Date: Tue, 29 May 2018 17:32:05 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r51745 - head/de_DE.ISO8859-1/books/handbook/network-servers Message-ID: <201805291732.w4THW5YW057664@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Tue May 29 17:32:05 2018 New Revision: 51745 URL: https://svnweb.freebsd.org/changeset/doc/51745 Log: Update to r51739: handbook: remove information about BIND for FreeBSD 9 and older There is no supported version of FreeBSD that still includes BIND in case. Modified: head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Tue May 29 17:07:50 2018 (r51744) +++ head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Tue May 29 17:32:05 2018 (r51745) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/network-servers/chapter.xml,v 1.103 2011/12/24 15:51:18 bcr Exp $ - basiert auf: r51406 + basiert auf: r51739 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" @@ -3138,23 +3138,6 @@ dhcpd_ifaces="dc0"</programlisting> Für einfache <acronym>DNS</acronym>-Anfragen wird auf dem lokalen System kein Nameserver benötigt.</para> - <indexterm><primary>BIND</primary></indexterm> - - <para>In &os; 10 wurde Berkeley Internet Name Domain - (<acronym>BIND</acronym>) aus dem Basissystem entfernt und - durch Unbound ersetzt. Unbound ist für die lokale - Namensauflösung zuständig. In der Ports-Sammlung ist - <acronym>BIND</acronym> immer noch als - <package>dns/bind99</package> und - <package>dns/bind98</package> verfügbar und in &os; 9 und - älteren Versionen ist <acronym>BIND</acronym> im Basissystem - enthalten. Die Version in &os; bietet erweiterte - Sicherheitsfunktionen, ein neues Dateisystem-Layout und eine - automatisierte &man.chroot.8; Konfiguration. - <acronym>BIND</acronym> wird betreut vom <link - xlink:href="https://www.isc.org/">Internet Systems - Consortium</link>.</para> - <indexterm><primary>Resolver</primary></indexterm> <indexterm> <primary>Reverse-<acronym>DNS</acronym></primary> @@ -3195,13 +3178,6 @@ dhcpd_ifaces="dc0"</programlisting> </row> <row> - <entry><application>named</application>, BIND</entry> - - <entry>Gebräuchliche Namen für das unter &os; verwendete - BIND-Nameserverpaket.</entry> - </row> - - <row> <entry>Resolver</entry> <entry>Ein Systemprozess, durch den ein Rechner @@ -3338,16 +3314,8 @@ dhcpd_ifaces="dc0"</programlisting> </sect2> <sect2> - <title><acronym>DNS</acronym>-Server Konfiguration in &os; 10.0 - und neueren Versionen</title> + <title><acronym>DNS</acronym>-Server Konfiguration</title> - <para>In &os; 10.0 wurde <application>BIND</application> durch - <application>Unbound</application> ersetzt. - <application>Unbound</application> ist lediglich ein - validierender und cachender Resolver. Wenn ein autoritativer - Server benötigt wird, stehen einige in der Ports-Sammlung zur - Verfügung.</para> - <para><application>Unbound</application> ist im Basissystem von &os; enthalten. In der Voreinstellung bietet es nur die <acronym>DNS</acronym>-Auflösung auf dem lokalen Rechner. @@ -3415,1301 +3383,6 @@ freebsd.org. (A) |---. (DNSKEY keytag: 40926 alg: 8 flags: 256) |---. (DNSKEY keytag: 19036 alg: 8 flags: 257) ;; Chase successful</screen> - </sect2> - - <sect2> - <title><acronym>DNS</acronym>-Server Konfiguration in &os; - 9.<replaceable>X</replaceable></title> - - <important> - <para>Dieses Kapitel gilt nur für &os; 9 und ältere Versionen. - <application>BIND9</application> ist seit &os; 10 nicht mehr - Bestandteil des Basissystems, wo es durch - <application>unbound</application> ersetzt wurde.</para> - </important> - - <para>Unter &os; wird der BIND-Daemon als - <application>named</application> bezeichnet.</para> - - <informaltable frame="none" pgwide="1"> - <tgroup cols="2"> - <thead> - <row> - <entry>Datei</entry> - - <entry>Beschreibung</entry> - </row> - </thead> - - <tbody> - <row> - <entry><application>named</application></entry> - - <entry>Der BIND-Daemon.</entry> - </row> - - <row> - <entry>&man.rndc.8;</entry> - - <entry>Das Steuerprogramm für - <application>named</application>.</entry> - </row> - - <row> - <entry><filename>/etc/namedb</filename></entry> - - <entry>Das Verzeichnis, in dem sich die - Zoneninformationen für BIND befinden.</entry> - </row> - - <row> - <entry><filename>/etc/namedb/named.conf</filename></entry> - - <entry>Die Konfigurationsdatei für - <application>named</application>.</entry> - </row> - </tbody> - </tgroup> - </informaltable> - - <para>Je nachdem, wie eine Zone auf dem Server konfiguriert - wurde, finden sich die zur Zone gehörendenden Dateien in den - Unterverzeichnissen <filename>master</filename>, - <filename>slave</filename>, oder <filename>dynamic</filename> - des Verzeichnisses <filename>/etc/namedb</filename>. Diese - Dateien enthalten die <acronym>DNS</acronym>-Informationen, - die der Nameserver für die Beantwortung von Anfragen - benötigt.