Re: DNS Dinâmico
Obrigado... Sei que será de grande ajuda
Em 04/07/07, Peterson Raydan Fontes Ursine <peterson_mg@yahoo.com.br
> escreveu:Muito bom o artigo cara, parabéns...
--- Tiago Dias <
tux.tiago@gmail.com> escreveu:
> Criando seu próprio servidor de DNS dinâmico
> (nsupdate + bind9) Autor: Fábio
> Berbert de Paula <fberbert at
gmail.com>
> Data: 03/07/2007
>
> *Introdução*
>
> Esse artigo é a documentação de uma rotina que
> bolei há uns 2 anos, porém
> com as famosas migrações de servidor que a gente
> sempre enfrenta, acabei
> perdendo os arquivos de configuração e só agora
> resolvi (re)estudar a
> solução para fazer novamente. E lição aprendida,
> documentar para não perder
> novamente.
>
> Acredito que todos saibam do que se trata DNS
> dinâmico, certo? Hmmm, não!?
> Então aí vão algumas sugestões de leitura:
>
> - Instalação do cliente no-ip no
>
Debian<
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=4209>
> - SuperDNS: Solução definitiva para DNS
>
dinâmico<
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=5764>
> - Como hospedar um site no seu próprio micro
>
[Artigo]<
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=420>
>
>
> Resumindo, existem sites que oferecem o serviço de
> DNS dinâmico onde você
> instala um software cliente na sua máquina (IP
> dinâmico, que muda toda vez
> que se conecta) que associa seu IP com um hostname,
> como por exemplo
> casa.homelinux.org. Legal né? Sim, mas eu queria
> mesmo era um domínio
> casa.acme.com, seria legal ter meu desktop associado
> com meu próprio
> domínio. Tais serviços possuem uma lista limitada e
> pré-definida de domínios
> que você pode usar para compor seu hostname.
>
> Imagina só se eu tivesse grana sobrando, registraria
> o domínio
> berbert.com(Berbert é meu sobrenome) e quem quisesse
> me encontrar
> (minha máquina)
> pingaria pra fabio.berbert.com. ééééé!!! Eu chegaria
> num cliente e,
> precisando daquele tal arquivo diria: "acessa
>
fabio.berbert.com aí".
>
> Para acompanhamento do artigo vamos assumir o
> domínio fictício "acme.com",
> onde queremos como host dinâmico o "
casa.acme.com" e
> nosso servidor/provedor
> roda *bind9* como software DNS. Na máquina cliente
> (desktop) precisaremos
> somente do utilitário *nsupdate*, que no Debian faz
> parte do pacote
> dnsutils. Sendo assim:
>
> *# apt-get install dnsutils*
>
> Ah, como o objetivo é configurar DNS dinâmico, estou
> partindo do princípio
> de que seu servidor DNS já esteja configurado e em
> pleno funcionamento.
>
>
> *Segurança: preparando a chave de assinatura do
> servidor*
>
> Vamos começar preparando o servidor para receber as
> atualizações de DNS a
> partir de seu desktop. O pulo-do-gato dessa rotina
> está na opção
> "allow-update" que será incluída na configuração de
> zona do seu domínio.
>
> Como estou falando de administrador para
> administrador, estou certo de que
> você sabe o que é uma zona né? Se não sabe, consulte
> alguma literatura sobre
> fundamentos de DNS aqui mesmo no site.
>
> Mas aí você pergunta, ué... não é inseguro liberar
> meu servidor para receber
> updates de outras máquinas pela internet? Não, a
> segurança é feita a partir
> de chaves criptografadas de até 512 bits conhecidas
> como assinaturas de
> transação, ou TSIG (Transaction
> SIGnature)<http://en.wikipedia.org/wiki/TSIG>.
>
>
> De posse de um terminal no servidor, digite:
>
> *# cd /etc/bind
> # dnssec-keygen -a HMAC-MD5 -b 512 -n HOST server*
>
> Acessamos o diretório de configuração do bind
> (/etc/bind no Debian) e
> criamos uma assinatura TSIG da seguinte forma:
>
> - -a HMAC-MD5: algoritmo utilizado para criação
> da chave;
> - -b 512: tamanho em bits da chave. Esse número
> varia de acordo com o
> algoritmos escolhido na opção anterior;
> - -n HOST: o tipo de dono da chave
> (case-sensitive);
> - server: o nome da chave em si.
>
>
> Para maiores explicações sobre os parâmetros usados,
> digite:
>
> *$ man dnssec-keygen*
>
> Se tudo correu bem foram gerados 2 arquivos no
> seguinte formato:
>
> K<keyname>+157+<keyid>.private
> K<keyname>+157+<keyid>.key
>
> Onde keyname é o nome da chave (server em nosso
> exemplo) e keyid o número de
> identificação único para a chave. Veja:
>
> *# ls K**
> Kserver.+157+31518.key Kserver.+157+31518.private
>
> A informação que vamos usar adiante é o campo "Key"
> de qualquer dos
> arquivos:
>
> *# grep ^Key Kserver.+157+31518.private*
> Key: FGbUIzPEbJgyEkDxEYccrxVTLQ==
>
> NOTA: Por questões de didática "cortei" um bom
> pedaço do hash da chave
> gerada. O que vamos usar é neste artigo é o
> "FGbUIzPEbJgyEkDxEYccrxVTLQ==" e
> o nome da chave, "server".
>
>
> *Configurando o BIND *
>
> Aqui vamos partir direto para o arquivo de
> configuração do *bind*, o *
> named.conf*, que geralmente fica em /etc/named,
> /etc/bind ou em /etc. No
> caso particular do Debian usei o
> /etc/bind/named.conf.local, mas aí vai da
> preferência de cada administrador. O arquivo
> principal é o
> /etc/bind/named.conf nessa distro.
>
> *# vim /etc/bind/named.conf*
>
> Adicione em algum lugar antes das declarações de
> zona a definição da chave
> que geramos anteriormente:
>
> key "*server*" {
> algorithm HMAC-MD5;
> secret "*FGbUIzPEbJgyEkDxEYccrxVTLQ==*";
> };
>
>
> Onde:
>
> - server: nome da chave gerada pelo comando
> dnssec-keygen;
> - FGbUIzPEbJgyEkDxEYccrxVTLQ==: hash da chave,
> lembram do comando grep
> da página anterior!?
>
>
> Agora localize a definição de zona do domínio
> desejado e adicione a opção
> allow-update:
>
> zone "acme.com" {
> type master;
> file "/var/cache/bind/acme.com.db";
> *allow-update { key server; };*
> };
>
>
> Dispensa maiores explicações né?
>
> Reinicie o bind e pronto, estamos com o servidor DNS
> apto a receber updates:
>
>
> *# /etc/init.d/bind9 restart*
>
>
>
=== message truncated ===
____________________________________________________________________________________
Novo Yahoo! Cadê? - Experimente uma nova busca.
http://yahoo.com.br/oqueeuganhocomisso
--
Administrador de Sistemas GNU/Linux
HomePage: www.dias.eti.br
Email:
tiago@dias.eti.br
"A mente que se abre a uma nova idéia jamais voltará ao seu tamanho original"
(Albert Einstein)
Reply to: