1 | BIND SÃCURISATION DU TRANSFERT |
---|
2 | ------------------------------ |
---|
3 | |
---|
4 | Nous allons limiter le transfert de zone de vos zones de sorte que |
---|
5 | seulement vos serveurs esclave/secondaires sont autorisés à |
---|
6 | demander des copies des zones. |
---|
7 | |
---|
8 | Remarque: si dans votre classe ce sont les d'instructeurs (par exemple, |
---|
9 | groupe 0) qui sert d'esclave esclave (secondaire) pour votre domaine, |
---|
10 | alors le «partenaire» auquel il est fait référence ci-dessous est |
---|
11 | l'instructeur responsable du groupe 0. |
---|
12 | |
---|
13 | Sécurité à base d'ACL |
---|
14 | -------------------------- |
---|
15 | |
---|
16 | Pour commencer, nous activons les ACL par IP - sur l'hÃŽte AUTH1: |
---|
17 | |
---|
18 | 1. Commencez par éditer le fichier /etc/namedb/named.conf, et dans la |
---|
19 | section "options", nous allons définir qui est autorisé à transférer |
---|
20 | votre zone. |
---|
21 | |
---|
22 | allow-transfer {127.0.0.1; :: 1; VOTRE_PROPRE_IP; myslaves; }; |
---|
23 | |
---|
24 | ... remplacer "VOTRE_PROPRE_IP" avec l'adresse IP de votre machine :) |
---|
25 | |
---|
26 | Maintenant, nous devons définir l'ACL "myslaves". Pour ce faire, |
---|
27 | APRÃS la section options (trouver le symbole '};' Ã la fin de la |
---|
28 | section), ajouter quelque chose semblable à ceci: |
---|
29 | |
---|
30 | (Si l'esclave de votre domaine "MYTLD" est auth1.grp25, par exemple) |
---|
31 | |
---|
32 | acl myslaves { 10.10.25.1; }; // ACL avec l'IP du master Group25 |
---|
33 | |
---|
34 | Cela signifie "myslaves est un ACL composé de l'IP 10.10.25.1. |
---|
35 | |
---|
36 | Si vous avec également configuré NSD, vous aurez besoin d'ajouter |
---|
37 | l'adresse IP de votre secondaire sur votre réseau à l'ACL (cela |
---|
38 | s'applique uniquement si vous avez configuré comme NSD un serveur |
---|
39 | secondaire dans votre groupe. Sinon, sautez ignorez ceci!) |
---|
40 | |
---|
41 | acl myslaves { 10.10.25.1; 10.10.X.2; }; // ACL avec l'IP du maitre |
---|
42 | // du Groupe 25 et votre secondaire NSD 10.10.25.2. |
---|
43 | |
---|
44 | Note: N'oubliez pas de saisir les valeurs correctes! Vous devez écrire l'IP |
---|
45 | de la machine qui est votre secondaire dans la classe - rappelez-vous! |
---|
46 | |
---|
47 | 2. Redémarrez named |
---|
48 | |
---|
49 | $ sudo service named restart |
---|
50 | |
---|
51 | 3. Assurez-vous vous que le transfert de zone fonctionne toujours, en |
---|
52 | demandant à votre partenaire esclave d'éxécuter un transert de zone |
---|
53 | en interrogeant VOTRE machine. |
---|
54 | |
---|
55 | Depuis leur serveur: |
---|
56 | |
---|
57 | $ dig @auth1.grpX.dns.nsrc.org MYTLD axfr |
---|
58 | |
---|
59 | Assurez-vous que cela fonctionne toujours. |
---|
60 | |
---|
61 | 4. Maintenant, essayer de demander à quelqu'un d'autre dans la classe dont |
---|
62 | le serveur n'est PAS dans l'ACL d'essayer la même commande axfr comme |
---|
63 | ci-dessus. |
---|
64 | |
---|
65 | Q: Est-ce qu'ils réussissent? |
---|
66 | |
---|
67 | Q: Qu'est-ce que vous voyez dans les journaux /etc/namedb/log/general ? |
---|
68 | Qu'est-ce que vous voyez dans les journaux /etc/namedb/log/transfers ? |
---|
69 | |
---|