</para> - - <sect3> - <title>BIND starten</title> - - <indexterm> - <primary>BIND</primary> - <secondary>Start</secondary> - </indexterm> - - <para>Da BIND automatisch installiert wird, ist die - Konfiguration relativ einfach.</para> - - <para>In der Voreinstellung wird ein in einer - &man.chroot.8;-Umgebung betriebener - <application>named</application>-Server zur einfachen - Namensauflösung eingerichtet, der nur im lokalen - IPv4-Loopback-Adressbereich (127.0.0.1) lauscht. Um den - Server manuell zu starten, verwenden Sie den folgenden - Befehl:</para> - - <screen>&prompt.root; <userinput>service named onestart</userinput></screen> - - <para>Um den <application>named</application>-Daemon beim - Systemstart automatisch zu starten, fügen Sie folgende - Zeile in <filename>/etc/rc.conf</filename> ein:</para> - - <programlisting>named_enable="YES"</programlisting> - - <para><filename>/etc/namedb/named.conf</filename> bietet - zahlreiche Konfigurationsoptionen, die in diesem Dokument - nicht alle beschrieben werden können. Weitere Startoptionen - von <application>named</application> unter &os; finden Sie - in den - <literal>named_<replaceable>*</replaceable></literal>-Flags - in <filename>/etc/defaults/rc.conf</filename> sowie in - &man.rc.conf.5;. Zusätzliche Informationen finden Sie im - <xref linkend="configtuning-rcd"/>.</para> - </sect3> - - <sect3> - <title>Konfigurationsdateien</title> - - <indexterm> - <primary>BIND</primary> - <secondary>Konfigurationsdateien</secondary> - </indexterm> - - <para>Die Konfigurationsdateien von - <application>named</application> finden sich unter - <filename>/etc/namedb</filename> und müssen - in der Regel an Ihre Bedürfnisse angepasst werden. Es sei - denn, Sie benötigen nur einen einfachen Resolver. Ein - Großteil der Konfigurationsarbeiten erfolgt dabei in - diesem Verzeichnis.</para> - - <sect4> - <title><filename>/etc/namedb/named.conf</filename></title> - - <programlisting>// <phrase its:translate="no">$FreeBSD$</phrase> -// -// Refer to the named.conf(5) and named(8) man pages, and the documentation -// in /usr/share/doc/bind9 for more details. -// -// If you are going to set up an authoritative server, make sure you -// understand the hairy details of how DNS works. Even with -// simple mistakes, you can break connectivity for affected parties, -// or cause huge amounts of useless Internet traffic. - -options { -// All file and path names are relative to the chroot directory, -// if any, and should be fully qualified. - directory "/etc/namedb/working"; - pid-file "/var/run/named/pid"; - dump-file "/var/dump/named_dump.db"; - statistics-file "/var/stats/named.stats"; - -// If named is being used only as a local resolver, this is a safe default. -// For named to be accessible to the network, comment this option, specify -// the proper IP address, or delete this option. - listen-on { 127.0.0.1; }; - -// If you have IPv6 enabled on this system, uncomment this option for -// use as a local resolver. To give access to the network, specify -// an IPv6 address, or the keyword "any". -// listen-on-v6 { ::1; }; - -// These zones are already covered by the empty zones listed below. -// If you remove the related empty zones below, comment these lines out. - disable-empty-zone "255.255.255.255.IN-ADDR.ARPA"; - disable-empty-zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA"; - disable-empty-zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA"; - -// If you've got a DNS server around at your upstream provider, enter -// its IP address here, and enable the line below. This will make you -// benefit from its cache, thus reduce overall DNS traffic in the Internet. -/* - forwarders { - 127.0.0.1; - }; -*/ - -// If the 'forwarders' clause is not empty the default is to 'forward first' -// which will fall back to sending a query from your local server if the name -// servers in 'forwarders' do not have the answer. Alternatively you can -// force your name server to never initiate queries of its own by enabling the -// following line: -// forward only; - -// If you wish to have forwarding configured automatically based on -// the entries in /etc/resolv.conf, uncomment the following line and -// set named_auto_forward=yes in /etc/rc.conf. You can also enable -// named_auto_forward_only (the effect of which is described above). -// include "/etc/namedb/auto_forward.conf";</programlisting> - - <para>Um vom Cache Ihres Internetproviders zu profitieren, - können hier <literal>forwarders</literal> aktiviert - werden. Normalerweise sucht ein Nameserver das Internet - rekursiv ab, bis er die gesuchte Antwort findet. Durch - diese Option wird stets der Nameserver des - Internetproviders zuerst abgefragt, um von dessen - Cache zu profitieren. Wenn es sich um einen schnellen, - viel benutzten Nameserver handelt, kann dies zu einer - Geschwindigkeitssteigerung führen.