cache poisoning“ tehnoloogia, millega solgitakse avaliku DNS serveri (mis töötab Open Resolver põhimõttel) DNS cache ja vahetatakse mingi üldiselt enam levinud saidi (või saitide) IP aadress(id) välja ründe objektiks oleva IP’ga.

Viide: DNS Spoofing

Open resolver

Open resolveriks nimetatakse nimeserverit, mis pakub nimelahendusteenust ka väljapoole oma administratiivset domeeni. Enamasti on open resolveriks puudulikult konfigureeritud DNS server. Ilma otsese vajaduseta tasuks kindlasti vältida open resolveri püstipanekut oma võrku. Pole mingit vajadust pakkuda avalikku teenust kõigile. See tähendab enamasti, et nimelahendust saab kasutada kogu internet. Teiseks saab kogu maailmale avatud DNS serverit kasutada DDOS rünnakute läbiviimiseks. Lisaks on avatud serverit rünnata vahemälu manipuleerimise teel. Nii satuksid ohtu konkreetse serveri teenuseid kasutavad kliendid.

Viide: Open Resolver

Mis läks valesti

Urmo kustutas ära /etc/bind kausta. Kuidas tagasi sai? Loe siit: http://ubuntuforums.org/showthread.php?t=1375580

Muu info

Meie retsenseerisime

CUPS_seadistamine

Asub