Configuraci—n de Unbound ------------------------- 1. Ingrese con SSH/Putty/... a su resolver/cachŽ: (ej. el grupo 1 usar’a resolv.grp1.ws.nsrc.org) $ ssh -l adm resolv.grpXX.ws.nsrc.org *** POR FAVOR ASEGòRESE DE ENTRAR EN SU MçQUINA 'RESOLV', *** *** NO EN 'AUTH' *** 2. En su m‡quina RESOLV (en la que acaba de ingresar) $ cd /usr/local/etc/unbound/ $ sudo cp unbound.conf.sample unbound.conf Ahora edite el fichero unbound.conf: NOTA: Aqu’, recuerde usar su editor favorito: ee, jed, joe, vi, ... $ sudo ee unbound.conf o $ sudo vi unbound.conf ... y efectœe los cambios siguientes: a) Configure d—nde va a escuchar (listen) el demonio - busque: # interface: ... y justo debajo, agregue la siguiente l’nea: interface: 0.0.0.0 b) Control de acceso. Busque: # access-control: ... y justo debajo, agregue la siguiente l’nea: access-control: 10.10.0.0/16 allow c) Seguridad chroot - Busque: # chroot: "/usr/local/etc/unbound" y justo debajo, agregue la siguiente l’nea: chroot: "" NOTA: En la pr‡ctica no desactivar’amos chroot, que es un mecanismo de seguridad, pero s’ tenemos que hacerlo en este laboratorio, por causa de restricciones en el ambiente virtual. En un servidor en producci—n, no desactive chroot! d) Configure el fichero de root-hints - Busque: # root-hints: "" y justo debajo, agregue la siguiente l’nea: root-hints: "/usr/local/etc/unbound/named.root" e) Re-habilite la zona 10.in-addr.arpa - busque: # local-data-ptr: "192.0.2.3 www.example.com" y justo debajo, agregue la siguiente l’nea: local-zone: "10.in-addr.arpa." nodefault f) Active control remoto - busque: # control-enable: no y CAMBIE (eliminando el #) a: control-enable: yes - busque la l’nea: # control-interface: 127.0.0.1 y CAMBIELA a: control-interface: 0.0.0.0 - busque: # control-port: 8953 y CAMBIELA a: control-port: 953 - finalmente, active las siguientes l’neas: # server-key-file: "/usr/local/etc/unbound/unbound_server.key" se convierte en: server-key-file: "/usr/local/etc/unbound/unbound_server.key" # server-cert-file: "/usr/local/etc/unbound/unbound_server.pem" se convierte en: server-cert-file: "/usr/local/etc/unbound/unbound_server.pem" # control-key-file: "/usr/local/etc/unbound/unbound_control.key" se convierte en: control-key-file: "/usr/local/etc/unbound/unbound_control.key" # control-cert-file: "/usr/local/etc/unbound/unbound_control.pem" se convierte en: control-cert-file: "/usr/local/etc/unbound/unbound_control.pem" Guarde el fichero y salga. Todav’a tiene que descargar una copia del fichero named.root desde su m‡quina auth, as’: $ cd /usr/local/etc/unbound/ $ sudo scp adm@auth1.grpX.ws.nsrc.org:/etc/namedb/named.root . ... sustituya X por el nœmero de su grupo 3. Cree las claves de control: $ sudo unbound-control-setup 4. Compruebe la sintaxis: $ sudo unbound-checkconf 5. Edite /etc/rc.conf para a–adir: unbound_enable="YES" 6. Inicie unbound! $ sudo service unbound start 7. Cambie su /etc/resolv.conf para usar su nuevo Unbound, en esta m‡quina (CACHE), pero tambiŽn en AUTH1 y AUTH2: # vi /etc/resolv.conf Cambie la l’nea nameserver a: nameserver 10.10.XX.3 ... sustituyendo XX por su nœmero de grupo 8. Compruebe: $ dig noc.ws.nsrc.org Asegœrese de recibir SERVER: É(10.10.XX.3) al final de la salida de dig $ dig version.bind txt chaos QuŽ dice? 9. Si un ejercicio anterior configur— BIND en AUTH1 como recursivo, siga adelante. Si no, ya ha terminado! Recuerde que en el ejercicio anterior, configuramos BIND en el servidor AUTH1 para funcionar como recursivo El problema es que se supone que no debemos usar nuestro autorizado como recursivo! As’ que vuelva a su servidor AUTH1 y desactive la recursi—n. Edite /etc/namedb/named.conf y cambie: esto: allow-recursion { 127.0.0.1; 10.10.0.0/16; }; a esto: //allow-recursion { 127.0.0.1; 10.10.0.0/16; }; recursion no; Guarde el fichero, y reinicie BIND $ sudo service named restart