Obrigado... Sei que será de grande ajuda Em 04/07/07, Peterson Raydan Fontes Ursine <[EMAIL PROTECTED]> escreveu:
Muito bom o artigo cara, parabéns... --- Tiago Dias <[EMAIL PROTECTED]> escreveu: > Criando seu próprio servidor de DNS dinâmico > (nsupdate + bind9) Autor: Fábio > Berbert de Paula <fberbert at gmail.com> > Data: 03/07/2007 > > *Introdução* > > Esse artigo é a documentação de uma rotina que > bolei há uns 2 anos, porém > com as famosas migrações de servidor que a gente > sempre enfrenta, acabei > perdendo os arquivos de configuração e só agora > resolvi (re)estudar a > solução para fazer novamente. E lição aprendida, > documentar para não perder > novamente. > > Acredito que todos saibam do que se trata DNS > dinâmico, certo? Hmmm, não!? > Então aí vão algumas sugestões de leitura: > > - Instalação do cliente no-ip no > Debian<http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=4209> > - SuperDNS: Solução definitiva para DNS > dinâmico<http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=5764> > - Como hospedar um site no seu próprio micro > [Artigo]<http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=420> > > > Resumindo, existem sites que oferecem o serviço de > DNS dinâmico onde você > instala um software cliente na sua máquina (IP > dinâmico, que muda toda vez > que se conecta) que associa seu IP com um hostname, > como por exemplo > casa.homelinux.org. Legal né? Sim, mas eu queria > mesmo era um domínio > casa.acme.com, seria legal ter meu desktop associado > com meu próprio > domínio. Tais serviços possuem uma lista limitada e > pré-definida de domínios > que você pode usar para compor seu hostname. > > Imagina só se eu tivesse grana sobrando, registraria > o domínio > berbert.com(Berbert é meu sobrenome) e quem quisesse > me encontrar > (minha máquina) > pingaria pra fabio.berbert.com. ééééé!!! Eu chegaria > num cliente e, > precisando daquele tal arquivo diria: "acessa > fabio.berbert.com aí". > > Para acompanhamento do artigo vamos assumir o > domínio fictício "acme.com", > onde queremos como host dinâmico o "casa.acme.com" e > nosso servidor/provedor > roda *bind9* como software DNS. Na máquina cliente > (desktop) precisaremos > somente do utilitário *nsupdate*, que no Debian faz > parte do pacote > dnsutils. Sendo assim: > > *# apt-get install dnsutils* > > Ah, como o objetivo é configurar DNS dinâmico, estou > partindo do princípio > de que seu servidor DNS já esteja configurado e em > pleno funcionamento. > > > *Segurança: preparando a chave de assinatura do > servidor* > > Vamos começar preparando o servidor para receber as > atualizações de DNS a > partir de seu desktop. O pulo-do-gato dessa rotina > está na opção > "allow-update" que será incluída na configuração de > zona do seu domínio. > > Como estou falando de administrador para > administrador, estou certo de que > você sabe o que é uma zona né? Se não sabe, consulte > alguma literatura sobre > fundamentos de DNS aqui mesmo no site. > > Mas aí você pergunta, ué... não é inseguro liberar > meu servidor para receber > updates de outras máquinas pela internet? Não, a > segurança é feita a partir > de chaves criptografadas de até 512 bits conhecidas > como assinaturas de > transação, ou TSIG (Transaction > SIGnature)<http://en.wikipedia.org/wiki/TSIG>. > > > De posse de um terminal no servidor, digite: > > *# cd /etc/bind > # dnssec-keygen -a HMAC-MD5 -b 512 -n HOST server* > > Acessamos o diretório de configuração do bind > (/etc/bind no Debian) e > criamos uma assinatura TSIG da seguinte forma: > > - -a HMAC-MD5: algoritmo utilizado para criação > da chave; > - -b 512: tamanho em bits da chave. Esse número > varia de acordo com o > algoritmos escolhido na opção anterior; > - -n HOST: o tipo de dono da chave > (case-sensitive); > - server: o nome da chave em si. > > > Para maiores explicações sobre os parâmetros usados, > digite: > > *$ man dnssec-keygen* > > Se tudo correu bem foram gerados 2 arquivos no > seguinte formato: > > K<keyname>+157+<keyid>.private > K<keyname>+157+<keyid>.key > > Onde keyname é o nome da chave (server em nosso > exemplo) e keyid o número de > identificação único para a chave. Veja: > > *# ls K** > Kserver.+157+31518.key Kserver.+157+31518.private > > A informação que vamos usar adiante é o campo "Key" > de qualquer dos > arquivos: > > *# grep ^Key Kserver.+157+31518.private* > Key: FGbUIzPEbJgyEkDxEYccrxVTLQ== > > NOTA: Por questões de didática "cortei" um bom > pedaço do hash da chave > gerada. O que vamos usar é neste artigo é o > "FGbUIzPEbJgyEkDxEYccrxVTLQ==" e > o nome da chave, "server". > > > *Configurando o BIND * > > Aqui vamos partir direto para o arquivo de > configuração do *bind*, o * > named.conf*, que geralmente fica em /etc/named, > /etc/bind ou em /etc. No > caso particular do Debian usei o > /etc/bind/named.conf.local, mas aí vai da > preferência de cada administrador. O arquivo > principal é o > /etc/bind/named.conf nessa distro. > > *# vim /etc/bind/named.conf* > > Adicione em algum lugar antes das declarações de > zona a definição da chave > que geramos anteriormente: > > key "*server*" { > algorithm HMAC-MD5; > secret "*FGbUIzPEbJgyEkDxEYccrxVTLQ==*"; > }; > > > Onde: > > - server: nome da chave gerada pelo comando > dnssec-keygen; > - FGbUIzPEbJgyEkDxEYccrxVTLQ==: hash da chave, > lembram do comando grep > da página anterior!? > > > Agora localize a definição de zona do domínio > desejado e adicione a opção > allow-update: > > zone "acme.com" { > type master; > file "/var/cache/bind/acme.com.db"; > *allow-update { key server; };* > }; > > > Dispensa maiores explicações né? > > Reinicie o bind e pronto, estamos com o servidor DNS > apto a receber updates: > > > *# /etc/init.d/bind9 restart* > > > === message truncated === ____________________________________________________________________________________ Novo Yahoo! Cadê? - Experimente uma nova busca. http://yahoo.com.br/oqueeuganhocomisso
-- Administrador de Sistemas GNU/Linux HomePage: www.dias.eti.br Email: [EMAIL PROTECTED] "A mente que se abre a uma nova idéia jamais voltará ao seu tamanho original" (Albert Einstein)
