| 1 | Configuracin de Unbound |
|---|
| 2 | ------------------------- |
|---|
| 3 | |
|---|
| 4 | 1. Ingrese con SSH/Putty/... a su resolver/cach: |
|---|
| 5 | |
|---|
| 6 | (ej. el grupo 1 usara resolv.grp1.ws.nsrc.org) |
|---|
| 7 | |
|---|
| 8 | $ ssh -l adm resolv.grpXX.ws.nsrc.org |
|---|
| 9 | |
|---|
| 10 | *** POR FAVOR ASEGòRESE DE ENTRAR EN SU MçQUINA 'RESOLV', *** |
|---|
| 11 | *** NO EN 'AUTH' *** |
|---|
| 12 | |
|---|
| 13 | 2. En su mquina RESOLV (en la que acaba de ingresar) |
|---|
| 14 | |
|---|
| 15 | $ cd /usr/local/etc/unbound/ |
|---|
| 16 | $ sudo cp unbound.conf.sample unbound.conf |
|---|
| 17 | |
|---|
| 18 | Ahora edite el fichero unbound.conf: |
|---|
| 19 | |
|---|
| 20 | NOTA: Aqu, recuerde usar su editor favorito: ee, jed, joe, vi, ... |
|---|
| 21 | |
|---|
| 22 | $ sudo ee unbound.conf |
|---|
| 23 | o |
|---|
| 24 | $ sudo vi unbound.conf |
|---|
| 25 | |
|---|
| 26 | ... y efecte los cambios siguientes: |
|---|
| 27 | |
|---|
| 28 | a) Configure dnde va a escuchar (listen) el demonio - busque: |
|---|
| 29 | |
|---|
| 30 | # interface: ... |
|---|
| 31 | |
|---|
| 32 | y justo debajo, agregue la siguiente lnea: |
|---|
| 33 | |
|---|
| 34 | interface: 0.0.0.0 |
|---|
| 35 | |
|---|
| 36 | b) Control de acceso. Busque: |
|---|
| 37 | |
|---|
| 38 | # access-control: ... |
|---|
| 39 | |
|---|
| 40 | y justo debajo, agregue la siguiente lnea: |
|---|
| 41 | |
|---|
| 42 | access-control: 10.10.0.0/16 allow |
|---|
| 43 | |
|---|
| 44 | c) Seguridad chroot - Busque: |
|---|
| 45 | |
|---|
| 46 | # chroot: "/usr/local/etc/unbound" |
|---|
| 47 | |
|---|
| 48 | y justo debajo, agregue la siguiente lnea: |
|---|
| 49 | |
|---|
| 50 | chroot: "" |
|---|
| 51 | |
|---|
| 52 | NOTA: En la prctica no desactivaramos chroot, que es un mecanismo de |
|---|
| 53 | seguridad, pero s tenemos que hacerlo en este laboratorio, por |
|---|
| 54 | causa de restricciones en el ambiente virtual. En un servidor |
|---|
| 55 | en produccin, no desactive chroot! |
|---|
| 56 | |
|---|
| 57 | d) Configure el fichero de root-hints - Busque: |
|---|
| 58 | |
|---|
| 59 | # root-hints: "" |
|---|
| 60 | |
|---|
| 61 | y justo debajo, agregue la siguiente lnea: |
|---|
| 62 | |
|---|
| 63 | root-hints: "/usr/local/etc/unbound/named.root" |
|---|
| 64 | |
|---|
| 65 | e) Re-habilite la zona 10.in-addr.arpa - busque: |
|---|
| 66 | |
|---|
| 67 | # local-data-ptr: "192.0.2.3 www.example.com" |
|---|
| 68 | |
|---|
| 69 | y justo debajo, agregue la siguiente lnea: |
|---|
| 70 | |
|---|
| 71 | local-zone: "10.in-addr.arpa." nodefault |
|---|
| 72 | |
|---|
| 73 | f) Active control remoto - busque: |
|---|
| 74 | |
|---|
| 75 | # control-enable: no |
|---|
| 76 | |
|---|
| 77 | y CAMBIE (eliminando el #) a: |
|---|
| 78 | |
|---|
| 79 | control-enable: yes |
|---|
| 80 | |
|---|
| 81 | - busque la lnea: |
|---|
| 82 | |
|---|
| 83 | # control-interface: 127.0.0.1 |
|---|
| 84 | |
|---|
| 85 | y CAMBIELA a: |
|---|
| 86 | |
|---|
| 87 | control-interface: 0.0.0.0 |
|---|
| 88 | |
|---|
| 89 | - busque: |
|---|
| 90 | |
|---|
| 91 | # control-port: 8953 |
|---|
| 92 | |
|---|
| 93 | y CAMBIELA a: |
|---|
| 94 | |
|---|
| 95 | control-port: 953 |
|---|
| 96 | |
|---|
| 97 | - finalmente, active las siguientes lneas: |
|---|
| 98 | |
|---|
| 99 | # server-key-file: "/usr/local/etc/unbound/unbound_server.key" |
