From 860b57233b0133c5e83359687b2fdf16be835c5d Mon Sep 17 00:00:00 2001 From: Bjoern Heidotting <bhd@FreeBSD.org> Date: Tue, 29 May 2018 17:32:05 +0000 Subject: [PATCH] Update to r51739: handbook: remove information about BIND for FreeBSD 9 and older There is no supported version of FreeBSD that still includes BIND in case. --- .../handbook/network-servers/chapter.xml | 1331 +---------------- 1 file changed, 2 insertions(+), 1329 deletions(-) diff --git a/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml b/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml index 32cafef2a9..3bb2988a24 100644 --- a/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml +++ b/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/network-servers/chapter.xml,v 1.103 2011/12/24 15:51:18 bcr Exp $ - basiert auf: r51406 + basiert auf: r51739 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" @@ -3138,23 +3138,6 @@ dhcpd_ifaces="dc0"</programlisting> F�r einfache <acronym>DNS</acronym>-Anfragen wird auf dem lokalen System kein Nameserver ben�tigt.</para> - <indexterm><primary>BIND</primary></indexterm> - - <para>In &os; 10 wurde Berkeley Internet Name Domain - (<acronym>BIND</acronym>) aus dem Basissystem entfernt und - durch Unbound ersetzt. Unbound ist f�r die lokale - Namensaufl�sung zust�ndig. In der Ports-Sammlung ist - <acronym>BIND</acronym> immer noch als - <package>dns/bind99</package> und - <package>dns/bind98</package> verf�gbar und in &os; 9 und - �lteren Versionen ist <acronym>BIND</acronym> im Basissystem - enthalten. Die Version in &os; bietet erweiterte - Sicherheitsfunktionen, ein neues Dateisystem-Layout und eine - automatisierte &man.chroot.8; Konfiguration. - <acronym>BIND</acronym> wird betreut vom <link - xlink:href="https://www.isc.org/">Internet Systems - Consortium</link>.</para> - <indexterm><primary>Resolver</primary></indexterm> <indexterm> <primary>Reverse-<acronym>DNS</acronym></primary> @@ -3194,13 +3177,6 @@ dhcpd_ifaces="dc0"</programlisting> Dom�ne.</entry> </row> - <row> - <entry><application>named</application>, BIND</entry> - - <entry>Gebr�uchliche Namen f�r das unter &os; verwendete - BIND-Nameserverpaket.</entry> - </row> - <row> <entry>Resolver</entry> @@ -3338,15 +3314,7 @@ dhcpd_ifaces="dc0"</programlisting> </sect2> <sect2> - <title><acronym>DNS</acronym>-Server Konfiguration in &os; 10.0 - und neueren Versionen</title> - - <para>In &os; 10.0 wurde <application>BIND</application> durch - <application>Unbound</application> ersetzt. - <application>Unbound</application> ist lediglich ein - validierender und cachender Resolver. Wenn ein autoritativer - Server ben�tigt wird, stehen einige in der Ports-Sammlung zur - Verf�gung.</para> + <title><acronym>DNS</acronym>-Server Konfiguration</title> <para><application>Unbound</application> ist im Basissystem von &os; enthalten. In der Voreinstellung bietet es nur die @@ -3416,1301 +3384,6 @@ freebsd.org. (A) |---. (DNSKEY keytag: 19036 alg: 8 flags: 257) ;; Chase successful</screen> </sect2> - - <sect2> - <title><acronym>DNS</acronym>-Server Konfiguration in &os; - 9.<replaceable>X</replaceable></title> - - <important> - <para>Dieses Kapitel gilt nur f�r &os; 9 und �ltere Versionen. - <application>BIND9</application> ist seit &os; 10 nicht mehr - Bestandteil des Basissystems, wo es durch - <application>unbound</application> ersetzt wurde.</para> - </important> - - <para>Unter &os; wird der BIND-Daemon als - <application>named</application> bezeichnet.</para> - - <informaltable frame="none" pgwide="1"> - <tgroup cols="2"> - <thead> - <row> - <entry>Datei</entry> - - <entry>Beschreibung</entry> - </row> - </thead> - - <tbody> - <row> - <entry><application>named</application></entry> - - <entry>Der BIND-Daemon.</entry> - </row> - - <row> - <entry>&man.rndc.8;</entry> - - <entry>Das Steuerprogramm f�r - <application>named</application>.</entry> - </row> - - <row> - <entry><filename>/etc/namedb</filename></entry> - - <entry>Das Verzeichnis, in dem sich die - Zoneninformationen f�r BIND befinden.</entry> - </row> - - <row> - <entry><filename>/etc/namedb/named.conf</filename></entry> - - <entry>Die Konfigurationsdatei f�r - <application>named</application>.</entry> - </row> - </tbody> - </tgroup> - </informaltable> - - <para>Je nachdem, wie eine Zone auf dem Server konfiguriert - wurde, finden sich die zur Zone geh�rendenden Dateien in den - Unterverzeichnissen <filename>master</filename>, - <filename>slave</filename>, oder <filename>dynamic</filename> - des Verzeichnisses <filename>/etc/namedb</filename>. Diese - Dateien enthalten die <acronym>DNS</acronym>-Informationen, - die der Nameserver f�r die Beantwortung von Anfragen - ben�tigt.</para> - - <sect3> - <title>BIND starten</title> - - <indexterm> - <primary>BIND</primary> - <secondary>Start</secondary> - </indexterm> - - <para>Da BIND automatisch installiert wird, ist die - Konfiguration relativ einfach.</para> - - <para>In der Voreinstellung wird ein in einer - &man.chroot.8;-Umgebung betriebener - <application>named</application>-Server zur einfachen - Namensaufl�sung eingerichtet, der nur im lokalen - IPv4-Loopback-Adressbereich (127.0.0.1) lauscht. Um den - Server manuell zu starten, verwenden Sie den folgenden - Befehl:</para> - - <screen>&prompt.root; <userinput>service named onestart</userinput></screen> - - <para>Um den <application>named</application>-Daemon beim - Systemstart automatisch zu starten, f�gen Sie folgende - Zeile in <filename>/etc/rc.conf</filename> ein:</para> - - <programlisting>named_enable="YES"</programlisting> - - <para><filename>/etc/namedb/named.conf</filename> bietet - zahlreiche Konfigurationsoptionen, die in diesem Dokument - nicht alle beschrieben werden k�nnen. Weitere Startoptionen - von <application>named</application> unter &os; finden Sie - in den - <literal>named_<replaceable>*</replaceable></literal>-Flags - in <filename>/etc/defaults/rc.conf</filename> sowie in - &man.rc.conf.5;. Zus�tzliche Informationen finden Sie im - <xref linkend="configtuning-rcd"/>.</para> - </sect3> - - <sect3> - <title>Konfigurationsdateien</title> - - <indexterm> - <primary>BIND</primary> - <secondary>Konfigurationsdateien</secondary> - </indexterm> - - <para>Die Konfigurationsdateien von - <application>named</application> finden sich unter - <filename>/etc/namedb</filename> und m�ssen - in der Regel an Ihre Bed�rfnisse angepasst werden. Es sei - denn, Sie ben�tigen nur einen einfachen Resolver. Ein - Gro�teil der Konfigurationsarbeiten erfolgt dabei in - diesem Verzeichnis.