1 | Configuracin de Unbound |
---|
2 | ------------------------- |
---|
3 | |
---|
4 | 1. Ingrese con SSH/Putty/... a su resolver/cach: |
---|
5 | |
---|
6 | (ej. el grupo 1 usara resolv.grp1.ws.nsrc.org) |
---|
7 | |
---|
8 | $ ssh -l adm resolv.grpXX.ws.nsrc.org |
---|
9 | |
---|
10 | *** POR FAVOR ASEGòRESE DE ENTRAR EN SU MçQUINA 'RESOLV', *** |
---|
11 | *** NO EN 'AUTH' *** |
---|
12 | |
---|
13 | 2. En su mquina RESOLV (en la que acaba de ingresar) |
---|
14 | |
---|
15 | $ cd /usr/local/etc/unbound/ |
---|
16 | $ sudo cp unbound.conf.sample unbound.conf |
---|
17 | |
---|
18 | Ahora edite el fichero unbound.conf: |
---|
19 | |
---|
20 | NOTA: Aqu, recuerde usar su editor favorito: ee, jed, joe, vi, ... |
---|
21 | |
---|
22 | $ sudo ee unbound.conf |
---|
23 | o |
---|
24 | $ sudo vi unbound.conf |
---|
25 | |
---|
26 | ... y efecte los cambios siguientes: |
---|
27 | |
---|
28 | a) Configure dnde va a escuchar (listen) el demonio - busque: |
---|
29 | |
---|
30 | # interface: ... |
---|
31 | |
---|
32 | y justo debajo, agregue la siguiente lnea: |
---|
33 | |
---|
34 | interface: 0.0.0.0 |
---|
35 | |
---|
36 | b) Control de acceso. Busque: |
---|
37 | |
---|
38 | # access-control: ... |
---|
39 | |
---|
40 | y justo debajo, agregue la siguiente lnea: |
---|
41 | |
---|
42 | access-control: 10.10.0.0/16 allow |
---|
43 | |
---|
44 | c) Seguridad chroot - Busque: |
---|
45 | |
---|
46 | # chroot: "/usr/local/etc/unbound" |
---|
47 | |
---|
48 | y justo debajo, agregue la siguiente lnea: |
---|
49 | |
---|
50 | chroot: "" |
---|
51 | |
---|
52 | NOTA: En la prctica no desactivaramos chroot, que es un mecanismo de |
---|
53 | seguridad, pero s tenemos que hacerlo en este laboratorio, por |
---|
54 | causa de restricciones en el ambiente virtual. En un servidor |
---|
55 | en produccin, no desactive chroot! |
---|
56 | |
---|
57 | d) Configure el fichero de root-hints - Busque: |
---|
58 | |
---|
59 | # root-hints: "" |
---|
60 | |
---|
61 | y justo debajo, agregue la siguiente lnea: |
---|
62 | |
---|
63 | root-hints: "/usr/local/etc/unbound/named.root" |
---|
64 | |
---|
65 | e) Re-habilite la zona 10.in-addr.arpa - busque: |
---|
66 | |
---|
67 | # local-data-ptr: "192.0.2.3 www.example.com" |
---|
68 | |
---|
69 | y justo debajo, agregue la siguiente lnea: |
---|
70 | |
---|
71 | local-zone: "10.in-addr.arpa." nodefault |
---|
72 | |
---|
73 | f) Active control remoto - busque: |
---|
74 | |
---|
75 | # control-enable: no |
---|
76 | |
---|
77 | y CAMBIE (eliminando el #) a: |
---|
78 | |
---|
79 | control-enable: yes |
---|
80 | |
---|
81 | - busque la lnea: |
---|
82 | |
---|
83 | # control-interface: 127.0.0.1 |
---|
84 | |
---|
85 | y CAMBIELA a: |
---|
86 | |
---|
87 | control-interface: 0.0.0.0 |
---|
88 | |
---|
89 | - busque: |
---|
90 | |
---|
91 | # control-port: 8953 |
---|
92 | |
---|
93 | y CAMBIELA a: |
---|
94 | |
---|
95 | control-port: 953 |
---|
96 | |
---|
97 | - finalmente, active las siguientes lneas: |
---|
98 | |
---|
99 | # server-key-file: "/usr/local/etc/unbound/unbound_server.key" |
