Agenda: dns-acl-tsig-transfer-security-part1-vFR.txt

File dns-acl-tsig-transfer-security-part1-vFR.txt, 2.5 KB (added by admin, 6 years ago)
Line 
1BIND SÉCURISATION DU TRANSFERT
2------------------------------
3
4Nous allons limiter le transfert de zone de vos zones de sorte que
5seulement vos serveurs esclave/secondaires sont autorisés à
6demander des copies des zones.
7
8Remarque: si dans votre classe ce sont les d'instructeurs (par exemple,
9groupe 0) qui sert d'esclave esclave (secondaire) pour votre domaine,
10alors le «partenaire» auquel il est fait référence ci-dessous est
11l'instructeur responsable du groupe 0.
12
13Sécurité à base d'ACL
14--------------------------
15
16Pour commencer, nous activons les ACL par IP - sur l'hÃŽte AUTH1:
17
181. Commencez par éditer le fichier /etc/namedb/named.conf, et dans la
19  section "options", nous allons définir qui est autorisé à transférer
20  votre zone.
21
22   allow-transfer {127.0.0.1; :: 1; VOTRE_PROPRE_IP; myslaves; };
23
24   ... remplacer "VOTRE_PROPRE_IP" avec l'adresse IP de votre machine :)
25
26   Maintenant, nous devons définir l'ACL "myslaves". Pour ce faire,
27   APRÈS la section options (trouver le symbole '};' à la fin de la
28   section), ajouter quelque chose semblable à ceci:
29
30   (Si l'esclave de votre domaine "MYTLD" est auth1.grp25, par exemple)
31
32acl myslaves { 10.10.25.1; }; // ACL avec l'IP du master Group25
33
34Cela signifie "myslaves est un ACL composé de l'IP 10.10.25.1.
35
36Si vous avec également configuré NSD, vous aurez besoin d'ajouter
37l'adresse IP de votre secondaire sur votre réseau à l'ACL (cela
38s'applique uniquement si vous avez configuré comme NSD un serveur
39secondaire dans votre groupe. Sinon, sautez ignorez ceci!)
40
41acl myslaves { 10.10.25.1; 10.10.X.2; }; // ACL avec l'IP du maitre
42     // du Groupe 25 et votre secondaire NSD 10.10.25.2.
43
44Note: N'oubliez pas de saisir les valeurs correctes! Vous devez écrire l'IP
45de la machine qui est votre secondaire dans la classe - rappelez-vous!
46
472. Redémarrez named
48
49        $ sudo service named restart
50
513. Assurez-vous vous que le transfert de zone fonctionne toujours, en
52   demandant à votre partenaire esclave d'éxécuter un transert de zone
53   en interrogeant VOTRE machine.
54
55   Depuis leur serveur:
56
57   $ dig @auth1.grpX.dns.nsrc.org MYTLD axfr
58
59   Assurez-vous que cela fonctionne toujours.
60
614. Maintenant, essayer de demander à quelqu'un d'autre dans la classe dont
62   le serveur n'est PAS dans l'ACL d'essayer la même commande axfr comme
63   ci-dessus.
64
65   Q: Est-ce qu'ils réussissent?
66
67   Q: Qu'est-ce que vous voyez dans les journaux /etc/namedb/log/general ?
68      Qu'est-ce que vous voyez dans les journaux /etc/namedb/log/transfers ?
69