</para> - - <sect4> - <title><filename>/etc/namedb/named.conf</filename></title> - - <programlisting>// <phrase its:translate="no">$FreeBSD$</phrase> -// -// Refer to the named.conf(5) and named(8) man pages, and the documentation -// in /usr/share/doc/bind9 for more details. -// -// If you are going to set up an authoritative server, make sure you -// understand the hairy details of how DNS works. Even with -// simple mistakes, you can break connectivity for affected parties, -// or cause huge amounts of useless Internet traffic. - -options { -// All file and path names are relative to the chroot directory, -// if any, and should be fully qualified. - directory "/etc/namedb/working"; - pid-file "/var/run/named/pid"; - dump-file "/var/dump/named_dump.db"; - statistics-file "/var/stats/named.stats"; - -// If named is being used only as a local resolver, this is a safe default. -// For named to be accessible to the network, comment this option, specify -// the proper IP address, or delete this option. - listen-on { 127.0.0.1; }; - -// If you have IPv6 enabled on this system, uncomment this option for -// use as a local resolver. To give access to the network, specify -// an IPv6 address, or the keyword "any". -// listen-on-v6 { ::1; }; - -// These zones are already covered by the empty zones listed below. -// If you remove the related empty zones below, comment these lines out. - disable-empty-zone "255.255.255.255.IN-ADDR.ARPA"; - disable-empty-zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA"; - disable-empty-zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA"; - -// If you've got a DNS server around at your upstream provider, enter -// its IP address here, and enable the line below. This will make you -// benefit from its cache, thus reduce overall DNS traffic in the Internet. -/* - forwarders { - 127.0.0.1; - }; -*/ - -// If the 'forwarders' clause is not empty the default is to 'forward first' -// which will fall back to sending a query from your local server if the name -// servers in 'forwarders' do not have the answer. Alternatively you can -// force your name server to never initiate queries of its own by enabling the -// following line: -// forward only; - -// If you wish to have forwarding configured automatically based on -// the entries in /etc/resolv.conf, uncomment the following line and -// set named_auto_forward=yes in /etc/rc.conf. You can also enable -// named_auto_forward_only (the effect of which is described above). -// include "/etc/namedb/auto_forward.conf";</programlisting> - - <para>Um vom Cache Ihres Internetproviders zu profitieren, - k�nnen hier <literal>forwarders</literal> aktiviert - werden. Normalerweise sucht ein Nameserver das Internet - rekursiv ab, bis er die gesuchte Antwort findet. Durch - diese Option wird stets der Nameserver des - Internetproviders zuerst abgefragt, um von dessen - Cache zu profitieren. Wenn es sich um einen schnellen, - viel benutzten Nameserver handelt, kann dies zu einer - Geschwindigkeitssteigerung f�hren.</para> - - <warning> - <para><systemitem class="ipaddress">127.0.0.1</systemitem> - funktioniert hier <emphasis>nicht</emphasis>. �ndern - Sie diese Adresse in einen Nameserver des - Einwahlproviders.</para> - </warning> - - <programlisting> /* - Modern versions of BIND use a random UDP port for each outgoing - query by default in order to dramatically reduce the possibility - of cache poisoning. All users are strongly encouraged to utilize - this feature, and to configure their firewalls to accommodate it. - - AS A LAST RESORT in order to get around a restrictive firewall - policy you can try enabling the option below. Use of this option - will significantly reduce your ability to withstand cache poisoning - attacks, and should be avoided if at all possible. - - Replace NNNNN in the example with a number between 49160 and 65530. - */ - // query-source address * port NNNNN; -}; - -// If you enable a local name server, don't forget to enter 127.0.0.1 -// first in your /etc/resolv.conf so this server will be queried. -// Also, make sure to enable it in /etc/rc.conf. - -// The traditional root hints mechanism. Use this, OR the slave zones below. -zone "." { type hint; file "/etc/namedb/named.root"; }; - -/* Slaving the following zones from the root name servers has some - significant advantages: - 1. Faster local resolution for your users - 2. No spurious traffic will be sent from your network to the roots - 3. Greater resilience to any potential root server failure/DDoS - - On the other hand, this method requires more monitoring than the - hints file to be sure that an unexpected failure mode has not - incapacitated your server. Name servers that are serving a lot - of clients will benefit more from this approach than individual - hosts. Use with caution. - - To use this mechanism, uncomment the entries below, and comment - the hint zone above. - - As documented at http://dns.icann.org/services/axfr/ these zones: - "." (the root), ARPA, IN-ADDR.ARPA, IP6.ARPA, and ROOT-SERVERS.NET - are availble for AXFR from these servers on IPv4 and IPv6: - xfr.lax.dns.icann.org, xfr.cjr.dns.icann.org -*/ -/* -zone "." { - type slave; - file "/etc/namedb/slave/root.slave"; - masters { - 192.5.5.241; // F.ROOT-SERVERS.NET. - }; - notify no; -}; -zone "arpa" { - type slave; - file "/etc/namedb/slave/arpa.slave"; - masters { - 192.5.5.241; // F.ROOT-SERVERS.NET. - }; - notify no; -}; -*/ - -/* Serving the following zones locally will prevent any queries - for these zones leaving your network and going to the root - name servers. This has two significant advantages: - 1. Faster local resolution for your users - 2. No spurious traffic will be sent from your network to the roots -*/ -// RFCs 1912 and 5735 (and BCP 32 for localhost) -zone "localhost" { type master; file "/etc/namedb/master/localhost-forward.db"; }; -zone "127.in-addr.arpa" { type master; file "/etc/namedb/master/localhost-reverse.db"; }; -zone "255.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// RFC 1912-style zone for IPv6 localhost address -zone "0.ip6.arpa" { type master; file "/etc/namedb/master/localhost-reverse.db"; }; - -// "This" Network (RFCs 1912 and 5735) -zone "0.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// Private Use Networks (RFCs 1918 and 5735) -zone "10.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "16.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "17.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "18.