</para> - - <warning> - <para><systemitem class="ipaddress">127.0.0.1</systemitem> - funktioniert hier <emphasis>nicht</emphasis>. Ändern - Sie diese Adresse in einen Nameserver des - Einwahlproviders.</para> - </warning> - - <programlisting> /* - Modern versions of BIND use a random UDP port for each outgoing - query by default in order to dramatically reduce the possibility - of cache poisoning. All users are strongly encouraged to utilize - this feature, and to configure their firewalls to accommodate it. - - AS A LAST RESORT in order to get around a restrictive firewall - policy you can try enabling the option below. Use of this option - will significantly reduce your ability to withstand cache poisoning - attacks, and should be avoided if at all possible. - - Replace NNNNN in the example with a number between 49160 and 65530. - */ - // query-source address * port NNNNN; -}; - -// If you enable a local name server, don't forget to enter 127.0.0.1 -// first in your /etc/resolv.conf so this server will be queried. -// Also, make sure to enable it in /etc/rc.conf. - -// The traditional root hints mechanism. Use this, OR the slave zones below. -zone "." { type hint; file "/etc/namedb/named.root"; }; - -/* Slaving the following zones from the root name servers has some - significant advantages: - 1. Faster local resolution for your users - 2. No spurious traffic will be sent from your network to the roots - 3. Greater resilience to any potential root server failure/DDoS - - On the other hand, this method requires more monitoring than the - hints file to be sure that an unexpected failure mode has not - incapacitated your server. Name servers that are serving a lot - of clients will benefit more from this approach than individual - hosts. Use with caution. - - To use this mechanism, uncomment the entries below, and comment - the hint zone above. - - As documented at http://dns.icann.org/services/axfr/ these zones: - "." (the root), ARPA, IN-ADDR.ARPA, IP6.ARPA, and ROOT-SERVERS.NET - are availble for AXFR from these servers on IPv4 and IPv6: - xfr.lax.dns.icann.org, xfr.cjr.dns.icann.org -*/ -/* -zone "." { - type slave; - file "/etc/namedb/slave/root.slave"; - masters { - 192.5.5.241; // F.ROOT-SERVERS.NET. - }; - notify no; -}; -zone "arpa" { - type slave; - file "/etc/namedb/slave/arpa.slave"; - masters { - 192.5.5.241; // F.ROOT-SERVERS.NET. - }; - notify no; -}; -*/ - -/* Serving the following zones locally will prevent any queries - for these zones leaving your network and going to the root - name servers. This has two significant advantages: - 1. Faster local resolution for your users - 2. No spurious traffic will be sent from your network to the roots -*/ -// RFCs 1912 and 5735 (and BCP 32 for localhost) -zone "localhost" { type master; file "/etc/namedb/master/localhost-forward.db"; }; -zone "127.in-addr.arpa" { type master; file "/etc/namedb/master/localhost-reverse.db"; }; -zone "255.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// RFC 1912-style zone for IPv6 localhost address -zone "0.ip6.arpa" { type master; file "/etc/namedb/master/localhost-reverse.db"; }; - -// "This" Network (RFCs 1912 and 5735) -zone "0.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// Private Use Networks (RFCs 1918 and 5735) -zone "10.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "16.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "17.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "18.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "19.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "20.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "21.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "22.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "23.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "24.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "25.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "26.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "27.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "28.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "29.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "30.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "31.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "168.192.