본문 바로가기

Network System/Linux

[ DNS ] Bind9의 README.Debian.gz 해석

[ DNSSEC 유효성 검사는 BIND 9.8.1부터 기본적으로 켜져 있습니다. ]

버전 9.8.1.dfsg-1부터 BIND는 기본적으로 DNSSEC 유효성 검사가 활성화 된 상태로 제공됩니다. 시간이 지남에 따라 키가 변경됨에 따라 BIND를 새로 설치하려면 BIND가 DNSSEC 유효성이 확인 된 영역의 호스트를 확인하기 전에 관리자가 bind.keys를 수동으로 업그레이드하여 변경 사항을 고려해야합니다.

 

[ BIND 8.X에서 업그레이드 : ]

BIND 8.X에서 권한이있는 서버를 업그레이드하는 경우 bind9-doc 패키지를 설치하고 /user/share/doc/bind9-doc/misc/migration.gz를 읽으십시오. 여기에는 BIND 관리자의 메모 세트가 포함되어 있습니다. 업그레이드 중주의가 필요한 변경 사항.

 

[ 이전 bind9 패키지에서 업그레이드 : ]

더 정확하게는 1 : 9 : 2.0-2 이전 버전의 Debian bind9 패키지를 설치 한 경우 시스템에 /etc/bind/rndc.conf 구성 파일이있을 수 있습니다. 여기에는 잘못된 점이 있으며, rndc를 사용하기 위해 명시 적으로 키를 구성했다면 그대로 그대로 두는 것이 좋습니다! 그러나 9.2.0 이후 BIND 9.X는 named와 rndc가 동일한 호스트의 데몬에 대해 rndc 사용을위한 공유 키를 얻기 위해 읽을 rndc.key 파일을 지원했습니다. rndc-confgen 프로그램은 적합한 키 파일을 쉽게 생성합니다. 이 메커니즘을 활용하려면 다음을 수행 할 수 있습니다.

    remove the /etc/bind/rndc.conf file

    remove the rndc key specification in the /etc/bind/named.conf file

 

    rndc-confgen -r /dev/nrandom -a

또는 bind9 패키지를 '제거'하고 다시 설치할 수 있으며 이제 기본값이되었으므로 새로운 동작으로 끝납니다.

이는 호스트별로 생성되지 않는 정적 키를 사용하는 것보다 더 안전하며, rndc를 사용하여 동일한 호스트에있는 이름과 통신해야하는 경우 더 복잡한 키 체계에 대한 쉬운 대안입니다.

 

[ 알려진 문제 : ]
적어도 lwresd가 최근 2.5 커널에서 작동하지 않는다는보고를 받았습니다.
로그에 다음과 같은 내용이 표시되면

    loading configuration from '/etc/bind/lwresd.conf'

    none:0: open: /etc/bind/lwresd.conf: permission denied

rules 파일의 구성 호출에 추가 된 --disable-linux-caps로 재 구축해보십시오.
나는 이것이 2.5 커널 시리즈에서 일시적인 문제가되기를 바라고 있지만 우리는 보게 될 것입니다.

 

[구성 스키마 : ]

Debian BIND 패키지는 사용자 입력없이 대부분의 리프 서버에서 작동하는 구성과 함께 제공됩니다.

 

명명 된 구성 파일 named.conf는 / etc / bind에 있으므로 bind와 관련된 모든 정적 구성 파일이 한 곳에 있습니다.

/ etc / bind에서 named.conf를 정말로 원하지 않는 경우 처리하는 가장 좋은 방법은 /etc/bind/named.conf를 사용하려는 위치에 대한 심볼릭 링크로 바꾸는 것입니다.

init.d 스크립트에서 named에 대한 옵션을 사용할 수도 있지만 ndc와 같은 항목이 아닌 named에 대해서만 작동합니다.

 

루트 서버에 대한 영역 데이터 파일과 정방향 및 역방향 로컬 호스트 영역도 / etc / bind에 제공됩니다.

 

named의 작업 디렉토리는 이제 / var / cache / bind입니다.

따라서 데몬이 보조하는 영역의 데이터베이스 파일과 같이 named에 의해 생성 된 임시 파일은 / etc / bind의 파일을 참조하도록 작성됩니다.

