Vous êtes ici : Formations en Ligne Gratuites » Catalogue » workbooks » lpic » 22 » LPI202 - Préparation à l'Examen LPIC 202-450 » Topic 207: Domain Name Server

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
elearning:workbooks:lpic:22:450:l101 [2022/11/01 16:47] adminelearning:workbooks:lpic:22:450:l101 [2022/11/21 09:34] (Version actuelle) admin
Ligne 29: Ligne 29:
       * 3.1 - La clef rndc       * 3.1 - La clef rndc
       * 3.2 - Les fichiers de configuration       * 3.2 - Les fichiers de configuration
 +    * Caractéristiques avancées de Bind
 +      * DNSSEC
 +      * TSIG
  
 =====Présentation===== =====Présentation=====
Ligne 38: Ligne 41:
 Lorsque un ordinateur souhaite communiquer avec un autre par le biais de son nom, par exemple avec www.i2tch.com, il envoie une requête à un server DNS. Si le serveur DNS a connaissance de la correspondance entre le nom demandé et le numéro IP, il répond directement. Si ce n'est pas le cas, il démarre un processus de **Recursive Lookup**.  Lorsque un ordinateur souhaite communiquer avec un autre par le biais de son nom, par exemple avec www.i2tch.com, il envoie une requête à un server DNS. Si le serveur DNS a connaissance de la correspondance entre le nom demandé et le numéro IP, il répond directement. Si ce n'est pas le cas, il démarre un processus de **Recursive Lookup**. 
  
-Ce processus tente d'identifier le serveur de domaine responsable pour le **SLD** ( Second Level Domain ) afin de lui passer la reqûete. Dans notre exemple, il tenterait d'identifier le serveur de domaine responsable de **i2tch.com**.+Ce processus tente d'identifier le serveur de domaine responsable pour le **SLD** ( Second Level Domain ) afin de lui passer la requête. Dans notre exemple, il tenterait d'identifier le serveur de domaine responsable de **i2tch.com**.
  
 Si cette tentative échoue, le serveur DNS cherche le serveur de domaine pour le **TLD** ( Top Level Domain ) dans son cache afin de lui demander l'adresse du serveur responsable du SLD. Dans notre cas il tenterait trouver l'enregistrement pour le serveur de domaine responsable de **.com** Si cette tentative échoue, le serveur DNS cherche le serveur de domaine pour le **TLD** ( Top Level Domain ) dans son cache afin de lui demander l'adresse du serveur responsable du SLD. Dans notre cas il tenterait trouver l'enregistrement pour le serveur de domaine responsable de **.com**
Ligne 184: Ligne 187:
 ;; WHEN: Tue Nov 01 16:59:11 CET 2022 ;; WHEN: Tue Nov 01 16:59:11 CET 2022
 ;; MSG SIZE  rcvd: 811 ;; MSG SIZE  rcvd: 811
-</code> 
- 
-Le fichier named.ca doit appartenir à l'utilisateur **root** du groupe **root** et avoir les permissions en 0644. 
- 
-<code> 
-[root@centos6 ~]# ls -l /var/named/named.ca  
--rw-r--r--. 1 root root 1666 30 mai   13:28 /var/named/named.ca 
- 
-[root@centos7 ~]# ls -l /var/named/named.ca  
--rw-r-----. 1 root named 2298 Nov  1 16:59 /var/named/named.ca 
 </code> </code>
  
Ligne 263: Ligne 256:
 include "/etc/named.root.key"; include "/etc/named.root.key";
 </code> </code>
 +
 +<WRAP center round important 60%>
 +**Important** : Notez que pour désactiver les requêtes récursives, il convient de passer la valeur de la directive **recursion** à no : recursion no;
 +</WRAP>
  
 Dans ce fichier on trouve des sections ayant la forme suivante : Dans ce fichier on trouve des sections ayant la forme suivante :
Ligne 348: Ligne 345:
 }; };
 ... ...
-</file>+</code>
  
 <WRAP center round important 60%> <WRAP center round important 60%>
-**Important** - Dans l'exemple ci-dessus nous autorisons toutes les machines de notre réseau, ainsi que la machine locale à utiliser le DNS.+**Important** - Dans l'exemple ci-dessus nous autorisons toutes les machines de notre réseau, ainsi que la machine locale à utiliser le DNS. Notez aussi que pour limiter les connexions à partir de serveurs DNS esclaves, il convient d'ajouter une directive **allow-transfer**.
 </WRAP> </WRAP>
 +
 +Dernièrement, il est possible de créer des ACLs qui peuvent être utilisés avec la directive **allow-query** :
 +
 +<file>
 +        acl mycompany {
 +            10.0.2.0/24; 192.168.56.0/24;
 +        };
 +
 +        options {
 +            allow-query { mycompany; };
 +        };
 +</file>
  
