Zapoznaj się z działaniem komendy dig analizując poniższe zapytania:
# dig [-h]
# dig @ns1.fizyka.umk.pl -t any fizyka.umk.pl
# dig -t any fizyka.umk.pl
# dig fizyka.umk.pl any
# dig fizyka.umk.pl soa +[no]multiline
# dig fizyka.umk.pl mx
# dig fizyka.umk.pl txt
# dig mail.fizyka.umk.pl a
# dig mail.fizyka.umk.pl a +[no]recurse
# dig mail.fizyka.umk.pl a +trace
# dig fizyka.umk.pl +nssearch
# dig fizyka.umk.pl +nostats
# dig fizyka.umk.pl +[no]question +[no]answer
# dig -x 158.75.5.90
# dig 90.5.75.158.in-addr.arpa. ptr
# dig com +trace +multiline
# dig fizyka.umk.pl soa rp.pl mx
# dig www.fizyka.umk.pl a +noall +answer
W celu zainstalowania i uruchomienia buforującego serwera DNS zainstaluj pakiety bind
(wraz z zależnościami), uruchom serwer (systemctl start named) i sprawdź poprawność
jego działania.
Czy trzeba zmienić konfigurację resolwera, żeby lokalne procesy mogły korzystać z lokalnego serwera named?
Czy serwer buforujący jest dostępny dla innych hostów w sieci lokalnej
(ss -nlup | grep named)?
Jak należy zmodyfikować konfigurację serwera DNS, żeby był widoczny w sieci lokalnej?
Jak należy zmodyfikować konfigurację serwera DNS, żeby odpowiadał na zapytania rekurencyjne hostów w lokalnej sieci?
Jak można obserwować działanie serwera named (sprawdź konfigurację rezolwera)?
Konsola 1:
# rndc status
# rndc querylog
# rndc trace 5
# journalctl -xb -f -u named
Konsola 2:
# dig @localhost www.umk.pl a
# dig @localhost www.ibm.com a +trace
Załóżmy, że usługa named została uruchomiona na maszynie centos7-1, ale chcemy nią
zarządzać z maszyny centos7-2. Można się przekonać, że komenda rndc -s
192.168.142.1 status generuje komunikat rndc: neither /etc/rndc.conf nor
/etc/rndc.key was found.
Na maszynie centos7-1 wykonaj następujące czynności:
dodaj do /etc/named.conf poniższe wiersze (wszystkie średniki są ważne!):
scp /etc/rndc.keys centos7-2:/root/
Na maszynie centos7-2 sprawdź działanie komendy rndc -s 192.168.142.1 -k /root/rndc.keys status.
Przekształć serwer buforujący w serwer DNS dla domeny labul.pl. Wykorzystaj pliki konfiguracyjne z archiwum http://jkob.fizyka.umk.pl/labul/dns/labul-pl.tgz. Jeśli taki serwer zostanie uruchomiony na maszynie 192.168.142.i, to musi być dostępny w sieci lokalnej i być widoczny pod nazwą ns-i.labul.pl. Serwer musi mieć zdefiniowane rekordy A i PTR dla hostów centos7-j.labul.pl, gdzie j=1..i-1, i+1..9. Nazwa centos7-i musi być aliasem do ns-i.
Jeśli usługa named jest uruchomiona np. na maszynie centos7-5, to rekord SOA, NS oraz rekordy A wyglądają następująco (m.in.zwróć uwagę na wartość pola TTL):
labul.pl. rname.invalid. 47 10800 900 604800 10800
ns-5.labul.pl.
centos7-1.labul.pl. 300 IN A 192.168.142.1
centos7-2.labul.pl. 300 IN A 192.168.142.2
centos7-3.labul.pl. 300 IN A 192.168.142.3
centos7-4.labul.pl. 300 IN A 192.168.142.4
centos7-5.labul.pl. 300 IN CNAME ns-5.labul.pl.
centos7-6.labul.pl. 300 IN A 192.168.142.6
centos7-7.labul.pl. 300 IN A 192.168.142.7
centos7-8.labul.pl. 300 IN A 192.168.142.8
centos7-9.labul.pl. 300 IN A 192.168.142.9
1.142.168.192.in-addr.arpa. 300 IN PTR centos7-1.labul.pl.
2.142.168.192.in-addr.arpa. 300 IN PTR centos7-2.labul.pl.
3.142.168.192.in-addr.arpa. 300 IN PTR centos7-3.labul.pl.
4.142.168.192.in-addr.arpa. 300 IN PTR centos7-4.labul.pl.
5.142.168.192.in-addr.arpa. 300 IN PTR ns-5.labul.pl.
6.142.168.192.in-addr.arpa. 300 IN PTR centos7-6.labul.pl.
7.142.168.192.in-addr.arpa. 300 IN PTR centos7-7.labul.pl.
8.142.168.192.in-addr.arpa. 300 IN PTR centos7-8.labul.pl.
9.142.168.192.in-addr.arpa. 300 IN PTR centos7-9.labul.pl.
Sprawdź wyniki działania komend:
dig @localhost 142.168.192.in-addr.arpa. soa
dig @localhost 2.142.168.192.in-addr.arpa. ptr
dig @localhost -x 192.168.142.2 ptr
Wykonaj poniższe komendy i określ, które z serwerów wspierają DNSSEC:
# dig @localhost dnssec-failed.org a +dnssec
# dig @ns1.fizyka.umk.pl dnssec-failed.org a +dnssec
# dig @158.75.1.4 dnssec-failed.org a +dnssec
# dig @8.8.8.8 dnssec-failed.org a +dnssec
W celu podniesienia poziomy bezpieczeństwa całego systemu operacyjnego, można uruchomić usługę named w specjalnie przygotowanym podkatalogu /var/named/chroot. Zainstaluj pakiet bind-chroot (wraz z zależnościami), przeanalizuj zawartość katalogu /var/named/chroot, a następnie uruchom usługę named-chroot i sprawdź jej działanie.