| 1 | BIND SÃCURISATION DU TRANSFERT |
|---|
| 2 | ------------------------------ |
|---|
| 3 | |
|---|
| 4 | Nous allons limiter le transfert de zone de vos zones de sorte que |
|---|
| 5 | seulement vos serveurs esclave/secondaires sont autorisés à |
|---|
| 6 | demander des copies des zones. |
|---|
| 7 | |
|---|
| 8 | Remarque: si dans votre classe ce sont les d'instructeurs (par exemple, |
|---|
| 9 | groupe 0) qui sert d'esclave esclave (secondaire) pour votre domaine, |
|---|
| 10 | alors le «partenaire» auquel il est fait référence ci-dessous est |
|---|
| 11 | l'instructeur responsable du groupe 0. |
|---|
| 12 | |
|---|
| 13 | Sécurité à base d'ACL |
|---|
| 14 | -------------------------- |
|---|
| 15 | |
|---|
| 16 | Pour commencer, nous activons les ACL par IP - sur l'hÃŽte AUTH1: |
|---|
| 17 | |
|---|
| 18 | 1. Commencez par éditer le fichier /etc/namedb/named.conf, et dans la |
|---|
| 19 | section "options", nous allons définir qui est autorisé à transférer |
|---|
| 20 | votre zone. |
|---|
| 21 | |
|---|
| 22 | allow-transfer {127.0.0.1; :: 1; VOTRE_PROPRE_IP; myslaves; }; |
|---|
| 23 | |
|---|
| 24 | ... remplacer "VOTRE_PROPRE_IP" avec l'adresse IP de votre machine :) |
|---|
| 25 | |
|---|
| 26 | Maintenant, nous devons définir l'ACL "myslaves". Pour ce faire, |
|---|
| 27 | APRÃS la section options (trouver le symbole '};' Ã la fin de la |
|---|
| 28 | section), ajouter quelque chose semblable à ceci: |
|---|
| 29 | |
|---|
| 30 | (Si l'esclave de votre domaine "MYTLD" est auth1.grp25, par exemple) |
|---|
| 31 | |
|---|
| 32 | acl myslaves { 10.10.25.1; }; // ACL avec l'IP du master Group25 |
|---|
| 33 | |
|---|
| 34 | Cela signifie "myslaves est un ACL composé de l'IP 10.10.25.1. |
|---|
| 35 | |
|---|
| 36 | Si vous avec également configuré NSD, vous aurez besoin d'ajouter |
|---|
| 37 | l'adresse IP de votre secondaire sur votre réseau à l'ACL (cela |
|---|
| 38 | s'applique uniquement si vous avez configuré comme NSD un serveur |
|---|
| 39 | secondaire dans votre groupe. Sinon, sautez ignorez ceci!) |
|---|
| 40 | |
|---|
| 41 | acl myslaves { 10.10.25.1; 10.10.X.2; }; // ACL avec l'IP du maitre |
|---|
| 42 | // du Groupe 25 et votre secondaire NSD 10.10.25.2. |
|---|
| 43 | |
|---|
| 44 | Note: N'oubliez pas de saisir les valeurs correctes! Vous devez écrire l'IP |
|---|
| 45 | de la machine qui est votre secondaire dans la classe - rappelez-vous! |
|---|
| 46 | |
|---|
| 47 | 2. Redémarrez named |
|---|
| 48 | |
|---|
| 49 | $ sudo service named restart |
|---|
| 50 | |
|---|
| 51 | 3. Assurez-vous vous que le transfert de zone fonctionne toujours, en |
|---|
| 52 | demandant à votre partenaire esclave d'éxécuter un transert de zone |
|---|
| 53 | en interrogeant VOTRE machine. |
|---|
| 54 | |
|---|
| 55 | Depuis leur serveur: |
|---|
| 56 | |
|---|
| 57 | $ dig @auth1.grpX.dns.nsrc.org MYTLD axfr |
|---|
| 58 | |
|---|
| 59 | Assurez-vous que cela fonctionne toujours. |
|---|
| 60 | |
|---|
| 61 | 4. Maintenant, essayer de demander à quelqu'un d'autre dans la classe dont |
|---|
| 62 | le serveur n'est PAS dans l'ACL d'essayer la même commande axfr comme |
|---|
| 63 | ci-dessus. |
|---|
| 64 | |
|---|
| 65 | Q: Est-ce qu'ils réussissent? |
|---|
| 66 | |
|---|
| 67 | Q: Qu'est-ce que vous voyez dans les journaux /etc/namedb/log/general ? |
|---|
| 68 | Qu'est-ce que vous voyez dans les journaux /etc/namedb/log/transfers ? |
|---|
| 69 | |
|---|