 ====2.3 - named.rfc1912.zones==== ====2.3 - named.rfc1912.zones====
Ligne 441: Ligne 450:
 </file> </file>
  
-La section de zone fait corréspondre un nom avec une adresse IP tandis que la section de zone inversée fait l'inverse. La section inversée a un nom d'un syntaxe spécifique :+La section de zone fait correspondre un nom avec une adresse IP tandis que la section de zone inversée fait l'inverse. La section inversée a un nom d'un syntaxe spécifique :
  
 <file> <file>
Ligne 486: Ligne 495:
 </WRAP> </WRAP>
  
-Afin de configurer notre serveur correctement donc, il est necéssaire d'ajouter à ce fichier deux sections supplémentaires.+Afin de configurer notre serveur correctement donc, il est nécessaire d'ajouter à ce fichier deux sections supplémentaires.
  
 La zone correspondant à notre domaine, ici appelée "fenestros.loc". Celle-ci fait correspondre le nom de la machine avec son adresse IP: La zone correspondant à notre domaine, ici appelée "fenestros.loc". Celle-ci fait correspondre le nom de la machine avec son adresse IP:
Ligne 586: Ligne 595:
     * La durée de vie en cache de cet enregistrement.     * La durée de vie en cache de cet enregistrement.
   * **classe**   * **classe**
-    * Le réseau de transport utilisé. Dans notre cas, le réseau est du TCP. La valeur est donc IN.+    * Le réseau de transport utilisé. Dans notre cas, Internet. La valeur est donc IN.
   * **type**   * **type**
     * Le type d'enregistrement:     * Le type d'enregistrement:
       * SOA - Start of Authority - se trouve au début du fichier et contient des informations générales       * SOA - Start of Authority - se trouve au début du fichier et contient des informations générales
       * NS - Name Server  - le nom du serveur de nom       * NS - Name Server  - le nom du serveur de nom
-      * A - Address - indique une résolution de nom vers une adresse IP. Ne se trouve que dans les fichiers **.hosts**+      * A - Address IPv4 - indique une résolution de nom vers une adresse IP. Ne se trouve que dans les fichiers **.hosts** 
 +      * AAAA - Address IPv6 - indique une résolution de nom vers une adresse IP. Ne se trouve que dans les fichiers **.hosts**
       * PTR - %%PoinTeR%% - indique une résolution d'une adresse IP vers un nom. Ne se trouve que dans les fichiers inversés.       * PTR - %%PoinTeR%% - indique une résolution d'une adresse IP vers un nom. Ne se trouve que dans les fichiers inversés.
       * MX - Mail eXchange - le nom d'un serveur de mail.       * MX - Mail eXchange - le nom d'un serveur de mail.
       * CNAME - Canonical Name - un alias d'une machine.       * CNAME - Canonical Name - un alias d'une machine.
-      * HINFO - Hardware Info - fournit des informations sur le matériel de la machine     +      * HINFO - Hardware Info - fournit des informations sur le matériel de la machine    
 +      * TXT - Un enregistrement contenant des informations textuelles pour des sources extérieures à votre domaine, par exemple : 
 +        * Vérification de la propriété du domaine 
 +        * Implémentation du **Sender Policy Framework** (SPF) 
 +        * Enregistrements **DomainKeys Identified Mail** (DKIM) pour vérifier l'expéditeur des messages électroniques 
 +        * **Zero-configuration networking DNS-based service discovery** 
 +        * Politiques de **Domain-based Message Authentication, Reporting and Conformance**.
   * **donnée**   * **donnée**
     * La donnée de la ressource:     * La donnée de la ressource:
Ligne 603: Ligne 619:
 ===Le fichier db.fenestros.loc.hosts=== ===Le fichier db.fenestros.loc.hosts===
  
-Ce fichier doit être créé dans /var/named/data. Il est le fichier qui définit la correspondance du nom de la machine **centos.fenestros.loc** avec son numéro IP, à savoir le **10.0.2.15**. On définit dans ce fichier les machines qui doivent être appelées par leur nom :+Ce fichier doit être créé dans /var/named/data. Il est le fichier qui définit la correspondance du nom de la machine **centos7.fenestros.loc** avec son numéro IP, à savoir le **10.0.2.51**. On définit dans ce fichier les machines qui doivent être appelées par leur nom :
  
 <code> <code>
Ligne 656: Ligne 672:
 </file> </file>
  
-**Le numéro de série** doit être modifié chaque fois que le fichier soit changé. Il faut noter que dans le cas de plusieurs changements dans la même journée il est necessaire d'incrémenter les deux derniers chiffres du numéro de série. Par exemple, dans le cas de deux changements en date du 01/11/2022, le premier fichier comportera une ligne Serial avec la valeur 2022110101 tandis que le deuxième changement comportera le numéro de série 2022110102 :+**Le numéro de série** doit être modifié chaque fois que le fichier soit changé. Il faut noter que dans le cas de plusieurs changements dans la même journée il est nécessaire d'incrémenter les deux derniers chiffres du numéro de série. Par exemple, dans le cas de deux changements en date du 01/11/2022, le premier fichier comportera une ligne Serial avec la valeur 2022110101 tandis que le deuxième changement comportera le numéro de série 2022110102 :
  
 <file> <file>
Ligne 721: Ligne 737:
 ===Le fichier db.2.0.10.hosts=== ===Le fichier db.2.0.10.hosts===
  
-Ce fichier doit être créé dans /var/named/data. Il est le fichier qui définit la correspondance de l'adresse IP de la machine, à savoir le **10.0.2.51** avec le nom **centos7.fenestros.loc**. Le chiffre **51** dans la dernière ligne correspond au 10.0.2.**51**:+Ce fichier doit être créé dans /var/named/data. Il est le fichier qui définit la correspondance de l'adresse IP de la machine en utilisant un Pointer (PTR), à savoir le **10.0.2.51** avec le nom **centos7.fenestros.loc**. Le chiffre **51** dans la dernière ligne correspond au 10.0.2.**51**:
  
 <code> <code>
Ligne 729: Ligne 745:
 $TTL 3D $TTL 3D
 @       IN      SOA     centos7.fenestros.loc.        centos7.fenestros.loc. ( @       IN      SOA     centos7.fenestros.loc.        centos7.fenestros.loc. (
-                20221101001 ; Serial+                2022110101 ; Serial
                 10800   ; Refresh                 10800   ; Refresh
                 3600    ; Retry                 3600    ; Retry
Ligne 885: Ligne 901:
 **Important** - Notez l'utilisation de l'option **-x** de la commande **dig** pour tester la zone à l'envers. **Important** - Notez l'utilisation de l'option **-x** de la commande **dig** pour tester la zone à l'envers.
 </WRAP> </WRAP>
 +
 +<code>
 +[root@centos7 ~]# host ittraining.team
 +ittraining.team has address 109.228.56.52
 +ittraining.team mail is handled by 10 aspmx3.googlemail.com.
 +ittraining.team mail is handled by 5 alt2.aspmx.l.google.com.
 +ittraining.team mail is handled by 5 aspmx.l.google.com.
 +ittraining.team mail is handled by 10 mx.zoho.com.
 +ittraining.team mail is handled by 10 aspmx2.googlemail.com.
 +ittraining.team mail is handled by 1 alt1.aspmx.l.google.com.
 +</code>
  
 ====LAB #3 - L'utilitaire rndc==== ====LAB #3 - L'utilitaire rndc====
  
-L'utilitaire de bind **rndc** est utilisé pour contrôler **named** à partir de la ligne de commande. Pour des raisons de sécurité une clef partagée doit être référencée dans le fichier de configuration de bind, **/etc/named.conf**, ainsi que dans le fichier de configuration de **rndc**, **/etc/rndc.conf**.+L'utilitaire de bind **rndc** est utilisé pour contrôler **named** à partir de la ligne de commande du localhost ou bien d'un hôte distant. Pour des raisons de sécurité une clef partagée doit être référencée dans le fichier de configuration de bind, **/etc/named.conf**, ainsi que dans le fichier de configuration de **rndc**, **/etc/rndc.conf**.
  
 ===3.1 - La clef rndc=== ===3.1 - La clef rndc===
Ligne 895: Ligne 922:
  
 <code> <code>
-[root@centos6 ~]# rndc-confgen -a -c /root/rndc.key+[root@centos7 ~]# rndc-confgen -a -c /root/rndc.key
 wrote key file "/root/rndc.key" wrote key file "/root/rndc.key"
 </code> </code>
Ligne 901: Ligne 928:
 A l'examen de la clef, vous pouvez constater que son nom est **rndc-key** et que l'algorithme est **hmac-md5** : A l'examen de la clef, vous pouvez constater que son nom est **rndc-key** et que l'algorithme est **hmac-md5** :
  
-<file text rndc.key>+<code> 
 +[root@centos7 ~]# cat /root/rndc.key
 key "rndc-key" { key "rndc-key" {
- algorithm hmac-md5; +        algorithm hmac-md5; 
- secret "NuPP8qFNPZ7m0rWPPahRtA==";+        secret "F5/TtDX+IxSbyGNNAnR48Q==";
 }; };
-</file>+</code> 
 + 
 +<WRAP center round important 60%> 
 +**Important** - Notez le format de ce fichier. 
 +</WRAP>
  
 ===3.2 - Les fichiers de configuration=== ===3.2 - Les fichiers de configuration===
Ligne 912: Ligne 944:
 La clef doit être référencée dans le fichier **/etc/named.conf** : La clef doit être référencée dans le fichier **/etc/named.conf** :
  
-<file text named.conf>+<code> 
 +[root@centos7 ~]# vi /etc/named.conf 
 +[root@centos7 ~]# cat /etc/named.conf
 // //
 // named.conf // named.conf
Ligne 921: Ligne 955:
 // See /usr/share/doc/bind*/sample/ for example named configuration files. // See /usr/share/doc/bind*/sample/ for example named configuration files.
 // //
 +// See the BIND Administrator's Reference Manual (ARM) for details about the
 +// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html
  
 options { options {
- listen-on port 53 { 127.0.0.1; }; +        listen-on port 53 { 127.0.0.1; }; 
- listen-on-v6 port 53 { ::1; }; +        listen-on-v6 port 53 { ::1; }; 
- directory  "/var/named"; +        directory       "/var/named"; 
- dump-file  "/var/named/data/cache_dump.db";+        dump-file       "/var/named/data/cache_dump.db";
         statistics-file "/var/named/data/named_stats.txt";         statistics-file "/var/named/data/named_stats.txt";
         memstatistics-file "/var/named/data/named_mem_stats.txt";         memstatistics-file "/var/named/data/named_mem_stats.txt";
- allow-query {  +        recursing-file  "/var/named/data/named.recursing"; 
- localhost; +        secroots-file   "/var/named/data/named.secroots"; 
- 10.0.2.0/24; +        allow-query { 
-  }+                localhost; 
- forwarders { 10.0.2.3; }; +                10.0.2.0/24; 
- recursion yes;+        };
  
- dnssec-enable yes; +        /*  
- dnssec-validation yes; +         If you are building an AUTHORITATIVE DNS server, do NOT enable recursion. 
- dnssec-lookaside auto;+         If you are building a RECURSIVE (caching) DNS server, you need to enable  
 +           recursion.  
 +         If your recursive DNS server has a public IP address, you MUST enable access  
 +           control to limit queries to your legitimate users. Failing to do so will 
 +           cause your server to become part of large scale DNS amplification  
 +           attacks. Implementing BCP38 within your network would greatly 
 +           reduce such attack surface  
 +        */ 
 +        recursion yes;
  
- /* Path to ISC DLV key */ +        dnssec-enable yes; 
- bindkeys-file "/etc/named.iscdlv.key";+        dnssec-validation yes; 
 + 
 +        /* Path to ISC DLV key */ 
 +        bindkeys-file "/etc/named.root.key"; 
 + 
 +        managed-keys-directory "/var/named/dynamic"; 
 + 
 +        pid-file "/run/named/named.pid"; 
 +        session-keyfile "/run/named/session.key";
 }; };
  
Ligne 952: Ligne 1004:
  
 zone "." IN { zone "." IN {
- type hint; +        type hint; 
- file "named.ca";+        file "named.ca";
 }; };
  
 key "rndc-key" { key "rndc-key" {
- algorithm hmac-md5; +        algorithm hmac-md5; 
- secret "NuPP8qFNPZ7m0rWPPahRtA==";+        secret "F5/TtDX+IxSbyGNNAnR48Q==";
 }; };
  
 include "/etc/named.rfc1912.zones"; include "/etc/named.rfc1912.zones";
-</file>+include "/etc/named.root.key"; 
 +</code>
  
-Afin de dire à named d'écouter sur le port par défaut 953 pour des connexions en provenance de rndc, il est necéssaire d'utiliser une clause **controls** dans le fichier /etc/named.conf :+Afin de dire à named d'écouter sur le port par défaut 953 pour des connexions en provenance de rndc, il est nécessaire d'utiliser une clause **controls** dans le fichier /etc/named.conf :
  
-<file text named.conf>+<code> 
 +[root@centos7 ~]# vi /etc/named.conf 
 +[root@centos7 ~]# cat /etc/named.conf
 // //
 // named.conf // named.conf
Ligne 975: Ligne 1030:
 // See /usr/share/doc/bind*/sample/ for example named configuration files. // See /usr/share/doc/bind*/sample/ for example named configuration files.
 // //
 +// See the BIND Administrator's Reference Manual (ARM) for details about the
 +// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html
  
 options { options {
- listen-on port 53 { 127.0.0.1; }; +        listen-on port 53 { 127.0.0.1; }; 
- listen-on-v6 port 53 { ::1; }; +        listen-on-v6 port 53 { ::1; }; 
- directory  "/var/named"; +        directory       "/var/named"; 
- dump-file  "/var/named/data/cache_dump.db";+        dump-file       "/var/named/data/cache_dump.db";
         statistics-file "/var/named/data/named_stats.txt";         statistics-file "/var/named/data/named_stats.txt";
         memstatistics-file "/var/named/data/named_mem_stats.txt";         memstatistics-file "/var/named/data/named_mem_stats.txt";
- allow-query {  +        recursing-file  "/var/named/data/named.recursing"; 
- localhost; +        secroots-file   "/var/named/data/named.secroots"; 
- 10.0.2.0/24; +        allow-query { 
-  }+                localhost; 
- forwarders { 10.0.2.3; }; +                10.0.2.0/24; 
- recursion yes;+        };
  
- dnssec-enable yes; +        /*  
- dnssec-validation yes; +         If you are building an AUTHORITATIVE DNS server, do NOT enable recursion. 
- dnssec-lookaside auto;+         If you are building a RECURSIVE (caching) DNS server, you need to enable  
 +           recursion.  
 +         If your recursive DNS server has a public IP address, you MUST enable access  
 +           control to limit queries to your legitimate users. Failing to do so will 
 +           cause your server to become part of large scale DNS amplification  
 +           attacks. Implementing BCP38 within your network would greatly 
 +           reduce such attack surface  
 +        */ 
 +        recursion yes;
  
- /* Path to ISC DLV key */ +        dnssec-enable yes; 
- bindkeys-file "/etc/named.iscdlv.key";+        dnssec-validation yes; 
 + 
 +        /* Path to ISC DLV key */ 
 +        bindkeys-file "/etc/named.root.key"; 
 + 
 +        managed-keys-directory "/var/named/dynamic"; 
 + 
 +        pid-file "/run/named/named.pid"; 
 +        session-keyfile "/run/named/session.key";
 }; };
  
Ligne 1006: Ligne 1079:
  
 zone "." IN { zone "." IN {
- type hint; +        type hint; 
- file "named.ca";+        file "named.ca";
 }; };
  
Ligne 1015: Ligne 1088:
  
 key "rndc-key" { key "rndc-key" {
- algorithm hmac-md5; +        algorithm hmac-md5; 
- secret "NuPP8qFNPZ7m0rWPPahRtA==";+        secret "F5/TtDX+IxSbyGNNAnR48Q==";
 }; };
  
 include "/etc/named.rfc1912.zones"; include "/etc/named.rfc1912.zones";
-</file>+include "/etc/named.root.key"; 
 +</code>
  
-A ce stade, rndc ne peut pas se connecter à named :+A ce stade, rndc ne peut pas se connecter à named. La raison est le manque du fichier **/etc/rndc.conf** :
  
 <code> <code>
-[root@centos6 ~]# service named status +[root@centos7 ~]# cat /etc/rndc.conf 
-rndc: connection to remote host closed +cat: /etc/rndc.confNo such file or directory
-This may indicate that +
-* the remote server is using an older version of the command protocol, +
-* this host is not authorized to connect, +
-* the clocks are not synchronized, or +
-* the key is invalid. +
-named (pid  10806) en cours d'exécution...+
 </code> </code>
  
-La raison est le manque du fichier **/etc/rndc.conf** qui doit prendre la forme suivante :+Créez donc ce fichier :
  
-<file text rndc.conf>+<code> 
 +[root@centos7 ~]# vi /etc/rndc.conf 
 +[root@centos7 ~]# cat /etc/rndc.conf
 key "rndc-key" { key "rndc-key" {
- algorithm hmac-md5; +        algorithm hmac-md5; 
- secret "NuPP8qFNPZ7m0rWPPahRtA==";+        secret "F5/TtDX+IxSbyGNNAnR48Q==";
 }; };
  
Ligne 1047: Ligne 1117:
   default-key     "rndc-key";   default-key     "rndc-key";
 }; };
-</file>+</code>
  
 <WRAP center round important 60%> <WRAP center round important 60%>
-**Important** - Notez la présence de la section concernant la valeur de la clef et la section qui définit le serveur par défaut et la clef par défaut.Dans le cas où vous avez plusieurs serveurs à gérer à partir d'une seule instance de rndc vous pouvez inclure des clauses supplémentaires correspondantes à chaque configuration des fichiers /etc/named.conf.+**Important** - Notez la présence de la section concernant la valeur de la clef et la section qui définit le serveur par défaut et la clef par défaut. Dans le cas où vous avez plusieurs serveurs à gérer à partir d'une seule instance de rndc vous pouvez inclure des clauses supplémentaires correspondantes à chaque configuration des fichiers /etc/named.conf.
 </WRAP> </WRAP>
  
-Pour prendre en compte cette configuration, re-démarrez votre service named :+Pour prendre en compte cette configuration, re-démarrez le service named :
  
 <code> <code>
-[root@centos6 ~]# service named restart +[root@centos7 ~]# systemctl restart named 
-Arrêt de named : .                                         [  OK  ] + 
-Démarrage de named                                        OK  ]+[root@centos7 ~]# systemctl status named 
 +● named.service - Berkeley Internet Name Domain (DNS) 
 +   Loadedloaded (/usr/lib/systemd/system/named.service; enabled; vendor preset: disabled) 
 +   Active: active (running) since Wed 2022-11-02 05:47:10 CET; 8s ago 
 +  Process: 9129 ExecStop=/bin/sh -c /usr/sbin/rndc stop > /dev/null 2>&1 || /bin/kill -TERM $MAINPID (code=exited, status=0/SUCCESS) 
 +  Process: 9142 ExecStart=/usr/sbin/named -u named -c ${NAMEDCONF} $OPTIONS (code=exited, status=0/SUCCESS) 
 +  Process: 9140 ExecStartPre=/bin/bash -c if [ ! "$DISABLE_ZONE_CHECKING" == "yes" ]; then /usr/sbin/named-checkconf -z "$NAMEDCONF"; else echo "Checking of zone files is disabled"; fi (code=exited, status=0/SUCCESS) 
 + Main PID9144 (named) 
 +   CGroup: /system.slice/named.service 
 +           └─9144 /usr/sbin/named -u named -c /etc/named.conf 
 + 
 +Nov 02 05:47:10 centos7.fenestros.loc named[9144]: network unreachable resolving './DNSKEY/IN': 2001:500:9f::42#53 
 +Nov 02 05:47:10 centos7.fenestros.loc named[9144]: network unreachable resolving './NS/IN': 2001:500:9f::42#53 
 +Nov 02 05:47:10 centos7.fenestros.loc named[9144]: network unreachable resolving './DNSKEY/IN': 2001:500:2d::d#53 
 +Nov 02 05:47:10 centos7.fenestros.loc named[9144]: network unreachable resolving './NS/IN': 2001:500:2d::d#53 
 +Nov 02 05:47:10 centos7.fenestros.loc named[9144]: network unreachable resolving './DNSKEY/IN': 2001:dc3::35#53 
 +Nov 02 05:47:10 centos7.fenestros.loc named[9144]: network unreachable resolving './NS/IN': 2001:dc3::35#53 
 +Nov 02 05:47:10 centos7.fenestros.loc named[9144]: network unreachable resolving './DNSKEY/IN': 2001:500:200::b#53 
 +Nov 02 05:47:10 centos7.fenestros.loc named[9144]: network unreachable resolving './NS/IN': 2001:500:200::b#53 
 +Nov 02 05:47:10 centos7.fenestros.loc named[9144]: managed-keys-zone: Key 20326 for zone . acceptance timer complete: key now trusted 
 +Nov 02 05:47:10 centos7.fenestros.loc named[9144]: resolver priming query complete
 </code> </code>
  
Ligne 1064: Ligne 1154:
  
 <code> <code>
-[root@centos6 ~]# service named status +[root@centos7 ~]# rndc status 
-version: 9.7.3-P3-RedHat-9.7.3-8.P3.el6_2.2+WARNING: key file (/etc/rndc.key) exists, but using default configuration file (/etc/rndc.conf) 
 +version: BIND 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.10 (Extended Support Version) <id:7107deb> 
 +running on centos7.fenestros.loc: Linux x86_64 3.10.0-1160.6.1.el7.x86_64 #1 SMP Tue Nov 17 13:59:11 UTC 2020 
 +boot time: Wed, 02 Nov 2022 04:47:10 GMT 
 +last configured: Wed, 02 Nov 2022 04:47:10 GMT 
 +configuration file: /etc/named.conf
 CPUs found: 1 CPUs found: 1
 worker threads: 1 worker threads: 1
-number of zones: 21+UDP listeners per interface: 1 
 +number of zones: 105 (97 automatic)
 debug level: 0 debug level: 0
 xfers running: 0 xfers running: 0
Ligne 1074: Ligne 1170:
 soa queries in progress: 0 soa queries in progress: 0
 query logging is OFF query logging is OFF
-recursive clients: 0/0/1000 +recursive clients: 0/900/1000 
-tcp clients: 0/100+tcp clients: 2/150
 server is up and running server is up and running
-named (pid  12105) en cours d'exécution... 
 </code> </code>
- 
-<WRAP center round important 60%> 
-**Important** - Notez les lignes supplémentaires dans la sortie. 
-</WRAP> 
  
 Les options de cette commande sont : Les options de cette commande sont :
  