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "19.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "20.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "21.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "22.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "23.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "24.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "25.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "26.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "27.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "28.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "29.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "30.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "31.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "168.192.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// Link-local/APIPA (RFCs 3927 and 5735) -zone "254.169.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IETF protocol assignments (RFCs 5735 and 5736) -zone "0.0.192.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// TEST-NET-[1-3] for Documentation (RFCs 5735 and 5737) -zone "2.0.192.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "100.51.198.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "113.0.203.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IPv6 Range for Documentation (RFC 3849) -zone "8.b.d.0.1.0.0.2.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - - -// Domain Names for Documentation and Testing (BCP 32) -zone "test" { type master; file "/etc/namedb/master/empty.db"; }; -zone "example" { type master; file "/etc/namedb/master/empty.db"; }; -zone "invalid" { type master; file "/etc/namedb/master/empty.db"; }; -zone "example.com" { type master; file "/etc/namedb/master/empty.db"; }; -zone "example.net" { type master; file "/etc/namedb/master/empty.db"; }; -zone "example.org" { type master; file "/etc/namedb/master/empty.db"; }; - - -// Router Benchmark Testing (RFCs 2544 and 5735) -zone "18.198.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "19.198.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IANA Reserved - Old Class E Space (RFC 5735) -zone "240.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "241.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "242.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "243.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "244.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "245.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "246.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "247.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "248.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "249.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "250.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "251.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "252.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "253.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "254.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IPv6 Unassigned Addresses (RFC 4291) -zone "1.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "3.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "4.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "5.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "6.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "7.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "8.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "9.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "a.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "b.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "c.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "d.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "e.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "0.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "1.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "2.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "3.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "4.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "5.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "6.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "7.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "8.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "9.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "a.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "b.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "0.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "1.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "2.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "3.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "4.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "5.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "6.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "7.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IPv6 ULA (RFC 4193) -zone "c.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "d.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IPv6 Link Local (RFC 4291) -zone "8.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "9.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "a.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "b.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IPv6 Deprecated Site-Local Addresses (RFC 3879) -zone "c.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "d.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "e.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; -zone "f.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; }; - -// IP6.INT is Deprecated (RFC 4159) -zone "ip6.int" { type master; file "/etc/namedb/master/empty.db"; }; - -// NB: Do not use the IP addresses below, they are faked, and only -// serve demonstration/documentation purposes! -// -// Example slave zone config entries. It can be convenient to become -// a slave at least for the zone your own domain is in. Ask -// your network administrator for the IP address of the responsible -// master name server. -// -// Do not forget to include the reverse lookup zone! -// This is named after the first bytes of the IP address, in reverse -// order, with ".IN-ADDR.ARPA" appended, or ".IP6.ARPA" for IPv6. -// -// Before starting to set up a master zone, make sure you fully -// understand how DNS and BIND work. There are sometimes -// non-obvious pitfalls. Setting up a slave zone is usually simpler. -// -// NB: Don't blindly enable the examples below. :-) Use actual names -// and addresses instead. - -/* An example dynamic zone -key "exampleorgkey" { - algorithm hmac-md5; - secret "sf87HJqjkqh8ac87a02lla=="; -}; -zone "example.org" { - type master; - allow-update { - key "exampleorgkey"; - }; - file "/etc/named/dynamic/example.org"; -}; -*/ - -/* Example of a slave reverse zone -zone "1.168.192.in-addr.arpa" { - type slave; - file "/etc/namedb/slave/1.168.192.in-addr.arpa"; - masters { - 192.168.1.1; - }; -}; -*/</programlisting> - - <para>Hierbei handelt es sich um Slave-Eintr�ge f�r - eine Reverse- und Forward-DNS-Zone, die in der Datei - <filename>named.conf</filename> definiert sind.