4.6. BIND
La configuration de BIND a subie quelques modifications majeures :
- Configuration ACL par défaut - dans Red Hat Enterprise Linux 5, la configuration ACL par défaut autorisait les requêtes et offrait une récursion pour tous les hôtes. Par défaut dans Red Hat Enterprise Linux 6, tous les hôtes peuvent effectuer des requêtes de données faisant autorité mais seuls les hôtes d'un réseau local peuvent effectuer des requêtes récursives.
- Nouvelle option
allow-query-cache
- l'optionallow-recursion
a été rendue obsolète en faveur de cette option. Elle est utilisée pour contrôler l'accès aux caches du serveur, qui incluent les données ne faisant pas autorité (comme les recherches récursives et les indices de nom de serveur racine). - Gestion de l'environnement Chroot - le script
bind-chroot-admin
, qui était utilisé pour créer des symlinks depuis un environnement non-chroot vers un environnement chroot, est maintenant obsolète et n'existe plus. Au lieu de cela, la configuration peut maintenant être directement gérée dans un environnement non-chroot et les scripts init montent automatiquement les fichiers nécessaires à l'environnement chroot pendant le démarragenamed
dans le cas où les fichiers ne seraient pas déjà présents dans le chroot. - Permissions du répertoire
/var/named
- le répertoire/var/named
N,est plus inscriptible. Tous les fichiers de zones qui nécessitent d'être inscriptibles (comme les zones DNS dynamiques, DDNS) doivent être placés dans le nouveau répertoire inscriptible :/var/named/dynamic
. - L'option
dnssec [yes|no]
n'existe plus - les options globalesdnssec [yes|no]
ont été divisées en deux nouvelles options :dnssec-enable
etdnssec-validation
. L'optiondnssec-enable
active le support DNSSEC. L'optiondnssec-validation
active la validation DNSSEC . Remarquez que définirdnssec-enable
sur "no" sur un serveur récursif signifiw qu'il ne pourra pas être utilisé comme redirecteur par un autre serveur effectuant une validation DNSSEC. Ces deux options sont réglées sur "yes" par défaut. - Il n'est plus nécessaire de spécifier l'état de
controls
dans/etc/named.conf
si vous utilisez l'utilitaire de gestionrndc
. Le servicenamed
autorise automatiquement les connexions de contrôle via le périphérique de bouclage (loopback device) etnamed
etrndc
utilisent la même clé secrète générée lors de l'installation (située dans/etc/rndc.key
).
Dans une installation par défaut, BIND est installé avec la validation DNSSEC activée et utilise le registre DLV ISC. Ceci signifie que tous les domaines signés (tel que gov., se., cz.) possédant leur clé dans le registre DLV ISC seront validés par chiffrement sur le serveur récursif. Si, dû à des tentatives d'empoisonnement du cache, la validation échoue, alors l'utilisateur final ne se verra pas remettre ces données forgées/usurpées. Le déploiement DNSSEC est une fonction qui est maintenant largement implémentée, est une étape importante pour rendre l'internet plus sécurisé pour ses utilisateurs, et est entièrement pris en charge dans Red Hat Enterprise Linux 6. Comme mentionné auparavant, la validation DNSSEC est contrôlée avec l'option
dnssec-validation
dans /etc/named.conf
.