 <code> <code>
-[root@centos6 ~]# rndc --help+[root@centos7 ~]# rndc --help
 rndc: invalid argument -- rndc: invalid argument --
 Usage: rndc [-b address] [-c config] [-s server] [-p port] Usage: rndc [-b address] [-c config] [-s server] [-p port]
- [-k key-file ] [-y key] [-V] command+        [-k key-file ] [-y key] [-r] [-V] command
  
 command is one of the following: command is one of the following:
  
-  reload Reload configuration file and zones. +  addzone zone [class [view]] { zone-options } 
-  reload zone [class [view]] +                Add zone to given view. Requires allow-new-zones option
- Reload a single zone. +  delzone [-clean] zone [class [view]] 
-  refresh zone [class [view]] +                Removes zone from given view
- Schedule immediate maintenance for a zone. +  dnstap -reopen 
-  retransfer zone [class [view]+                Close, truncate and re-open the DNSTAP output file. 
- Retransfer single zone without checking serial number+  dnstap -roll count 
-  freeze Suspend updates to all dynamic zones.+                Close, rename and re-open the DNSTAP output file(s). 
 +  dumpdb [-all|-cache|-zones|-adb|-bad|-fail] [view ...
 +                Dump cache(s) to the dump file (named_dump.db). 
 +  flush         Flushes all of the server's caches. 
 +  flush [view]  Flushes the server's cache for view. 
 +  flushname name [view] 
 +                Flush the given name from the server's cache(s) 
 +  flushtree name [view] 
 +                Flush all names under the given name from the server's cache(s) 
 +  freeze        Suspend updates to all dynamic zones.
   freeze zone [class [view]]   freeze zone [class [view]]
- Suspend updates to a dynamic zone. +                Suspend updates to a dynamic zone. 
-  thaw Enable updates to all dynamic zones and reload them+  halt          Stop the server without saving pending updates. 
-  thaw zone [class [view]] +  halt -p       Stop the server without saving pending updates reporting 
- Enable updates to a frozen dynamic zone and reload it. +                process id.
-  notify zone [class [view]] +
- Resend NOTIFY messages for the zone. +
-  reconfig Reload configuration file and new zones only. +
-  sign zone [class [view]] +
- Update zone keys, and sign as needed.+
   loadkeys zone [class [view]]   loadkeys zone [class [view]]
- Update keys without signing immediately. +                Update keys without signing immediately. 
-  stats Write server statistics to the statistics file+  managed-keys refresh [class [view]] 
-  querylog Toggle query logging+                Check trust anchor for RFC 5011 key changes 
-  dumpdb [-all|-cache|-zones] [view ...] +  managed-keys status [class [view]] 
- Dump cache(s) to the dump file (named_dump.db).+                Display RFC 5011 managed keys information 
 +  managed-keys sync [class [view]] 
 +                Write RFC 5011 managed keys to disk 
 +  modzone zone [class [view]] { zone-options } 
 +                Modify a zone's configuration. 
 +                Requires allow-new-zones option. 
 +  notify zone [class [view]] 
 +                Resend NOTIFY messages for the zone
 +  notrace       Set debugging level to 0
 +  nta -dump 
 +                List all negative trust anchors. 
 +  nta [-lifetime duration] [-forcedomain [view
 +                Set a negative trust anchor, disabling DNSSEC validation 
 +                for the given domain. 
 +                Using -lifetime specifies the duration of the NTA, up 
 +                to one week. 
 +                Using -force prevents the NTA from expiring before its 
 +                full lifetime, even if the domain can validate sooner. 
 +  nta -remove domain [view
 +                Remove a negative trust anchor, re-enabling validation 
 +                for the given domain. 
 +  querylog [ on | off ] 
 +                Enable / disable query logging. 
 +  reconfig      Reload configuration file and new zones only. 
 +  recursing     Dump the queries that are currently recursing (named.recursing) 
 +  refresh zone [class [view]] 
 +                Schedule immediate maintenance for a zone. 
 +  reload        Reload configuration file and zones. 
 +  reload zone [class [view]] 
 +                Reload a single zone. 
 +  retransfer zone [class [view]] 
 +                Retransfer a single zone without checking serial number. 
 +  scan          Scan available network interfaces for changes.
   secroots [view ...]   secroots [view ...]
- Write security roots to the secroots file. +                Write security roots to the secroots file
-  stop Save pending updates to master files and stop the server. +  showzone zone [class [view]] 
-  stop -p Save pending updates to master files and stop the server +                Print a zone's configuration. 
- reporting process id. +  sign zone [class [view]] 
-  halt Stop the server without saving pending updates+                Update zone keys, and sign as needed. 
-  halt -p Stop the server without saving pending updates reporting +  signing -clear all zone [class [view]] 
- process id+                Remove the private records for all keys that have 
-  trace Increment debugging level by one. +                finished signing the given zone. 
-  trace level Change the debugging level. +  signing -clear <keyid>/<algorithm> zone [class [view]] 
-  notrace Set debugging level to 0. +                Remove the private record that indicating the given key 
-  flush Flushes all of the server's caches. +                has finished signing the given zone. 
-  flush [view] Flushes the server's cache for view+  signing -list zone [class [view]] 
-  flushname name [view] +                List the private records showing the state of DNSSEC 
- Flush the given name from the server's cache(s) +                signing in the given zone. 
-  status Display status of the server. +  signing -nsec3param hash flags iterations salt zone [class [view]] 
-  recursing Dump the queries that are currently recursing (named.recursing) +                Add NSEC3 chain to zone if already signed. 
-  validation newstate [view] +                Prime zone with NSEC3 chain if not yet signed. 
- Enable / disable DNSSEC validation. +  signing -nsec3param none zone [class [view]] 
-  *restart Restart the server. +                Remove NSEC3 chains from zone. 
-  addzone ["file"zone [class [view]] { zone-options } +  signing -serial <value> zone [class [view]] 
- Add zone to given view. Requires new-zone-file option. +                Set the zones's serial to <value>
-  delzone ["file"] zone [class [view]] +  stats         Write server statistics to the statistics file. 
- Removes zone from given view. Requires new-zone-file option.+  status        Display status of the server
 +  stop          Save pending updates to master files and stop the server. 
 +  stop -p       Save pending updates to master files and stop the server 
 +                reporting process id. 
 +  sync [-clean] Dump changes to all dynamic zones to disk, and optionally 
 +                remove their journal files
 +  sync [-clean] zone [class [view]] 
 +                Dump a single zone's changes to disk, and optionally 
 +                remove its journal file. 
 +  thaw          Enable updates to all dynamic zones and reload them. 
 +  thaw zone [class [view]] 
 +                Enable updates to a frozen dynamic zone and reload it
 +  trace         Increment debugging level by one. 
 +  trace level   Change the debugging level. 
 +  tsig-delete keyname [view] 
 +                Delete TKEY-negotiated TSIG key
 +  tsig-list     List all currently active TSIG keys, including both statically 
 +                configured and TKEY-negotiated keys
 +  validation [ yes | no | status ] [view] 
 +                Enable / disable DNSSEC validation. 
 +  zonestatus zone [class [view]] 
 +                Display the current status of a zone.
  
