4.7. BIND
BIND 配置中有如下主要更改:
- 默认 ACL 配置
- 在红帽企业版 Linux 5 中,默认 ACL 配置允许所有主机查询和提供递归。红帽企业版 Linux 6 默认,所有主机都可以对授权数据进行查询,但是只有来自本地网络的主机可以进行递归查询。
- 新的
allow-query-cache选项 - 为了支持这个新选项,
allow-recursion选项已经被弃用。它用来控制服务器缓存的途径,其中包括所有非授权数据(像是递归查找和 root 服务器提示)。 - Chroot 环境管理
- 用来从非 chroot 环境创建符号链接到 chroot 环境的
bind-chroot-admin脚本已经被弃用,且不再存在。然而,可以直接在 non-chroot 环境中管理配置,如果在chroot 中文件不存在,在named启动时, init 脚本自动装载需要的文件到 chroot 环境。 /var/named目录权限/var/named目录不再是可写入的。所有需要写入的区域文件(像是自动 DNS 区域,DDNS)必须放置在新的可写入目录:/var/named/dynamic。- 被移除的
dnssec [yes|no]选项 - 全局
dnssec [yes|no]选项被分成了两个新的选项:dnssec-enable和dnssec-validation。dnssec-enable选项启用了对 DNSSEC 的支持。dnssec-validation选项启用了对 DNSSEC 的验证。既然在递归服务器设置dnssec-enable到 “ no ” 意味着它不能被执行 DNSSEC 验证的其它服务器作为转发器使用。两个选项都默认被设置为 yes。 - 不需要
controls语句 - 如果您使用
rndc管理工具,则您不再需要在/etc/named.conf中指定controls状态。named服务自动允许使用回送服务的控制连接,且named和rndc使用同一个在安装过程中生成的密钥(位于/etc/rndc.key)。
在默认安装里,BIND 被安装时启用了 DNSSEC 验证,也能使用 ISC DLV 注册。这意味所有在 ISC DLV 注册里有秘钥的已签名的域 (如 gov.、se.、cz.),在递归服务器上都是通过了密码验证的。如果由于尝试缓存中毒而导致验证失败,那么终端用户将不会被赋予这个伪造数据。红帽企业版 Linux 6 完全支持DNSSEC 部署。对于终端用户,DNSSEC 是使网络更加安全的重要一步,因此它被广泛执行。正如之前提到的,DNSSEC 验证是被
/etc/named.conf 中的 dnssec-validation 选项控制的。
