Использование chroot

Кусок лекции из сетевого адм, который был: DNS --- такая штука, которая пребз. имена в ip и обратно, структура иерархическая, у каждой зны есть доменный сервер, у каждой сети есть собст. служба доменных имён, ктрая преобр. в обр. сторну. Это не очень связные вещи, в локальной сети всё нормально, а вот если ip выдаёт првайде, то могут быть прблемы с орг. обр. dns. Может быть два варианта по поводу орг. доменных имён: первый --- провайдер, заведи мне поддомен, и ты будешь отвечать за мои доменные имена. И всякий раз, когда вздумаете переим. машину, то надо опять идти к адм. Во втрм случае --- дмен у меня, что ты мне предл по поводу орг. обр. dns?

как полоучить собст. домен? Идёте к регистратору, выбираете себен незанятое доменное имя, платите за него, появляете в базе whois, вы обязаны какое-то количество должно быть живым. Стит это порядка 20 долларов в год. Второй способ --- получить поддомен --- пойти к владельцу домена и на непонятных правах получить у него поддомен. За это в больш. случаев не над платить, например, в случае, когда это структ. подразделение, как, например, po.cs.msu.su. В первом случае вы становитесь адм. домена, в ругом случае вполне возм., что адм. его будете не вы. В любм случае, вы по-хрошему длжны обесп. два доменных сервера с сущ. разными адресами, кторые бы занимались преобр. из доменных имён в вашем дмене в ip. В случае, если мы имеем дело со школой, с классом, то эт стаётся в плане отл. фантазии, поск. никаких доменных имён для интранета зарег. не надо. Можно завести какой угодно домен, главное, чтобы не присходило интерференции.

Сейчас никакого сервера доменныъх имён не стоит вообще. То есть когда клиенты ходят к нему по DHCP, он говорит, что есть общий сервер. В случае, когда пднят DNS, т он будут ходит к нему, а он дальше. И в этом случае взможно работа по именам.

Что такое pdnsd. Это DNS-сервер, предн. для тго, чтобы запускаться на очень плохих каналах, и предн. для принудителььного кэширования запрсов. То есть, даже если в случае, если сказано, что у записи малое время жизни, всё равно при его исп. не надо ходить. Также он актуален малых сетях без иерархии.

Установим ег и отредактируем pdnsd.conf. Тут мы редактируем ip сервера. ...

Теперь над поправить dhcp.

После этг проверим работу с клиентов.

Для того, чтобы сервер польхзвалмся своим dns, надо первым неймсервером прписать 127.0.0.1 в /etc/resolv.conf

Настройка BIND

Пакет bind, а сервис named. BIND делают долго и упорно ребята из Internet Service consorcium, они писали RFC на этт счёт. н большой, имеет много функций.

Запускается н из чрута.

chroot

Идея в следующем: у нас есть служба, кторую мы не можем запускать не от рута, или есть служба, которуюмы можем запускать не т рута, но бимся, что она может получить призв. доступ. В любом случае, мы не хотим вычитывать все исх., боимся её, но хотим пользваться. Поэтому они переносятся в изолирванное окружение. chroot --- вызов на уровне ядра, после вызова которого при обр. к ФС н видит её как ФС с корнем в виде параметра chroot. И кроме как залезания в устрйства получить доступ к ст. части ФС не удаётся. При этом никакой изоляции т процессов не произв., память неизолир., но на файлы это распр. В частности, сервер bind настольк большой, и дырки там часто. И доступ к списку бн. ошибок предст. за еньги. И эта служба потенциально опасна. Посему в мане в настройке в файлах вывидите файлы в etc и var, а в альте они лежат ещё в другом месте. Если посмтрим на inode (ls -ild), то увидим, что д и почле chroot они отл..

В altlinux они лежат в /var/lib, чт не сотв. fhs. Там лежат все небх файлы для работы бинда. Обычн тут лежат и разд. библитеки, но bind делает chroot после запуска, и разд. библиотеки он уже подссал, пэтому ему нужны тлько dev, etc, var, zones.

зоны --- соотв. имён и ip. Для кнфиг. необх. редактирвать local.conf. Обр. внимание, что файл написан из сооб., что чрут уже призшёл. В zones лежат зоны, там лежат ещё и таблицы с другими типами записей.

Пример зоны можно посм. на файле localdomain. Типичный пример зоны. SOA определяет различные парметры зоны. serial --- такое число, которое надо увел каждый раз, когда изм. содерж. зоны.

Тут достатчно много полей, н их мжно пропускать, если они повт. предыдущие.

Обратные записи эт записи вида .in-addr.arpa, там всё аналогично. Обр. на устр. обр. зоны. бр. пребр. риентированы на сети, и старший байт справа, а младшие слева, поскльку старшие байты --- сеть, а младшие --- хосты.

Обратите внимние, чт если у вас лок. сеть, или какая-то сеть, где вы разв. доменный сервер, то вы обязаны редакт. бе зоны (за искл. ситуации, когда добавляете CNAME). Ещё обр. внимание, чт далек не всегда обесп. бр. зону, поск. если вы заказали адреса у провайдера, то он должен сам оббесп., он ничего хорошего обычно не беспечивает.

Есть некая договорённость, какую должны бесп. провайдеры: ни олжны делать CNAME на спец. сеть, которую отд. вам, и там уже разруливаются PTR.

Для того, чтбы закончить ввдный разговор пр BIND, надо запомнить, что рег. надо не один DNS-сервер, а два. Никто не заст. править конф. на обоих, поэтому один мастер, другой слейв, и влейв качает зны с мастера. Уст. это просто: в конфиге пишете, что он слейв, и указываете, ткуда их скачивать.

Тем самым получаются два сервера, ни абс. идентичны.

Ещё лектр может посов. запр. рек. запросы для всех машин, крме тех, для которых он создан.

Последнее, что стоит упомянуть: если у вас есть интранет, есть внеш. сеть, и если у вс есть мшины, кторые снаружи видны под вн. адресом, т неплох, что в dns был бы такая же фигня. Для этого существует split horizon, а сотв. место в док. по bind надо читать в view.


Сведения о ресурсах

Готовность (%)

Продолжительность (ак. ч.)

Подготовка (календ. ч.)

Полный текст (раб. д.)

Предварительные знания

Level

Maintainer

Start date

End date

0

1

1

1

1

ArtemSerebriyskiy, Allena, MaximByshevskiKonopko


CategoryLectures CategoryPspo CategoryMpgu CategoryUneex