 

Debian 용 이전 BIND 패키지와 달리 named.conf 및 제공된 db. * 파일은 conffiles로 태그가 지정됩니다.

따라서 다른 항목에 대해 권한을 가질 필요가없는 서버에 대해 "대부분 캐싱"서버 구성을 원하는 경우 제공된 구성을있는 그대로 실행할 수 있습니다.

named.conf 또는 init.d 단편을 해킹하고 싶다면 자유롭게 할 수 있습니다.

향후 패키지 업그레이드는 모든 데비안 패키지가 그러 하듯이 구성 변경 사항을 깔끔하게 처리합니다.

 

추가 영역에 대한 권한이 필요한 서버에 대해 원하는 구조를 자유롭게 만들 수 있지만, 마스터가되는 모든 영역에 대한 db 파일을 / etc / bind에 넣는 것이 좋습니다 (아마도 하위 디렉터리 구조에있을 수도 있음). 복잡성에 따라 다름), named.conf의 전체 경로 이름을 간단한 파일 이름 (/ var / cache / bind에 상대적)으로 사용하면 데이터 파일이 BIND의 작업 디렉토리 (기본값은 / var / cache / bind)에 저장됩니다. DHCP 및 / 또는 nsupdate를 통해 자동 업데이트되는 영역은 / var / lib / bind에 저장하고 전체 경로 이름으로 지정해야합니다.

 

[ chroot'ed 실행 :]
여러 사용자가 "chroot jail"에서 실행되도록 Debian BIND를 요청했습니다.
이것을 데비안 패키지의 기본 구성으로 만드는 것과 관련된 다양한 문제가 있습니다.
그 동안 직접 수행하는 방법에 대한 합리적인 지침은 다음 웹 사이트에서 확인할 수 있습니다.

    http://www.tldp.org/HOWTO/Chroot-BIND-HOWTO.html

 

[ 비 루트 실행 :]

named에 대한 루트가 아닌 사용자 및 / 또는 그룹을 지정하는 옵션을 사용하여 named의 최신 버전을 호출 할 수 있습니다.

자세한 내용은 명명 된 매뉴얼 페이지를 참조하십시오.

root가 아닌 다른 사용자로 named를 실행하는 경우 PCMIA 카드 삽입 중 또는 일부 IPSEC 및 / 또는 IP over IP 터널을 실행중인 경우와 같이 동적으로 나타나는 새 인터페이스를 찾을 수 없습니다.

이러한 제한을 감수 할 수 없다면 /etc/init.d/bind9 스크립트를 자유롭게 편집하여 named 호출을 변경하십시오.

 

named.conf가 변경되지 않는 한 기본값은 이제 사용자 'bind'(존재하지 않는 경우 'bind'그룹에 자동으로 생성됨)로 실행됩니다.

이를 변경하려면 / etc / default / bind9를 편집하십시오.

 

'ndc restart'는 named에 대한 모든 원래 명령 줄 옵션을 따르지 않으므로 패키지와 함께 제공되는 init.d 스크립트에서 명시 적으로 사용하지 않으며 결정하는 경우 사용에주의해야합니다. 루트가 아닌 이름을 실행합니다.

 

[ PPP Control Script: ]

생략

 

[의류 프로필]

시스템에서 의류를 사용하는 경우 배송 된 강제 프로필이 기본 설치에서 작동하며 구성을 변경하려면 설치된 의류 프로필을 변경해야 할 수 있습니다. 이 소프트웨어에 대한 버그를 제출하기 전에 https://wiki.ubuntu.com/DebuggingApparmor를 참조하십시오.


[ DNSSEC validation turned on by default as of BIND 9.8.1 ]

As of version 9.8.1.dfsg-1, BIND ships with DNSSEC validation turned on by default. As the keys get changed over time this means that a fresh install of BIND will require that the admin manually upgrade bind.keys to account for the change, before BIND will be able to resolve hosts in DNSSEC validated zones.

 

[ Upgrading from BIND 8.X: ]

If you are upgrading an authoritative server from BIND 8.X, please install the bind9-doc package and read /user/share/doc/bind9-doc/misc/migration.gz, which contains a set of notes from the BIND maintainers on what changed that is likely to need your attention during an upgrade.