</para> - - <para>F�r jede neue Zone muss ein zus�tzlicher Eintrag - in <filename>named.conf</filename> erstellt werden.</para> - - <para>Ein einfacher Eintrag f�r eine Zone <systemitem - class="fqdomainname">example.org</systemitem> k�nnte - beispielsweise so aussehen:</para> - - <programlisting>zone "example.org" { - type master; - file "master/example.org"; -};</programlisting> - - <para>Die Option <option>type</option> legt fest, dass es - sich um eine Master-Zone handelt, deren Zoneninformationen - sich in der Datei - <filename>/etc/namedb/master/example.org</filename> - befinden. Diese Datei wird durch die Option - <option>file</option> festgelegt.</para> - - <programlisting>zone "example.org" { - type slave; - file "slave/example.org"; -};</programlisting> - - <para>Hier handelt es sich um einen Slaveserver, der seine - Informationen vom Masterserver der betreffenden Zone - bezieht und diese in der angegebenen Datei speichert. - Wenn der Masterserver nicht erreichbar ist, verf�gt der - Slaveserver �ber die transferierten Zoneninformationen - und kann diese an andere Rechner weitergeben.</para> - </sect4> - - <sect4> - <title>Zonendateien</title> - - <indexterm> - <primary>BIND</primary> - <secondary>Zonendatei</secondary> - </indexterm> - - <para>Die in der Datei - <filename>/etc/namedb/master/example.org</filename> - definierte Zonendatei f�r <systemitem - class="fqdomainname">example.org</systemitem> k�nnte - etwa so aussehen:</para> - - <programlisting>$TTL 3600 ; 1 hour default TTL -example.org. IN SOA ns1.example.org. admin.example.org. ( - 2006051501 ; Serial - 10800 ; Refresh - 3600 ; Retry - 604800 ; Expire - 300 ; Negative Response TTL - ) - -; DNS Servers - IN NS ns1.example.org. - IN NS ns2.example.org. - -; MX Records - IN MX 10 mx.example.org. - IN MX 20 mail.example.org. - - IN A 192.168.1.1 - -; Machine Names -localhost IN A 127.0.0.1 -ns1 IN A 192.168.1.2 -ns2 IN A 192.168.1.3 -mx IN A 192.168.1.4 -mail IN A 192.168.1.5 - -; Aliases -www IN CNAME example.org.</programlisting> - - <para>Beachten Sie, dass jeder mit einem <quote>.</quote> - endende Rechnername ein exakter Rechnername ist, w�hrend - sich alles ohne einen abschlie�enden <quote>.</quote> - relativ auf den Ursprung bezieht. <literal>ns1</literal> - steht daher beispielsweise f�r - <literal>ns1.<replaceable>example.org.</replaceable></literal>.</para> - - <para>Eine Zonendatei hat folgenden Aufbau:</para> - - <programlisting>recordname IN recordtype value</programlisting> - - <indexterm> - <primary><acronym>DNS</acronym></primary> - <secondary>Eintr�ge</secondary> - </indexterm> - - <para>Die am h�ufigsten verwendeten - <acronym>DNS</acronym>-Eintr�ge sind:</para> - - <variablelist> - <varlistentry> - <term>SOA</term> - - <listitem> - <para>Start der Zonenautorit�t</para> - </listitem> - </varlistentry> - - <varlistentry> - <term>NS</term> - - <listitem> - <para>Ein autoritativer Nameserver</para> - </listitem> - </varlistentry> - - <varlistentry> - <term>A</term> - - <listitem><para>Eine Rechneradresse</para></listitem> - </varlistentry> - - <varlistentry> - <term>CNAME</term> - - <listitem> - <para>Der kanonische Name eines Alias</para> - </listitem> - </varlistentry> - - <varlistentry> - <term>MX</term> - - <listitem><para>Mail Exchanger</para></listitem> - </varlistentry> - - <varlistentry> - <term>PTR</term> - - <listitem> - <para>Ein (bei Reverse-DNS verwendeter) Domain Name - Pointer</para> - </listitem> - </varlistentry> - </variablelist> - - <programlisting>example.org. IN SOA ns1.example.org. admin.example.org. ( - 2006051501 ; Serial - 10800 ; Refresh after 3 hours - 3600 ; Retry after 1 hour - 604800 ; Expire after 1 week - 300 ) ; Negative Response TTL</programlisting> - - <variablelist> - <varlistentry> - <term><systemitem - class="fqdomainname">example.org.</systemitem></term> - - <listitem> - <para>Der Name der Dom�ne und damit der Ursprung - dieser Zonendatei.</para> - </listitem> - </varlistentry> - - <varlistentry> - <term><systemitem - class="fqdomainname">ns1.example.org.</systemitem></term> - - <listitem> - <para>Der prim�re/autoritative Nameserver - dieser Zone.</para> - </listitem> - </varlistentry> - - <varlistentry> - <term><literal>admin.example.org.</literal></term> - - <listitem> - <para>Die f�r diese Zone verantwortliche - Person. Das Zeichen <quote>@</quote> wird dabei - ersetzt (<email>admin@example.org</email> wird also - zu <literal>admin.example.org</literal>).</para> - </listitem> - </varlistentry> - - <varlistentry> - <term><literal>2006051501</literal></term> - - <listitem> - <para>Die Seriennummer der Datei. Sie muss - stets inkrementiert werden, wenn die Zonendatei - ge�ndert wird. Viele Administratoren bevorzugen - ein <literal>JJJJMMTTRR</literal>-Format, um die - Seriennummer festzulegen. - <literal>2006051501</literal> steht also f�r - den 15.05.2006, die beiden letzten Stellen f�r die - erste Modifikation der Zonendatei an diesem Tag. - Die Seriennummer ist von gro�er Bedeutung, da - Slaveserver daran eine aktualisierte Zonendatei - erkennen k�nnen.</para> - </listitem> - </varlistentry> - </variablelist> - - <programlisting> IN NS ns1.example.org.</programlisting> - - <para>Ein NS-Eintrag. Jeder Nameserver, der f�r eine Zone - verantwortlich ist, muss �ber einen solchen Eintrag - verf�gen.</para> - - <programlisting>localhost IN A 127.0.0.1 -ns1 IN A 192.168.1.2 -ns2 IN A 192.168.1.3 -mx IN A 192.168.1.4 -mail IN A 192.168.1.5</programlisting> - - <para>Der Eintrag <literal>A</literal> bezieht sich auf - Rechnernamen. <systemitem - class="fqdomainname">ns1.example.org</systemitem> w�rde - also zu <systemitem - class="ipaddress">192.168.1.2</systemitem> aufgel�st - werden.