Начальная страница

4.4. BIND

4.4. BIND

Ниже перечислены основные изменения BIND.
  • Стандартная конфигурация ACL в Red Hat Enterprise Linux 5 разрешала выполнение запросов и рекурсивную обработку узлов. В Red Hat Enterprise Linux 6, все узлы по умолчанию могут запрашивать достоверные данные, но только узлам в той же локальной сети разрешается отправлять рекурсивные запросы.
  • Параметр allow-query-cache заменяет устаревший параметр allow-recursion и используется для управления доступом к кэшу сервера, где содержатся недоверенные данные (такие как результаты рекурсивного поиска и информация о корневом сервере имен).
  • Управление окружением chroot. Сценарий bind-chroot-admin, который использовался для создания символьных ссылок к окружению chroot, был удален. Теперь настройки можно изменять напрямую из обычного (не chroot) окружения, а сценарии инициализации автоматически подключают необходимые файлы в окружении chroot в процессе запуска named.
  • Каталог /var/named теперь недоступен для записи. Файлы зон, которые необходимо записать (такие как DDNS), должны помещаться в каталог /var/named/dynamic.
  • Параметр dnssec [yes|no] удален. Его заменили два отдельных параметра — dnssec-enable (включает поддержку DNSSEC) и dnssec-validation (включает проверку DNSSEC). Присвоение dnssec-enable значения "no" для рекурсивного сервера означает, что он не будет использоваться для перенаправления другим сервером, отвечающим за проверку DNSSEC. Оба параметра по умолчанию установлены в "yes".
  • В файл /etc/named.conf больше не требуется добавлять выражение controls в случае использования утилиты rndc. Служба named автоматически разрешает управление подключениями через петлевое устройство, а named и rndc используют один и тот же секретный ключ, созданный в процессе установки и расположенный в /etc/rndc.key.
По умолчанию BIND устанавливается с функциями проверки DNSSEC и использует регистр ISC DLV. Все подписанные домены (gov., se., cz. и т.п.), для которых есть ключ в регистре ISC DLV, будут проверены на рекурсивном сервере. Если результат проверки неудовлетворителен вследствие попытки «отравления» кэша, фальшивые данные не будут переданы пользователю. Широко применяемые спецификации DNSSEC характеризуют важный шаг в обеспечении защиты пользователей и активно поддерживаются Red Hat Enterprise Linux 6. Как уже упоминалось, за проверку DNSSEC отвечает параметр dnssec-validation в /etc/named.conf.