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// Link-local/APIPA (RFCs 3927 and 5735) -zone "254.169.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IETF protocol assignments (RFCs 5735 and 5736) -zone "0.0.192.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// TEST-NET-[1-3] for Documentation (RFCs 5735 and 5737) -zone "2.0.192.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "100.51.198.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "113.0.203.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IPv6 Range for Documentation (RFC 3849) -zone "8.b.d.0.1.0.0.2.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - - -// Domain Names for Documentation and Testing (BCP 32) -zone "test" { type master; file "/etc/namedb/master/empty.db"; }; -zone "example" { type master; file "/etc/namedb/master/empty.db"; }; -zone "invalid" { type master; file "/etc/namedb/master/empty.db"; }; -zone "example.com" { type master; file "/etc/namedb/master/empty.db"; }; -zone "example.net" { type master; file "/etc/namedb/master/empty.db"; }; -zone "example.org" { type master; file "/etc/namedb/master/empty.db"; }; - - -// Router Benchmark Testing (RFCs 2544 and 5735) -zone "18.198.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "19.198.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IANA Reserved - Old Class E Space (RFC 5735) -zone "240.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "241.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "242.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "243.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "244.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "245.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "246.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "247.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "248.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "249.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "250.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "251.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "252.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "253.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "254.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IPv6 Unassigned Addresses (RFC 4291) -zone "1.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "3.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "4.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "5.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "6.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "7.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "8.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "9.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "a.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "b.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "c.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "d.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "e.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "0.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "1.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "2.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "3.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "4.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "5.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "6.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "7.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "8.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "9.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "a.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "b.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "0.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "1.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "2.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "3.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "4.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "5.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "6.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "7.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IPv6 ULA (RFC 4193) -zone "c.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "d.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IPv6 Link Local (RFC 4291) -zone "8.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "9.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "a.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "b.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IPv6 Deprecated Site-Local Addresses (RFC 3879) -zone "c.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "d.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "e.