</para> - - <programlisting> IN A 192.168.1.1</programlisting> - - <para>Diese Zeile weist die <acronym>IP</acronym>-Adresse - <systemitem class="ipaddress">192.168.1.1</systemitem> dem - aktuellen Ursprung, in diesem Fall also <systemitem - class="fqdomainname">example.org</systemitem>, - zu.</para> - - <programlisting>www IN CNAME @</programlisting> - - <para>Der Eintrag f�r den kanonischen Namen wird dazu - verwendet, Aliase f�r einen Rechner zu vergeben. Im - Beispiel ist <systemitem>www</systemitem> ein Alias f�r - den <quote>Master</quote>-Rechner, dessen Name dem - Domainnamen <systemitem - class="fqdomainname">example.org</systemitem> (oder - <systemitem class="ipaddress">192.168.1.1</systemitem>) - entspricht. CNAMEs k�nnen daher niemals gleichzeitig mit - einem anderen Eintrag f�r denselben Hostname eingerichtet - werden.</para> - - <indexterm> - <primary>MX-Eintrag</primary> - </indexterm> - - <programlisting> IN MX 10 mail.example.org.</programlisting> - - <para>Der MX-Eintrag legt fest, welcher Mailserver f�r - eintreffende Mails der Zone verantwortlich ist. - <systemitem - class="fqdomainname">mail.example.org</systemitem> ist - der Rechnername des Mailservers, der eine Priorit�t von 10 - hat.</para> - - <para>Es k�nnen auch mehrere Mailserver mit verschiedener - Priorit�t (10, 20, ...) vorhanden sein. Ein Mailserver, - der eine Mail an <systemitem - class="fqdomainname">example.org</systemitem> - verschicken will, verwendet zuerst den MX mit der h�chsten - Priorit�t (das hei�t den mit der niedrigsten - Priorit�tsnummer), danach den mit der n�chsth�heren - Priorit�t. Und dies solange, bis die E-Mail zugestellt - werden kann.</para> - - <para>F�r (bei Reverse-DNS verwendete) - <literal>in-addr.arpa</literal>-Zonendateien wird das - gleiche Format verwendet. Der einzige Unterschied besteht - in der Verwendung der Option PTR an Stelle der Optionen A - und CNAME.</para> - - <programlisting>$TTL 3600 - -1.168.192.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. ( - 2006051501 ; Serial - 10800 ; Refresh - 3600 ; Retry - 604800 ; Expire - 300 ) ; Negative Response TTL - - IN NS ns1.example.org. - IN NS ns2.example.org. - -1 IN PTR example.org. -2 IN PTR ns1.example.org. -3 IN PTR ns2.example.org. -4 IN PTR mx.example.org. -5 IN PTR mail.example.org.</programlisting> - - <para>Durch diese Datei werden den Rechnernamen der fiktiven - Dom�ne <acronym>IP</acronym>-Adressen zugewiesen.</para> - - <para>Beachten Sie bitte, dass es sich bei allen Namen auf - der rechten Seite eines PTR-Eintrags um absolute - (<emphasis>fully qualified</emphasis>) Domainnamen handeln - muss, die mit <quote>.</quote> enden.</para> - </sect4> - </sect3> - - <sect3> - <title>Zwischenspeichernde (cachende) Nameserver</title> - - <indexterm> - <primary>BIND</primary> - <secondary>Zwischenspeichernde Nameserver</secondary> - </indexterm> - - <para>Ein cachender Nameserver hat prim�r die Aufgabe, - rekursive Abfragen aufzul�sen. Er stellt lediglich - eigene Anfragen und speichert deren Ergebnisse ab.</para> - </sect3> - - <sect3> - <title><acronym role="Doman Name Security Extensions"> - DNSSEC</acronym></title> - - <indexterm> - <primary>BIND</primary> - <secondary><acronym>DNS</acronym> security - extensions</secondary> - </indexterm> - - <para>Domain Name System Security Extensions, oder kurz - <acronym - role="Domain Name Security Extensions">DNSSEC</acronym>, - ist eine Sammlung von Spezifikationen, um aufl�sende - Nameserver von gef�lschten <acronym>DNS</acronym>-Daten, wie - beispielsweise vorget�uschte - <acronym>DNS</acronym>-Eintr�ge, zu sch�tzen. Durch die - Verwendung von digitalen Signaturen kann ein Resolver die - Integrit�t des Eintrages �berpr�fen. Wichtig dabei ist, - dass <acronym - role="Domain Name Security Extensions">DNSSEC</acronym> - nur die Integrit�t �ber digital signierte Resource Records - (<acronym role="Resource Record">RR</acronym>) - bereitstellt. Weder wird die Vertraulichkeit noch der - Schutz vor falschen Annahmen des Endbenutzers - sichergestellt. Dies bedeutet, dass es Benutzer nicht davor - sch�tzen kann, zu <systemitem - class="fqdomainname">example.net</systemitem> anstatt zu - <systemitem class="fqdomainname">example.com</systemitem> zu - gelangen. Das einzige, was <acronym>DNSSEC</acronym> tut, - ist die Authentifizierung, dass die Daten w�hrend der - �bertragung nicht ver�ndert wurden. Die Sicherheit von - <acronym>DNS</acronym> ist ein wichtiger Schritt in der - generellen Absicherung des Internets. F�r weitere, - tiefergehende Details �ber die Funktionsweise von - <acronym>DNSSEC</acronym> sind die dazugeh�rigen - <acronym>RFC</acronym>s ein guter Einstieg in die Thematik. - Sehen Sie sich dazu die Liste in <xref linkend="dns-read"/> - an.</para> - - <para>Der folgende Abschnitt wird zeigen, wie man - <acronym>DNSSEC</acronym> f�r einen autoritativen - <acronym>DNS</acronym>-Server und einen rekursiven (oder - cachenden) <acronym>DNS</acronym>-Server, der jeweils - <acronym>BIND</acronym> 9 verwenden, einrichten kann. - Obwohl alle Versionen von <acronym>BIND</acronym> 9 - <acronym>DNSSEC</acronym> unterst�tzen, ist es notwendig, - mindestens die Version 9.6.2 zu verwenden, um in der Lage zu - sein, die signierten Root-Zonen zu benutzen, wenn - <acronym>DNS</acronym>-Abfragen gepr�ft werden. Der Grund - daf�r ist, dass fr�heren Versionen die Algorithmen fehlen, - um die �berpr�fung des Root-Zonenschl�ssels zu aktivieren. - Es wird dringend empfohlen, die letzte Version von - <acronym>BIND</acronym> 9.7 oder h�her einzusetzen, um von - den Vorteilen der automatischen Schl�sselaktualisierung des - Root-Zonenschl�ssels Gebrauch zu machen, genauso wie andere - Eigenschaften, um automatisch Zonen signieren zu lassen und - Signaturen aktuell zu halten. Unterschiede zwischen den - Versionen 9.6.2 und 9.7 und h�her werden an den betreffenden - Stellen angesprochen.</para> - - <sect4> - <title>Rekursive <acronym>DNS</acronym>-Server - Konfiguration</title> - - <para>Die Aktivierung der - <acronym>DNSSEC</acronym>-�berpr�fung von Anfragen, die - von einem rekursiven <acronym>DNS</acronym>-Server - stammen, ben�tigt ein paar �nderungen in der - <filename>named.conf</filename>. Bevor man jedoch diese - �nderungen durchf�hrt, muss der Root-Zonenschl�ssel oder - Vertrauensanker erworben werden. Momentan ist der - Root-Zonenschl�ssel nicht in einem Dateiformat verf�gbar, - dass von <acronym>BIND</acronym> benutzt werden kann, so - dass dieser manuell in das richtige Format konvertiert - werden muss. Der Schl�ssel selbst kann durch Abfrage an - die Root-Zone erhalten werden, indem man dazu - <application>dig</application> verwendet. Durch Aufruf - von:</para> - - <screen>&prompt.user; <userinput>dig +multi +noall +answer DNSKEY . > root.dnskey</userinput></screen> - - <para>wird der Schl�ssel in <filename>root.dnskey</filename> - abgelegt. Der Inhalt sollte so �hnlich wie folgt - aussehen:</para> - - <programlisting>. 