-* == not yet implemented +Version: 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.10
-Version: 9.7.3-P3-RedHat-9.7.3-8.P3.el6_2.2+
 </code> </code>
 +
 +<WRAP center round important 60%>
 +**Important** - Notez la sous-commande **reload** qui permet de recharger la configuration d'une zone spécifique sans recharger la configuration de toutes les zones.
 +</WRAP>
 +
 +=====Caractéristiques avancées de Bind=====
 +
 +====DNSSEC====
 +
 +**DNSSEC** — Abréviation de DNS SECurity, cette fonctionnalité permet aux zones d'être signées de manière cryptographique avec une clé de zone :
 +
 +  * De cette manière, les informations sur une zone spécifique peuvent être vérifiées comme provenant d'un serveur de noms qui l'a signée avec une clé privée particulière, tant que le destinataire possède la clé publique de ce serveur de noms.
 +
 +BIND version 9 prend également en charge la méthode d'authentification des messages par clé publique/privée SIG(0).
 +
 +====TSIG====
 +
 +**TSIG** — Abréviation de Transaction SIGNatures, cette fonctionnalité permet un transfert du maître vers l'esclave uniquement après avoir vérifié qu'une clé secrète partagée existe sur les deux serveurs de noms :
 +
 +  * Cette fonctionnalité renforce la méthode standard d'autorisation de transfert basée sur l'adresse IP. Un attaquant aurait non seulement besoin d'avoir accès à l'adresse IP pour transférer la zone, mais il aurait également besoin de connaître la clé secrète.
 +
 +BIND version 9 prend également en charge TKEY, qui est une autre méthode de clé secrète partagée pour autoriser les transferts de zone.
 +
 +----
 +Copyright © 2022 Hugh Norris
  

Piste : Topic 110: Security SO214 - Gestion des Services Réseau TCPv4 LRF800 - Cursus - Certification Red Hat : RH124 et RH134 Formatting Syntax DOF606 - Gestion du Réseau Overlay avec Docker en mode Swarm DOF203 - Gestion du Réseau avec Docker LCF311 - Validation de la Formation SO215 - Gestion des Serveurs de Base LCF606 - Gestion de la Sécurité RH13407 - Gestion des Machines Virtuelles avec KVM

Menu