4.6. BIND
Sono presenti numerose modifiche nella configurazione di BIND:
- Configurazione ACL predefinita - in Red Hat Enterprise Linux 5 la configurazione ACL predefinita permetteva l'uso delle interrogazioni ed offriva impostazioni ricorsive per tutti gli host. Per default in Red Hat Enterprise Linux 6 tutti gli host possono eseguire una interrogazione per dati autoritari, ma solo gli host della rete locale sono in grado di eseguire interrogazioni ricorsive.
- Nuova opzione
allow-query-cache
- l'opzioneallow-recursion
è stata deprecata a favore di questa opzione. Essa viene usata per controllare l'accesso alle cache dei server, il quale include tutti i dati non autoritari (come ad esempio lookup ricorsivi e suggerimenti del nameserver di root). - Gestione ambiente di chroot - lo script
bind-chroot-admin
usato per creare i link simbolici da un ambiente non chroot ad uno chroot è deprecato e non esiste più. Al suo posto la configurazione può essere gestita direttamente in un ambiente non chroot e gli init script sono in grado di montare automaticamente i file necessari durante l'avvio dinamed
nel caso in cui i file non siano presenti in chroot. - Permessi della directory
/var/named
- La directory/var/named
non è più scrivibile. Tutte le zone scrivibili (ad esempio le zone dinamiche DNS, DDNS) dovranno essere posizionate nella nuova directory:/var/named/dynamic
. - L'opzione
dnssec [yes|no]
non esiste più - L'opzione globalednssec [yes|no]
è stata suddivisa in due nuove opzioni:dnssec-enable
ednssec-validation
. L'opzionednssec-enable
abilita il supporto DNSSEC, mentre l'opzionednssec-validation
abilita la convalida DNSSEC. Da notare che l'impostazione didnssec-enable
su "no" sul server ricorsivo significa che non potrà essere usato come tramite per l'inoltro da parte di un altro server che esegue la convalida DNSSEC. Entrambe le opzioni sono impostate su si (yes) per impostazione predefinita. - Non è più necessario specificare l'istruzione
controls
in/etc/named.conf
se utilizzate l'utilità di gestionerndc
. Il servizionamed
permette automaticamente il controllo dei collegamenti tramite il dispositivo di loopback ed entrambinamed
erndc
usano la stessa chiave segreta generata durante l'installazione (posizionata in/etc/rndc.key
).
In una installazione predefinita BIND viene installato con la convalida DNSSEC abilitata ed utilizza ISC DLV register. Ciò significa che tutti i domini firmati (come ad esempio gov., se., cz.), che presentano le proprie chiavi in ISC DLV register, sono convalidati crittograficamente su di un server ricorsivo. Se la convalida fallisce a causa di vari tentativi di cache poisoning, allora l'utente finale non riceverà questi dati contraffatti. L'implementazione di DNSSEC è una funzione molto diffusa e rappresenta una fase molto importante nel rendere internet più sicuro per gli utenti finali, ed è completamente supportato in Red Hat Enterprise Linux 6. Come precedentemente indicato la convalida DNSSEC è controllata con l'opzione
dnssec-validation
in /etc/named.conf
.