93910 IN DNSKEY 257 3 8 ( - AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ - bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh - /RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA - JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp - oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3 - LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO - Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc - LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= - ) ; key id = 19036 -. 93910 IN DNSKEY 256 3 8 ( - AwEAAcaGQEA+OJmOzfzVfoYN249JId7gx+OZMbxy69Hf - UyuGBbRN0+HuTOpBxxBCkNOL+EJB9qJxt+0FEY6ZUVjE - g58sRr4ZQ6Iu6b1xTBKgc193zUARk4mmQ/PPGxn7Cn5V - EGJ/1h6dNaiXuRHwR+7oWh7DnzkIJChcTqlFrXDW3tjt -) ; key id = 34525</programlisting> - - <para>Seien Sie nicht alarmiert, wenn der von Ihnen bezogene - Schl�ssel anders als in diesem Beispiel aussieht. Diese - k�nnten sich in der Zwischenzeit ge�ndert haben. In - dieser Ausgabe sind eigentlich zwei Schl�ssel enthalten. - Der erste Sch�ssel mit dem Wert 257 nach dem - DNSKEY-Eintrag ist derjenige, der ben�tigt wird. Der Wert - zeigt an, dass es sich um einen sicheren Einstiegspunkt - (<acronym role="Secure Entry Point">SEP</acronym>), gemein - auch als Schl�sselsignierungsschl�ssel (<acronym - role="Key Signing Key">KSK</acronym>) bekannt, handelt. - Der zweite Sch�ssel mit dem Wert 256 ist der - untergeordnete Schl�ssel, im allgemeinen auch als - Zonen-Signaturschl�ssel (<acronym - role="Zone Signing Key">ZSK</acronym>) bezeichnet. - Weitere Schl�sselarten werden sp�ter in <xref - linkend="dns-dnssec-auth"/> erl�utert.</para> - - <para>Nun muss der Schl�ssel verifiziert und so formatiert - werden, dass <acronym>BIND</acronym> diesen verwenden - kann. Um den Schl�ssel zu verifizieren, erzeugen Sie - einen <acronym role="Delegation Signer">DS</acronym> - <acronym role="Resource Record">RR</acronym>-Satz. - Erstellen Sie eine Datei, welche die <acronym - role="Resource Record">RR</acronym>s enth�lt, - mittels:</para> - - <screen>&prompt.user; <userinput>dnssec-dsfromkey -f root.dnskey . > root.ds</userinput></screen> - - <para>Diese Eintr�ge verwenden SHA-1 sowie SHA-256 und - sollten �hnlich zu folgendem Beispiel aussehen, in dem - der l�ngere, SHA-256, benutzt wird.</para> - - <programlisting>. IN DS 19036 8 1 B256BD09DC8DD59F0E0F0D8541B8328DD986DF6E -. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</programlisting> - - <para>Der SHA-256 <acronym>RR</acronym> kann nun mit dem - Abriss in <link - xlink:href="https://data.iana.org/root-anchors/root-anchors.xml"> - https://data.iana.org/root-anchors/root-anchors.xml</link> - verglichen werden. Um absolut sicher zu sein, dass der - Schl�ssel nicht zusammen mit den - <acronym>XML</acronym>-Daten ver�ndert wurde, sollte die - Datei mit einer passenden <acronym>PGP</acronym>-Signatur - �berpr�ft werden.</para> - - <para>Als n�chstes muss der Schl�ssel in das passende Format - gebracht werden. Dies unterscheidet sich ein bisschen von - den <acronym>BIND</acronym> Versionen 9.6.2 und 9.7 und - h�here. In Version 9.7 wurde die �nterst�tzung zur - automatischen Verfolgung und notwendigen Aktualisierung - von �nderungen am Schl�ssel eingebaut. Dies wird durch - den Einsatz von <literal>managed-keys</literal> erreicht, - wie in dem Beispiel unten gezeigt ist. Wenn die �ltere - Version eingesetzt wird, kann der Schl�ssel durch eine - <literal>trusted-keys</literal>-Anweisung eingebaut werden - und die Aktualisierung muss h�ndisch erfolgen. In - <acronym>BIND</acronym> 9.6.2 sollte das Format - folgenderma�en aussehen:</para> - - <programlisting>trusted-keys { - "." 257 3 8 - "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF - FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX - bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD - X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz - W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS - Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq - QxA+Uk1ihz0="; -};</programlisting> - - <para>In 9.7 wird das Format stattdessen wie folgt - aussehen:</para> - - <programlisting>managed-keys { - "." initial-key 257 3 8 - "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF - FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX - bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD - X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz - W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS - Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq - QxA+Uk1ihz0="; -};</programlisting> - - <para>Der Root-Schl�ssel kann nun zu - <filename>named.conf</filename> hinzugef�gt werden, - entweder direkt oder durch Inkludierung der Datei, die den - Schl�ssel enth�lt. Nachdem diese Schritte absolviert - sind, muss <acronym>BIND</acronym> konfiguriert werden, um - <acronym>DNSSEC</acronym>-Validierung f�r Anfragen - durchzuf�hren, indem <filename>named.conf</filename> - bearbeitet und die folgende - <literal>options</literal>-Direktive hinzugef�gt - wird:</para> - - <programlisting>dnssec-enable yes; -dnssec-validation yes;</programlisting> - - <para>Um zu pr�fen, dass es tats�chlich funktioniert, - benutzen Sie <application>dig</application>, um eine - Anfrage zu einer signierten Zone durch den Resolver, der - gerade konfiguriert wurde, zu stellen. Eine erfolgreiche - Antwort wird den <literal>AD</literal>-Eintrag aufweisen, - um anzudeuten, dass die Daten authentisiert sind. Eine - Anfrage wie:</para> - - <screen>&prompt.user; <userinput>dig @<replaceable>resolver</replaceable> +dnssec se ds </userinput></screen> - - <para>sollte den <acronym>DS</acronym> <acronym>RR</acronym> - f�r die <literal>.se</literal>-Zone zur�ckgeben. In dem - Abschnitt <literal>flags:</literal> sollte der - <literal>AD</literal>-Eintrag gesetzt sein, wie im - folgenden zu sehen ist:</para> - - <programlisting>... -;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 -...</programlisting> - - <para>Der Resolver ist nun in der Lage, Anfragen ans - <acronym>DNS</acronym> zu authentisieren.