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "f.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IP6.INT is Deprecated (RFC 4159) -zone "ip6.int" { type master; file "/etc/namedb/master/empty.db"; }; - -// NB: Do not use the IP addresses below, they are faked, and only -// serve demonstration/documentation purposes! -// -// Example slave zone config entries. It can be convenient to become -// a slave at least for the zone your own domain is in. Ask -// your network administrator for the IP address of the responsible -// master name server. -// -// Do not forget to include the reverse lookup zone! -// This is named after the first bytes of the IP address, in reverse -// order, with ".IN-ADDR.ARPA" appended, or ".IP6.ARPA" for IPv6. -// -// Before starting to set up a master zone, make sure you fully -// understand how DNS and BIND work. There are sometimes -// non-obvious pitfalls. Setting up a slave zone is usually simpler. -// -// NB: Don't blindly enable the examples below. :-) Use actual names -// and addresses instead. - -/* An example dynamic zone -key "exampleorgkey" { - algorithm hmac-md5; - secret "sf87HJqjkqh8ac87a02lla=="; -}; -zone "example.org" { - type master; - allow-update { - key "exampleorgkey"; - }; - file "/etc/named/dynamic/example.org"; -}; -*/ - -/* Example of a slave reverse zone -zone "1.168.192.in-addr.arpa" { - type slave; - file "/etc/namedb/slave/1.168.192.in-addr.arpa"; - masters { - 192.168.1.1; - }; -}; -*/</programlisting> - - <para>Hierbei handelt es sich um Slave-Einträge für - eine Reverse- und Forward-DNS-Zone, die in der Datei - <filename>named.conf</filename> definiert sind.</para> - - <para>Für jede neue Zone muss ein zusätzlicher Eintrag - in <filename>named.conf</filename> erstellt werden.</para> - - <para>Ein einfacher Eintrag für eine Zone <systemitem - class="fqdomainname">example.org</systemitem> könnte - beispielsweise so aussehen:</para> - - <programlisting>zone "example.org" { - type master; - file "master/example.org"; -};</programlisting> - - <para>Die Option <option>type</option> legt fest, dass es - sich um eine Master-Zone handelt, deren Zoneninformationen - sich in der Datei - <filename>/etc/namedb/master/example.org</filename> - befinden. Diese Datei wird durch die Option - <option>file</option> festgelegt.</para> - - <programlisting>zone "example.org" { - type slave; - file "slave/example.org"; -};</programlisting> - - <para>Hier handelt es sich um einen Slaveserver, der seine - Informationen vom Masterserver der betreffenden Zone - bezieht und diese in der angegebenen Datei speichert. - Wenn der Masterserver nicht erreichbar ist, verfügt der - Slaveserver über die transferierten Zoneninformationen - und kann diese an andere Rechner weitergeben.</para> - </sect4> - - <sect4> - <title>Zonendateien</title> - - <indexterm> - <primary>BIND</primary> - <secondary>Zonendatei</secondary> - </indexterm> - - <para>Die in der Datei - <filename>/etc/namedb/master/example.org</filename> - definierte Zonendatei für <systemitem - class="fqdomainname">example.org</systemitem> könnte - etwa so aussehen:</para> - - <programlisting>$TTL 3600 ; 1 hour default TTL -example.org. IN SOA ns1.example.org. admin.example.org. ( - 2006051501 ; Serial - 10800 ; Refresh - 3600 ; Retry - 604800 ; Expire - 300 ; Negative Response TTL - ) - -; DNS Servers - IN NS ns1.example.org. - IN NS ns2.example.org. - -; MX Records - IN MX 10 mx.example.org. - IN MX 20 mail.example.org. - - IN A 192.168.1.1 - -; Machine Names -localhost IN A 127.0.0.1 -ns1 IN A 192.168.1.2 -ns2 IN A 192.168.1.3 -mx IN A 192.168.1.4 -mail IN A 192.168.1.5 - -; Aliases -www IN CNAME example.org.</programlisting> - - <para>Beachten Sie, dass jeder mit einem <quote>.</quote> - endende Rechnername ein exakter Rechnername ist, während - sich alles ohne einen abschließenden <quote>.</quote> - relativ auf den Ursprung bezieht. <literal>ns1</literal> - steht daher beispielsweise für - <literal>ns1.<replaceable>example.org.</replaceable></literal>.