|---|
| 100 | se convierte en: |
|---|
| 101 | server-key-file: "/usr/local/etc/unbound/unbound_server.key" |
|---|
| 102 | |
|---|
| 103 | # server-cert-file: "/usr/local/etc/unbound/unbound_server.pem" |
|---|
| 104 | se convierte en: |
|---|
| 105 | server-cert-file: "/usr/local/etc/unbound/unbound_server.pem" |
|---|
| 106 | |
|---|
| 107 | # control-key-file: "/usr/local/etc/unbound/unbound_control.key" |
|---|
| 108 | se convierte en: |
|---|
| 109 | control-key-file: "/usr/local/etc/unbound/unbound_control.key" |
|---|
| 110 | |
|---|
| 111 | # control-cert-file: "/usr/local/etc/unbound/unbound_control.pem" |
|---|
| 112 | se convierte en: |
|---|
| 113 | control-cert-file: "/usr/local/etc/unbound/unbound_control.pem" |
|---|
| 114 | |
|---|
| 115 | Guarde el fichero y salga. |
|---|
| 116 | |
|---|
| 117 | Todava tiene que descargar una copia del fichero named.root desde |
|---|
| 118 | su mquina auth, as: |
|---|
| 119 | |
|---|
| 120 | $ cd /usr/local/etc/unbound/ |
|---|
| 121 | $ sudo scp adm@auth1.grpX.ws.nsrc.org:/etc/namedb/named.root . |
|---|
| 122 | |
|---|
| 123 | ... sustituya X por el nmero de su grupo |
|---|
| 124 | |
|---|
| 125 | 3. Cree las claves de control: |
|---|
| 126 | |
|---|
| 127 | $ sudo unbound-control-setup |
|---|
| 128 | |
|---|
| 129 | 4. Compruebe la sintaxis: |
|---|
| 130 | |
|---|
| 131 | $ sudo unbound-checkconf |
|---|
| 132 | |
|---|
| 133 | 5. Edite /etc/rc.conf para aadir: |
|---|
| 134 | |
|---|
| 135 | unbound_enable="YES" |
|---|
| 136 | |
|---|
| 137 | 6. Inicie unbound! |
|---|
| 138 | |
|---|
| 139 | $ sudo service unbound start |
|---|
| 140 | |
|---|
| 141 | 7. Cambie su /etc/resolv.conf para usar su nuevo Unbound, |
|---|
| 142 | en esta mquina (CACHE), pero tambin en AUTH1 y AUTH2: |
|---|
| 143 | |
|---|
| 144 | # vi /etc/resolv.conf |
|---|
| 145 | |
|---|
| 146 | Cambie la lnea nameserver a: |
|---|
| 147 | |
|---|
| 148 | nameserver 10.10.XX.3 |
|---|
| 149 | |
|---|
| 150 | ... sustituyendo XX por su nmero de grupo |
|---|
| 151 | |
|---|
| 152 | 8. Compruebe: |
|---|
| 153 | |
|---|
| 154 | $ dig noc.ws.nsrc.org |
|---|
| 155 | |
|---|
| 156 | Asegrese de recibir SERVER: É(10.10.XX.3) al final de la |
|---|
| 157 | salida de dig |
|---|
| 158 | |
|---|
| 159 | $ dig version.bind txt chaos |
|---|
| 160 | |
|---|
| 161 | Qu dice? |
|---|
| 162 | |
|---|
| 163 | 9. Si un ejercicio anterior configur BIND en AUTH1 como recursivo, siga |
|---|
| 164 | adelante. Si no, ya ha terminado! |
|---|
| 165 | |
|---|
| 166 | Recuerde que en el ejercicio anterior, configuramos BIND en el servidor |
|---|
| 167 | AUTH1 para funcionar como recursivo |
|---|
| 168 | |
|---|
| 169 | El problema es que se supone que no debemos usar nuestro autorizado |
|---|
| 170 | como recursivo! |
|---|
| 171 | |
|---|
| 172 | As que vuelva a su servidor AUTH1 y desactive la recursin. |
|---|
| 173 | |
|---|
| 174 | Edite /etc/namedb/named.conf y cambie: |
|---|
| 175 | |
|---|
| 176 | esto: |
|---|
| 177 | |
|---|
| 178 | allow-recursion { 127.0.0.1; 10.10.0.0/16; }; |
|---|
| 179 | |
|---|
| 180 | a esto: |
|---|
| 181 | |
|---|
| 182 | //allow-recursion { 127.0.0.1; 10.10.0.0/16; }; |
|---|
| 183 | recursion no; |
|---|
| 184 | |
|---|
| 185 | Guarde el fichero, y reinicie BIND |
|---|
| 186 | |
|---|
| 187 | $ sudo service named restart |
|---|