</para> - </sect4> - - <sect4 xml:id="dns-dnssec-auth"> - <title>Autoritative <acronym>DNS</acronym>-Server - Konfiguration</title> - - <para>Um einen autoritativen Nameserver dazu zu bringen, als - eine <acronym>DNSSEC</acronym>-signierte Zone zu - fungieren, ist ein wenig mehr Aufwand n�tig. Eine Zone - ist durch kryptographische Schl�ssel signiert, die erzeugt - werden m�ssen. Es ist m�glich, nur einen Schl�ssel dazu - zu verwenden. Die vorgeschlagene Methode ist jedoch, - einen starken, gut gesch�tzten - Schl�sselsignierungsschl�ssel (<acronym - role="Key Signing Key">KSK</acronym>) einzusetzen, der - nicht oft gewechselt wird und einen - Zonensignierungsschl�ssel (<acronym - role="Zone Signing Key">ZSK</acronym>), der �fter - ausgewechselt wird. Informationen zu vorgeschlagenen - Einsatzszenarien k�nnen in <link - xlink:href="http://tools.ietf.org/rfc/rfc4641.txt"><acronym>RFC</acronym> - 4641: <acronym>DNSSEC</acronym> Operational Practices</link> - nachgelesen werden. Einsatzszenarien, welche die - Root-Zone betreffen, finden Sie in <link - xlink:href="http://www.root-dnssec.org/wp-content/uploads/2010/06/icann-dps-00.txt"><acronym>DNSSEC</acronym> Practice - Statement for the Root Zone <acronym>KSK</acronym> - operator</link> sowie <link - xlink:href="http://www.root-dnssec.org/wp-content/uploads/2010/06/vrsn-dps-00.txt"><acronym>DNSSEC</acronym> Practice - Statement for the Root Zone <acronym>ZSK</acronym> - operator</link>. Der <acronym - role="Key Signing Key">KSK</acronym> wird dazu - verwendet, um eine Kette von Autorit�t f�r die Daten, die - diese Validierung ben�tigen, zu erschaffen und wird als - solche auch als sicherer Einstiegspunkt (<acronym - role="Secure Entry Point">SEP</acronym>)-Schl�ssel - bezeichnet. Ein Nachrichtenabriss dieses Schl�ssels, der - auch Delegation Signer (<acronym - role="Delegation Signer">DS</acronym>)-Eintrag genannt - wird, muss in der Elternzone ver�ffentlicht werden, um die - Vertrauenskette herzustellen. Wie dies erreicht wird, - h�ngt von dem Besitzer der Elternzone ab. Der <acronym - role="Zone Signing Key">ZSK</acronym> wird verwendet, um - die Zone zu signieren und muss nur dort �ffentlich - zug�nglich gemacht werden.</para> - - <para>Um <acronym>DNSSEC</acronym> f�r die <systemitem - class="fqdomainname">example.com</systemitem>-Zone, - welche in den vorherigen Beispielen verwendet wird, zu - aktivieren, muss als erster Schritt - <application>dnssec-keygen</application> benutzt werden, - um das <acronym>KSK</acronym>- und - <acronym>ZSK</acronym>-Schl�sselpaar zu generieren. - Dieses Schl�sselpaar kann unterschiedliche - kryptographische Algorithmen nutzen. Es wird empfohlen, - RSA/SHA256 f�r die Schl�ssel zu nutzen. Eine - Schl�ssell�nge von 2048 Bits sollte gen�gen. Um den - <acronym>KSK</acronym> f�r <systemitem - class="fqdomainname">example.com</systemitem> zu - generieren, geben Sie:</para> - - <screen>&prompt.user; <userinput>dnssec-keygen -f KSK -a RSASHA256 -b 2048 -n ZONE example.com</userinput></screen> - - <para>ein und um den <acronym>ZSK</acronym> zu erzeugen, - setzen Sie folgenden Befehl ab:</para> - - <screen>&prompt.user; <userinput>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE example.com</userinput></screen> - - <para><application>dnssec-keygen</application> gibt zwei - Dateien aus, den �ffentlichen und den privaten Schl�ssel - und zwar in Dateinamen, die �hnlich lauten wie - <filename>Kexample.com.+005+nnnnn.key</filename> - (�ffentlich) und - <filename>Kexample.com.+005+nnnnn.private</filename> - (privat). Der <literal>nnnnn</literal>-Teil des - Dateinamens ist eine f�nfstellige Schl�sselkennung. - Passen Sie genau auf, welche Kennung zu welchem - Schl�ssel geh�rt. Das ist besonders wichtig, wenn mehrere - Schl�ssel in einer Zone vorliegen. Es ist auch m�glich, - die Schl�ssel umzubenennen. F�r jede - <acronym>KSK</acronym>-Datei tun Sie folgendes:</para> - - <screen>&prompt.user; <userinput>mv Kexample.com.+005+nnnnn.key Kexample.com.+005+nnnnn.KSK.key</userinput> -&prompt.user; <userinput>mv Kexample.com.+005+nnnnn.private Kexample.com.+005+nnnnn.KSK.private</userinput></screen> - - <para>F�r die <acronym>ZSK</acronym>-Dateien ersetzen Sie - <literal>KSK</literal> f�r <literal>ZSK</literal> wenn - n�tig. Die Dateien k�nnen nun in der Zonendatei - inkludiert werden, indem die <literal>$include</literal> - Anweisung verwendet wird. Es sollte folgenderma�en - aussehen:</para> - - <programlisting>$include Kexample.com.+005+nnnnn.KSK.key ; KSK -$include Kexample.com.+005+nnnnn.ZSK.key ; ZSK</programlisting> - - <para>Schliesslich signieren Sie die Zone und weisen - <acronym>BIND</acronym> an, die signierte Zonendatei zu - benutzen. Um eine Zone zu signieren, wird - <application>dnssec-signzone</application> eingesetzt. - Der Befehl, um eine Zone <systemitem - class="fqdomainname">example.com</systemitem> zu - signieren, die in <filename>example.com.db</filename> - liegt, sollte wie folgt aussehen:</para> - - <screen>&prompt.user; <userinput>dnssec-signzone -o example.com -k Kexample.com.+005+nnnnn.KSK example.com.db Kexample.com.+005+nnnnn.ZSK.key</userinput></screen> - - <para>Der Schl�ssel, welcher mit dem Argument - <option>-k</option> �bergeben wird, ist der - <acronym>KSK</acronym> und die andere Schl�sseldatei ist - der <acronym>ZSK</acronym>, welcher f�r die Signatur - benutzt werden soll. Es ist m�glich, mehr als einen - <acronym>KSK</acronym> und <acronym>ZSK</acronym> - anzugeben, was das Ergebnis zur Folge hat, dass die Zone - mit allen �bergebenen Schl�sseln signiert wird. Dies kann - dann ben�tigt werden, um Zonendaten mit mehr als einem - Algorithmus zur Signierung zu verwenden. Die Ausgabe von - <application>dnssec-signzone</application> ist eine - Zonendatei mit allen signierten <acronym>RR</acronym>s. - Diese Ausgabe wird in einer Datei mit der Endung - <literal>.signed</literal> abgelegt, wie beispielsweise - <filename>example.com.db.signed</filename>. Die <acronym - role="Delegation Signer">DS</acronym>-Eintr�ge werden - ebenfalls in eine separate Datei - <filename>dsset-example.com</filename> geschrieben. Um - diese signierte Zone zu verwenden, �ndern Sie die - Zonendirektive in <filename>named.conf</filename>, so dass - <filename>example.com.db.signed</filename> benutzt wird. - Standardm�ssig sind die Signaturen nur 30 Tage g�ltig, was - bedeutet, dass die Zone in etwa 15 Tagen erneut signiert - werden muss, um sicher zu stellen, dass Resolver keine - Eintr�ge mit veralteten Signaturen zwischenspeichern. Es - ist m�glich, ein Skript und einen cron-Job zu schreiben, - um dies zu erledigen. Lesen Sie dazu die relevanten - Anleitungen, um Details zu erfahren.