</para> - - <para>Eine Zonendatei hat folgenden Aufbau:</para> - - <programlisting>recordname IN recordtype value</programlisting> - - <indexterm> - <primary><acronym>DNS</acronym></primary> - <secondary>Einträge</secondary> - </indexterm> - - <para>Die am häufigsten verwendeten - <acronym>DNS</acronym>-Einträge sind:</para> - - <variablelist> - <varlistentry> - <term>SOA</term> - - <listitem> - <para>Start der Zonenautorität</para> - </listitem> - </varlistentry> - - <varlistentry> - <term>NS</term> - - <listitem> - <para>Ein autoritativer Nameserver</para> - </listitem> - </varlistentry> - - <varlistentry> - <term>A</term> - - <listitem><para>Eine Rechneradresse</para></listitem> - </varlistentry> - - <varlistentry> - <term>CNAME</term> - - <listitem> - <para>Der kanonische Name eines Alias</para> - </listitem> - </varlistentry> - - <varlistentry> - <term>MX</term> - - <listitem><para>Mail Exchanger</para></listitem> - </varlistentry> - - <varlistentry> - <term>PTR</term> - - <listitem> - <para>Ein (bei Reverse-DNS verwendeter) Domain Name - Pointer</para> - </listitem> - </varlistentry> - </variablelist> - - <programlisting>example.org. IN SOA ns1.example.org. admin.example.org. ( - 2006051501 ; Serial - 10800 ; Refresh after 3 hours - 3600 ; Retry after 1 hour - 604800 ; Expire after 1 week - 300 ) ; Negative Response TTL</programlisting> - - <variablelist> - <varlistentry> - <term><systemitem - class="fqdomainname">example.org.</systemitem></term> - - <listitem> - <para>Der Name der Domäne und damit der Ursprung - dieser Zonendatei.</para> - </listitem> - </varlistentry> - - <varlistentry> - <term><systemitem - class="fqdomainname">ns1.example.org.</systemitem></term> - - <listitem> - <para>Der primäre/autoritative Nameserver - dieser Zone.</para> - </listitem> - </varlistentry> - - <varlistentry> - <term><literal>admin.example.org.</literal></term> - - <listitem> - <para>Die für diese Zone verantwortliche - Person. Das Zeichen <quote>@</quote> wird dabei - ersetzt (<email>admin@example.org</email> wird also - zu <literal>admin.example.org</literal>).</para> - </listitem> - </varlistentry> - - <varlistentry> - <term><literal>2006051501</literal></term> - - <listitem> - <para>Die Seriennummer der Datei. Sie muss - stets inkrementiert werden, wenn die Zonendatei - geändert wird. Viele Administratoren bevorzugen - ein <literal>JJJJMMTTRR</literal>-Format, um die - Seriennummer festzulegen. - <literal>2006051501</literal> steht also für - den 15.05.2006, die beiden letzten Stellen für die - erste Modifikation der Zonendatei an diesem Tag. - Die Seriennummer ist von großer Bedeutung, da - Slaveserver daran eine aktualisierte Zonendatei - erkennen können.</para> - </listitem> - </varlistentry> - </variablelist> - - <programlisting> IN NS ns1.example.org.</programlisting> - - <para>Ein NS-Eintrag. Jeder Nameserver, der für eine Zone - verantwortlich ist, muss über einen solchen Eintrag - verfügen.</para> - - <programlisting>localhost IN A 127.0.0.1 -ns1 IN A 192.168.1.2 -ns2 IN A 192.168.1.3 -mx IN A 192.168.1.4 -mail IN A 192.168.1.5</programlisting> - - <para>Der Eintrag <literal>A</literal> bezieht sich auf - Rechnernamen. <systemitem - class="fqdomainname">ns1.example.org</systemitem> würde - also zu <systemitem - class="ipaddress">192.168.1.2</systemitem> aufgelöst - werden.</para> - - <programlisting> IN A 192.168.1.1</programlisting> - - <para>Diese Zeile weist die <acronym>IP</acronym>-Adresse - <systemitem class="ipaddress">192.168.1.1</systemitem> dem - aktuellen Ursprung, in diesem Fall also <systemitem - class="fqdomainname">example.org</systemitem>, - zu.</para> - - <programlisting>www IN CNAME @</programlisting> - - <para>Der Eintrag für den kanonischen Namen wird dazu - verwendet, Aliase für einen Rechner zu vergeben. Im - Beispiel ist <systemitem>www</systemitem> ein Alias für - den <quote>Master</quote>-Rechner, dessen Name dem - Domainnamen <systemitem - class="fqdomainname">example.org</systemitem> (oder - <systemitem class="ipaddress">192.168.1.1</systemitem>) - entspricht. CNAMEs können daher niemals gleichzeitig mit - einem anderen Eintrag für denselben Hostname eingerichtet - werden.</para> - - <indexterm> - <primary>MX-Eintrag</primary> - </indexterm> - - <programlisting> IN MX 10 mail.example.org.</programlisting> - - <para>Der MX-Eintrag legt fest, welcher Mailserver für - eintreffende Mails der Zone verantwortlich ist. - <systemitem - class="fqdomainname">mail.example.org</systemitem> ist - der Rechnername des Mailservers, der eine Priorität von 10 - hat.</para> - - <para>Es können auch mehrere Mailserver mit verschiedener - Priorität (10, 20, ...) vorhanden sein. Ein Mailserver, - der eine Mail an <systemitem - class="fqdomainname">example.org</systemitem> - verschicken will, verwendet zuerst den MX mit der höchsten - Priorität (das heißt den mit der niedrigsten - Prioritätsnummer), danach den mit der nächsthöheren - Priorität. Und dies solange, bis die E-Mail zugestellt - werden kann.</para> - - <para>Für (bei Reverse-DNS verwendete) - <literal>in-addr.arpa</literal>-Zonendateien wird das - gleiche Format verwendet. Der einzige Unterschied besteht - in der Verwendung der Option PTR an Stelle der Optionen A - und CNAME.</para> - - <programlisting>$TTL 3600 - -1.168.192.