 

[ Upgrading from earlier bind9 packages: ]

If you installed an early version of the Debian bind9 packages, prior to version 1:9:2.0-2 to be more precise, you may have an /etc/bind/rndc.conf configuration file still on your system. There's noting wrong with that, and if you've explicitly configured keys for using rndc you may well want to leave things exactly as they are! However, since 9.2.0 BIND 9.X has supported an rndc.key file that both named and rndc will read to obtain a shared key for rndc use against a daemon on the same host. The rndc-confgen program will easily create a suitable key file. To take advantage of this mechanism, you may want to:

    remove the /etc/bind/rndc.conf file

    remove the rndc key specification in the /etc/bind/named.conf file

 

    rndc-confgen -r /dev/nrandom -a

Alternatively, you can 'purge' the bind9 packages and reinstall them and you will end up with the new behavior since it is now the default.

This is more secure than using a static key that isn't generated on a per-host basis, and is an easy alternative to more complex key schemes if you only need to use rndc to talk to named on the same host.

 

[ Known Issues: ]

I've had a report that lwresd, at least, fails to work with some recent 2.5 kernels.

If you see something in your logs like

    loading configuration from '/etc/bind/lwresd.conf'

    none:0: open: /etc/bind/lwresd.conf: permission denied

Try rebuilding with --disable-linux-caps added to the configure call in the rules file.

I'm hoping this is a temporary problem in the 2.5 kernal series, but we'll see.

 

[ Configuration Schema: ]

The Debian BIND package ships with a config that will work for the majority of leaf servers with no user input required.

 

The named configuration file named.conf is located in /etc/bind, so that all static configuration files relating to bind are in one place.

If you really don't want named.conf in /etc/bind, then the best way to handle if is probably to replace /etc/bind/named.conf with a symlink to the location you want to use.

You could also use an option to named in the init.d script, but that only works for named, not for things like ndc.

 

Zone data files for the root servers, and the forward and reverse localhost zones are also provided in /etc/bind.

 

The working directory for named is now /var/cache/bind.

Thus, any transient files generated by named, such as database files for zones the daemon is secondary for, will be written to reference the files in /etc/bind.

 

Unlike previous BIND packages for Debian, the named.conf and provided db.* files are tagged as conffiles.

Thus, if you just want a "caching mostly" server configuration for a server that does not need to be authoritative for anything else, you can run the provided configuration as-is. If you want to hack on named.conf, or even the init.d fragment, you can feel free to.

Future packages upgrades will treat your configuration changes sanely, as all Debian packages should.

 

While you are free to craft whatever structure you wish for servers which need to be authoritative for additional zones, what we suggest is that you put the db files for any zones you are master for in /etc/bind (perhaps even in a subdirectory structure depending on complexity), using full pathnames in the named.conf with simple filenames (relative to /var/cache/bind), so the data files will be stored in BIND's working directory (defaults to /var/cache/bind).

Zones subject to automatic updates (such as via DHCP and/or nsupdate) should be stored in /var/lib/bind, and specified with full pathnames.

 

[ Running chroot'ed: ]
Several users have asked for Debian BIND to run in a "chroot jail".
There are various issues associated with making this the default configuration for the package in Debian.
In the meantime, reasonable instructions on how to do this yourself are available on the web from:

    http://www.tldp.org/HOWTO/Chroot-BIND-HOWTO.html 

 

[ Running Non-Root: ]

Recent versions of named can be invoked with options that specify a non-root user and/or group for named.

Read the named man page for more information.

Note that when running named as a user other than root, it will not be able to find new interfaces that appear dynamically, such as during a PCMIA card insertion, or if you're running some flavors of IPSEC and/or IP over IP tunnels.

If you canot live with those limitations, feel free to edit the /etc/init.d/bind9 script to change the invocation of named.

 

The default is now to run as the user 'bind' (which is automatically created in the group 'bind', if it doesn't exist), unless named.conf has been changed.

To change this, edit /etc/default/bind9

 

Please note that 'ndc restart' doesn't honor all the original command line options to named, so we explicitly don't use it in the init.d script provided with the package, and you should be careful about using it if you decide to run named non-root.

 

[ PPP Control Script: ]

생략

 

[ Apparmor Profile ]

If your system uses apparmor, plase note that the shipped enforcing profile works with the default installation, and changes in your configuration may require changes to the installed apparmor profile.

Please see https://wiki.ubuntu.com/DebuggingApparmor before filing a bug against this software.