---|
100 | se convierte en: |
---|
101 | server-key-file: "/usr/local/etc/unbound/unbound_server.key" |
---|
102 | |
---|
103 | # server-cert-file: "/usr/local/etc/unbound/unbound_server.pem" |
---|
104 | se convierte en: |
---|
105 | server-cert-file: "/usr/local/etc/unbound/unbound_server.pem" |
---|
106 | |
---|
107 | # control-key-file: "/usr/local/etc/unbound/unbound_control.key" |
---|
108 | se convierte en: |
---|
109 | control-key-file: "/usr/local/etc/unbound/unbound_control.key" |
---|
110 | |
---|
111 | # control-cert-file: "/usr/local/etc/unbound/unbound_control.pem" |
---|
112 | se convierte en: |
---|
113 | control-cert-file: "/usr/local/etc/unbound/unbound_control.pem" |
---|
114 | |
---|
115 | Guarde el fichero y salga. |
---|
116 | |
---|
117 | Todava tiene que descargar una copia del fichero named.root desde |
---|
118 | su mquina auth, as: |
---|
119 | |
---|
120 | $ cd /usr/local/etc/unbound/ |
---|
121 | $ sudo scp adm@auth1.grpX.ws.nsrc.org:/etc/namedb/named.root . |
---|
122 | |
---|
123 | ... sustituya X por el nmero de su grupo |
---|
124 | |
---|
125 | 3. Cree las claves de control: |
---|
126 | |
---|
127 | $ sudo unbound-control-setup |
---|
128 | |
---|
129 | 4. Compruebe la sintaxis: |
---|
130 | |
---|
131 | $ sudo unbound-checkconf |
---|
132 | |
---|
133 | 5. Edite /etc/rc.conf para aadir: |
---|
134 | |
---|
135 | unbound_enable="YES" |
---|
136 | |
---|
137 | 6. Inicie unbound! |
---|
138 | |
---|
139 | $ sudo service unbound start |
---|
140 | |
---|
141 | 7. Cambie su /etc/resolv.conf para usar su nuevo Unbound, |
---|
142 | en esta mquina (CACHE), pero tambin en AUTH1 y AUTH2: |
---|
143 | |
---|
144 | # vi /etc/resolv.conf |
---|
145 | |
---|
146 | Cambie la lnea nameserver a: |
---|
147 | |
---|
148 | nameserver 10.10.XX.3 |
---|
149 | |
---|
150 | ... sustituyendo XX por su nmero de grupo |
---|
151 | |
---|
152 | 8. Compruebe: |
---|
153 | |
---|
154 | $ dig noc.ws.nsrc.org |
---|
155 | |
---|
156 | Asegrese de recibir SERVER: É(10.10.XX.3) al final de la |
---|
157 | salida de dig |
---|
158 | |
---|
159 | $ dig version.bind txt chaos |
---|
160 | |
---|
161 | Qu dice? |
---|
162 | |
---|
163 | 9. Si un ejercicio anterior configur BIND en AUTH1 como recursivo, siga |
---|
164 | adelante. Si no, ya ha terminado! |
---|
165 | |
---|
166 | Recuerde que en el ejercicio anterior, configuramos BIND en el servidor |
---|
167 | AUTH1 para funcionar como recursivo |
---|
168 | |
---|
169 | El problema es que se supone que no debemos usar nuestro autorizado |
---|
170 | como recursivo! |
---|
171 | |
---|
172 | As que vuelva a su servidor AUTH1 y desactive la recursin. |
---|
173 | |
---|
174 | Edite /etc/namedb/named.conf y cambie: |
---|
175 | |
---|
176 | esto: |
---|
177 | |
---|
178 | allow-recursion { 127.0.0.1; 10.10.0.0/16; }; |
---|
179 | |
---|
180 | a esto: |
---|
181 | |
---|
182 | //allow-recursion { 127.0.0.1; 10.10.0.0/16; }; |
---|
183 | recursion no; |
---|
184 | |
---|
185 | Guarde el fichero, y reinicie BIND |
---|
186 | |
---|
187 | $ sudo service named restart |
---|