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. ( - 2006051501 ; Serial - 10800 ; Refresh - 3600 ; Retry - 604800 ; Expire - 300 ) ; Negative Response TTL - - IN NS ns1.example.org. - IN NS ns2.example.org. - -1 IN PTR example.org. -2 IN PTR ns1.example.org. -3 IN PTR ns2.example.org. -4 IN PTR mx.example.org. -5 IN PTR mail.example.org.</programlisting> - - <para>Durch diese Datei werden den Rechnernamen der fiktiven - Domäne <acronym>IP</acronym>-Adressen zugewiesen.</para> - - <para>Beachten Sie bitte, dass es sich bei allen Namen auf - der rechten Seite eines PTR-Eintrags um absolute - (<emphasis>fully qualified</emphasis>) Domainnamen handeln - muss, die mit <quote>.</quote> enden.</para> - </sect4> - </sect3> - - <sect3> - <title>Zwischenspeichernde (cachende) Nameserver</title> - - <indexterm> - <primary>BIND</primary> - <secondary>Zwischenspeichernde Nameserver</secondary> - </indexterm> - - <para>Ein cachender Nameserver hat primär die Aufgabe, - rekursive Abfragen aufzulösen. Er stellt lediglich - eigene Anfragen und speichert deren Ergebnisse ab.</para> - </sect3> - - <sect3> - <title><acronym role="Doman Name Security Extensions"> - DNSSEC</acronym></title> - - <indexterm> - <primary>BIND</primary> - <secondary><acronym>DNS</acronym> security - extensions</secondary> - </indexterm> - - <para>Domain Name System Security Extensions, oder kurz - <acronym - role="Domain Name Security Extensions">DNSSEC</acronym>, - ist eine Sammlung von Spezifikationen, um auflösende - Nameserver von gefälschten <acronym>DNS</acronym>-Daten, wie - beispielsweise vorgetäuschte - <acronym>DNS</acronym>-Einträge, zu schützen. Durch die - Verwendung von digitalen Signaturen kann ein Resolver die - Integrität des Eintrages überprüfen. Wichtig dabei ist, - dass <acronym - role="Domain Name Security Extensions">DNSSEC</acronym> - nur die Integrität über digital signierte Resource Records - (<acronym role="Resource Record">RR</acronym>) - bereitstellt. Weder wird die Vertraulichkeit noch der - Schutz vor falschen Annahmen des Endbenutzers - sichergestellt. Dies bedeutet, dass es Benutzer nicht davor - schützen kann, zu <systemitem - class="fqdomainname">example.net</systemitem> anstatt zu - <systemitem class="fqdomainname">example.com</systemitem> zu - gelangen. Das einzige, was <acronym>DNSSEC</acronym> tut, - ist die Authentifizierung, dass die Daten während der - Übertragung nicht verändert wurden. Die Sicherheit von - <acronym>DNS</acronym> ist ein wichtiger Schritt in der - generellen Absicherung des Internets. Für weitere, - tiefergehende Details über die Funktionsweise von - <acronym>DNSSEC</acronym> sind die dazugehörigen - <acronym>RFC</acronym>s ein guter Einstieg in die Thematik. - Sehen Sie sich dazu die Liste in <xref linkend="dns-read"/> - an.</para> - - <para>Der folgende Abschnitt wird zeigen, wie man - <acronym>DNSSEC</acronym> für einen autoritativen - <acronym>DNS</acronym>-Server und einen rekursiven (oder - cachenden) <acronym>DNS</acronym>-Server, der jeweils - <acronym>BIND</acronym> 9 verwenden, einrichten kann. - Obwohl alle Versionen von <acronym>BIND</acronym> 9 - <acronym>DNSSEC</acronym> unterstützen, ist es notwendig, - mindestens die Version 9.6.2 zu verwenden, um in der Lage zu - sein, die signierten Root-Zonen zu benutzen, wenn - <acronym>DNS</acronym>-Abfragen geprüft werden. Der Grund - dafür ist, dass früheren Versionen die Algorithmen fehlen, - um die Überprüfung des Root-Zonenschlüssels zu aktivieren. - Es wird dringend empfohlen, die letzte Version von - <acronym>BIND</acronym> 9.7 oder höher einzusetzen, um von - den Vorteilen der automatischen Schlüsselaktualisierung des - Root-Zonenschlüssels Gebrauch zu machen, genauso wie andere - Eigenschaften, um automatisch Zonen signieren zu lassen und - Signaturen aktuell zu halten. Unterschiede zwischen den - Versionen 9.6.2 und 9.7 und höher werden an den betreffenden - Stellen angesprochen.</para> - - <sect4> - <title>Rekursive <acronym>DNS</acronym>-Server - Konfiguration</title> - - <para>Die Aktivierung der - <acronym>DNSSEC</acronym>-Überprüfung von Anfragen, die - von einem rekursiven <acronym>DNS</acronym>-Server - stammen, benötigt ein paar Änderungen in der - <filename>named.conf</filename>. Bevor man jedoch diese - Änderungen durchführt, muss der Root-Zonenschlüssel oder - Vertrauensanker erworben werden. Momentan ist der - Root-Zonenschlüssel nicht in einem Dateiformat verfügbar, - dass von <acronym>BIND</acronym> benutzt werden kann, so - dass dieser manuell in das richtige Format konvertiert - werden muss. Der Schlüssel selbst kann durch Abfrage an - die Root-Zone erhalten werden, indem man dazu - <application>dig</application> verwendet. Durch Aufruf - von:</para> - - <screen>&prompt.user; <userinput>dig +multi +noall +answer DNSKEY . > root.dnskey</userinput></screen> - - <para>wird der Schlüssel in <filename>root.dnskey</filename> - abgelegt. Der Inhalt sollte so ähnlich wie folgt - aussehen:</para> - - <programlisting>. 