</para> - - <para>Stellen Sie sicher, dass die privaten Schl�ssel - vertraulich bleiben, genau wie mit allen anderen - kryptographischen Schl�sseln auch. Wenn ein Schl�ssel - ge�ndert wird, ist es gute Praxis den neuen Schl�ssel in - die Zone zu inkludieren, noch w�hrend der alte Schl�ssel - noch zum signieren eingesetzt wird, um dann auf den neuen - Schl�ssel zum signieren zu wechseln. Nachdem diese - Schritte erfolgt sind, kann der alte Schl�ssel aus der - Zone entfernt werden. Wenn das nicht geschieht, k�nnen - <acronym>DNS</acronym>-Daten f�r einige Zeit nicht - verf�gbar sein, bis der neue Schl�ssel durch die - <acronym>DNS</acronym>-Hierarchie propagiert wurde. F�r - weitere Informationen bez�glich Schl�ssel�bergabe und - andere <acronym>DNSSEC</acronym>-Einsatzszenarien lesen - Sie <link - xlink:href="http://www.ietf.org/rfc/rfc4641.txt"><acronym>RFC</acronym> - 4641: <acronym>DNSSEC</acronym> Operational - practices</link>.</para> - </sect4> - - <sect4> - <title>Automatisierung mittels <acronym>BIND</acronym> 9.7 - oder h�her</title> - - <para>Beginnend mit der Version 9.7 von - <acronym>BIND</acronym> wurde eine neue Eigenschaft - vorgestellt, die <emphasis>Smart Signing</emphasis> - genannt wird. Diese zielt darauf ab, das - Schl�sselmanagement und den Signierungsprozess einfacher - zu gestalten und zu automatisieren. Durch ablegen der - Schl�ssel in ein Verzeichnis, genannt - <emphasis>key repository</emphasis> und die Verwendung der - neuen Option <literal>auto-dnssec</literal>, ist es - m�glich eine dynamische Zone zu erzeugen, welche dann bei - Bedarf erneut signiert wird. Um diese Zone zu - aktualisieren, benutzen Sie - <application>nsupdate</application> mit der neuen Option - <option>-l</option>. Es hat also - <application>rndc</application> die F�higkeit gewonnen, - Zonen mit Schl�sseln im Key Repository zu verwenden, indem - die Option <option>sign</option> eingesetzt wird. Um - <acronym>BIND</acronym> anzuweisen, diese automatische - Signierung und Zonenaktualisierung f�r <systemitem - class="fqdomainname">example.com</systemitem> zu nutzen, - f�gen Sie die folgenden Zeilen in - <filename>named.conf</filename> hinzu:</para> - - <programlisting>zone example.com { - type master; - key-directory "/etc/named/keys"; - update-policy local; - auto-dnssec maintain; - file "/etc/named/dynamic/example.com.zone"; -};</programlisting> - - <para>Nachdem diese �nderungen durchgef�hrt wurden, erzeugen - Sie die Schl�ssel f�r die Zone wie in <xref - linkend="dns-dnssec-auth"/> beschrieben wird, legen - diese Schl�ssel im Key Repository ab, dass als Argument - <literal>key-directory</literal> in der Zonenkonfiguration - steht und die Zone wird automatisch signiert. - Aktualisierungen f�r eine Zone, die auf diese Art und - Weise konfiguriert wurde, muss mittels - <application>nsupdate</application> erfolgen, dass sich um - die erneute Signierung der Zone mit den hinzugef�gten - Daten k�mmern wird. F�r weitere Details, lesen Sie <xref - linkend="dns-read"/> und die Dokumentation von - <acronym>BIND</acronym>.</para> - </sect4> - </sect3> - - <sect3> - <title>Sicherheit</title> - - <para>Obwohl BIND die am meisten verwendete Implementierung - von <acronym>DNS</acronym> darstellt, werden dennoch - manchmal neue Sicherheitsprobleme entdeckt.</para> - - <para>Zwar startet &os; <application>named</application> - automatisch in einer &man.chroot.8;-Umgebung, es gibt aber - noch weitere Sicherheitsmechanismen, mit denen Sie - potentielle <acronym>DNS</acronym>-Serviceattacken - erschweren k�nnen.</para> - - <para>Es ist daher eine gute Idee, die Sicherheitshinweise von - <link xlink:href="http://www.cert.org/">CERT</link> zu lesen - sowie die Mailingliste &a.security-notifications; zu - abonnieren, um sich �ber Sicherheitsprobleme im Zusammenhang - mit dem Internet und &os; zu informieren.</para> - - <tip> - <para>Tritt ein Problem auf, kann es nie schaden, die - Quellen zu aktualisieren und - <application>named</application> neu zu - kompilieren.</para> - </tip> - </sect3> - - <sect3 xml:id="dns-read"> - <title>Weitere Informationsquellen</title> - - <para>Hilfeseiten zu BIND/<application>named</application>: - &man.rndc.8; &man.named.8; &man.named.conf.5; - &man.nsupdate.1; &man.dnssec-signzone.8; - &man.dnssec-keygen.8;</para> - - <itemizedlist> - <listitem> - <para><link - xlink:href="https://www.isc.org/software/bind"> - Offizielle ISC-Seite zu BIND</link></para> - </listitem> - - <listitem> - <para><link - xlink:href="https://www.isc.org/software/guild"> - Offizielles Forum zu ISC-BIND</link></para> - </listitem> - - <listitem> - <para><link - xlink:href="http://www.oreilly.com/catalog/dns5/"> - O'Reilly <acronym>DNS</acronym> and BIND 5th - Edition</link></para> - </listitem> - - <listitem> - <para><link - xlink:href="http://www.root-dnssec.org/documentation/"> - Root <acronym>DNSSEC</acronym></link></para> - </listitem> - - <listitem> - <para><link - xlink:href="http://data.iana.org/root-anchors/draft-icann-dnssec-trust-anchor.html"> - <acronym>DNSSEC</acronym> Vertrauensanker-Publikation - f�r die Root-Zone</link></para> - </listitem> - - <listitem> - <para><link - xlink:href="http://tools.ietf.org/html/rfc1034">RFC - 1034 - Domain Names - Concepts and Facilities</link></para> - </listitem> - - <listitem> - <para><link - xlink:href="http://tools.ietf.org/html/rfc1035">RFC - 1035 - Domain Names - Implementation and - Specification</link></para> - </listitem> - - <listitem> - <para><link - xlink:href="http://tools.ietf.org/html/rfc4033">RFC - 4033 - <acronym>DNS</acronym> Security Introduction - and Requirements</link></para> - </listitem> - - <listitem> - <para><link - xlink:href="http://tools.ietf.org/html/rfc4034">RFC - 4034 - Resource Records for the - <acronym>DNS</acronym> Security Extensions</link></para> - </listitem> - - <listitem> - <para><link - xlink:href="http://tools.ietf.org/html/rfc4035">RFC - 4035 - Protocol Modifications for the - <acronym>DNS</acronym> Security Extensions</link></para> - </listitem> - - <listitem> - <para><link - xlink:href="http://tools.ietf.org/html/rfc4641">RFC - 4641 - <acronym>DNSSEC</acronym> Operational - Practices</link></para> - </listitem> - - <listitem> - <para><link - xlink:href="http://tools.ietf.org/html/rfc5011">RFC - 5011 - Automated Updates of <acronym>DNS</acronym> - Security (<acronym>DNSSEC</acronym>) Trust Anchors</link></para> - </listitem> - </itemizedlist> - </sect3> - </sect2> </sect1> <sect1 xml:id="network-apache">