• Быстрый переход
  • Рубрики
  • Свежие записи
  • Метки
  • Архивы
  • Реклама 1
  • Реклама 2
  • Рейтинг@Mail.ru

    Добро пожаловать! Ваш IP-адрес: ec2-54-158-214-111.compute-1.amazonaws.com

    DNS Server

    Bindgraph – утилита для построения графиков количества запросов к DNS-серверу BIND

    Bindgraph - утилита для построения графиков количества запросов к DNS-серверу BIND. Bindgraph был создан на основе пакета mailgraph. Пакет создает графики для:

    • за последний час
    • дневной график недельный график
    • месячный график
    • годичный график

    Для начала необходимо, чтобы Bind вел логирование запросов. Решается это добавлением в named.conf такого блока:

    channel queries {
    file "/log/queries" versions 2 size 10m;
    print-time yes;
    print-category yes;
    print-severity yes;
    };

    category queries { queries; };

    Если настраивали Bind по этой статье, то все в порядке, иначе проверьте, ведется ли логирование запросов.

    Полный путь к файлу логов будет /var/named/log/queries. Ротация выполняется автоматически средствами Bind, по достижении 10 мегабайт.

    Выполним непосредственно установку bindgraph:
    # cd /usr/ports/dns/bindgraph && make install clean && rehash

    Кстати, по завершению установки bindgraph предупреждает о необходимости ведения логгирования:
    To get bindgraph working, you have to set querylog for bind. An example
    named.conf will be

    logging {
    channel "querylog" {
    file "/var/log/query.log" versions 50 size 20m;
    print-time yes;
    };
    category queries { querylog; };
    };

    Make sure BINDGRAPH_USER (default www) can read this log file.

    Подробнее...

    Настройка BIND в режиме кэширующего DNS сервера с использованием DNSSEC

    Для начала заставим BIND проверять полученные с определенной зоны данные, в результате клиенты которые будут использовать этот DNS сервер, будут защищены от подмены. Примеры буду показывать на основе Ubuntu. Устанавливаем BIND.
    $ sudo apt-get install bind9

    При самостоятельной сборке BIND необходимо активировать флаг “--with-openssl”.
    После установки в /etc/bind/named.conf (в Ubuntu секция options вынесена в named.conf.options) добавляем следующие параметры:

    options {
    dnssec-enable yes; # активируется поддержка DNSSEC
    dnssec-validation yes; # включается только для неавторитативного сервера
    };

    Далее необходимо сконфигурировать доверенные якоря (trust anchor) для тех зон/доменов, которые будут проверяться. Узнать нужный публичный ключ можно разными способами. Самый простой получить при помощи dig из DNS (как это показано выше), но в этом случае нужно четко знать, что ключ принадлежит именно тому, кому нужно. Проверить затем полученный ключ можно зайдя на один из сайтов зоны. Сегодня также доступны специальные сервисы в которых администраторы размещают trust anchor своих доменов [9]. Далее заносим анкоры в файл в секцию trusted-keys файла named.conf:

    Подробнее...