93910 IN DNSKEY 257 3 8 ( - AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ - bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh - /RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA - JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp - oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3 - LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO - Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc - LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= - ) ; key id = 19036 -. 93910 IN DNSKEY 256 3 8 ( - AwEAAcaGQEA+OJmOzfzVfoYN249JId7gx+OZMbxy69Hf - UyuGBbRN0+HuTOpBxxBCkNOL+EJB9qJxt+0FEY6ZUVjE - g58sRr4ZQ6Iu6b1xTBKgc193zUARk4mmQ/PPGxn7Cn5V - EGJ/1h6dNaiXuRHwR+7oWh7DnzkIJChcTqlFrXDW3tjt -) ; key id = 34525</programlisting> - - <para>Seien Sie nicht alarmiert, wenn der von Ihnen bezogene - Schlüssel anders als in diesem Beispiel aussieht. Diese - könnten sich in der Zwischenzeit geändert haben. In - dieser Ausgabe sind eigentlich zwei Schlüssel enthalten. - Der erste Schüssel mit dem Wert 257 nach dem - DNSKEY-Eintrag ist derjenige, der benötigt wird. Der Wert - zeigt an, dass es sich um einen sicheren Einstiegspunkt - (<acronym role="Secure Entry Point">SEP</acronym>), gemein - auch als Schlüsselsignierungsschlüssel (<acronym - role="Key Signing Key">KSK</acronym>) bekannt, handelt. - Der zweite Schüssel mit dem Wert 256 ist der - untergeordnete Schlüssel, im allgemeinen auch als - Zonen-Signaturschlüssel (<acronym - role="Zone Signing Key">ZSK</acronym>) bezeichnet. - Weitere Schlüsselarten werden später in <xref - linkend="dns-dnssec-auth"/> erläutert.</para> - - <para>Nun muss der Schlüssel verifiziert und so formatiert - werden, dass <acronym>BIND</acronym> diesen verwenden - kann. Um den Schlüssel zu verifizieren, erzeugen Sie - einen <acronym role="Delegation Signer">DS</acronym> - <acronym role="Resource Record">RR</acronym>-Satz. - Erstellen Sie eine Datei, welche die <acronym - role="Resource Record">RR</acronym>s enthält, - mittels:</para> - - <screen>&prompt.user; <userinput>dnssec-dsfromkey -f root.dnskey . > root.ds</userinput></screen> - - <para>Diese Einträge verwenden SHA-1 sowie SHA-256 und - sollten ähnlich zu folgendem Beispiel aussehen, in dem - der längere, SHA-256, benutzt wird.</para> - - <programlisting>. IN DS 19036 8 1 B256BD09DC8DD59F0E0F0D8541B8328DD986DF6E -. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</programlisting> - - <para>Der SHA-256 <acronym>RR</acronym> kann nun mit dem - Abriss in <link - xlink:href="https://data.iana.org/root-anchors/root-anchors.xml"> - https://data.iana.org/root-anchors/root-anchors.xml</link> - verglichen werden. Um absolut sicher zu sein, dass der - Schlüssel nicht zusammen mit den - <acronym>XML</acronym>-Daten verändert wurde, sollte die - Datei mit einer passenden <acronym>PGP</acronym>-Signatur - überprüft werden.</para> - - <para>Als nächstes muss der Schlüssel in das passende Format - gebracht werden. Dies unterscheidet sich ein bisschen von - den <acronym>BIND</acronym> Versionen 9.6.2 und 9.7 und - höhere. In Version 9.7 wurde die Ünterstützung zur - automatischen Verfolgung und notwendigen Aktualisierung - von Änderungen am Schlüssel eingebaut. Dies wird durch - den Einsatz von <literal>managed-keys</literal> erreicht, - wie in dem Beispiel unten gezeigt ist. Wenn die ältere - Version eingesetzt wird, kann der Schlüssel durch eine - <literal>trusted-keys</literal>-Anweisung eingebaut werden - und die Aktualisierung muss händisch erfolgen. In - <acronym>BIND</acronym> 9.6.2 sollte das Format - folgendermaßen aussehen:</para> - - <programlisting>trusted-keys { - "." 257 3 8 - "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF - FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX - bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD - X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz - W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS - Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq - QxA+Uk1ihz0="; -};</programlisting> - - <para>In 9.7 wird das Format stattdessen wie folgt - aussehen:</para> - - <programlisting>managed-keys { - "." initial-key 257 3 8 - "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF *** DIFF OUTPUT TRUNCATED AT 1000 LINES ***
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201805291732.w4THW5YW057664>