Seminário de MAC-433: djbdns

Seminário de MAC-433

Tema: djbdns

Integrantes do grupo:

Fábio Kimura
Breno Pompeu Roberto

Índice geral:

Introdução
Conceitos do Âmbito do Software
Descrição do software
Forma de uso do software.
Processo de instalação - Histórico de guerra.
Comparação conceitual e prática com o BIND
Conclusão

Introdução

D. J. Bernstein

Conceitos do Âmbito do Software

DNS: Domain Name Server

endereço IP

www.linux.ime.usp.br

192.168.240.10

Resource Records

Resource Records

transferência de zona

A	Registro de servidor, retorna o endereço IP para um determinado hostname
NS	Registro de delegação, especifca qual o nome de um Servidor de Nomes a se usar para achar informações adicionais sobre um determinado domínio.
PTR	Registro apontador, mapeia um nome para outro nome, normalmente usado para buscas reversas, ou seja, para determinar um número IP de volta ao seu nome.

Exemplo: determinando o IP de www.usp.br

resolver

root

resolver

Descrição do software

Componentes do djbdns:
- dnscache
  Vários problemas de segurança do BIND vêm do modo que ele toma as decisões de que "respostas" (RRs) ele confia comoo sendo verdadeiras, e assim, algumas dessas "respostas" podem ser "forjadas".
  A maneira mais simples de se resolver esses problemas foi criar um novo "resolver" recursivo, que aplica certas regras de segurança sobre para quem ele faz as requisições, como ele as faz, e que partes das "respostas" ele pode confiar para usar.
  Assim, o dnscache é somente um "resolver" recursivo, mais nada, e assim, ele nunca retorna dados autoritativos, e ele nunca retorna dados que não foram recebidos diretamente de um servidor de nomes autoritativo, cuja autoridade foi provada rastreando a cadeia de delegações NS de seus servidores "root" previamente configurados.
  Para prover flexibilidade, o dnscache também pode ser configurado com servidores de nomes autoritativos distintos para domínios específicos, de forma a se sobrepor às buscas feitas através dos "roots".
  O dnscache tem configurações para se controlar o tamanho do cache, e para quais programas ele irá responder.
- tinydns e tinydns-data
  O tinydns é um servidor de nomes autoritativo, e NADA MAIS! Ele somente provém dados autoritativos que podem ser respondidos a partir do seu banco de dados, e nada mais! Qualquer requisição que não possa ser respondida a partir do seu banco de dados, simplesmente não é respondida!
  Seu banco de dados é pequeno e eficiente, utilizando o formato cdb, que
- axfrdns
  O tinydns somente provém dados via UDP, e há dois casos em que o DNS necessita usar TCP.
  Um é quando ocorre uma resposta de tamanho maior do que 512 bytes. Neste caso, a resposta é truncada até 512 bytes, e um bit indica que a resposta foi truncada e que se a outra parte quiser a resposta completa, então ele deve enviar o pedido via TCP. Normalmente tal caso ocorre muito raramente. O outro caso é quando estamos realizando uma transferência de zonas (AXFR). Quando dois servidores de nomes precisam trocar zonas inteiras, o utiliza-se o AXFR. O djbdns provém tanto a parte do servidor (axfrdns), quanto a parte do cliente (axfr-get). Podem ser usados para servidores de nomes "secundários", e também para converter os formatos dos dados do BIND para o tiny-dns e vice-versa. O axfrdns roda junto com o tiny-dns, em TCP porta 53, utilizando os mesmos dados, utilizando-se do programa tcpserver, do pacote ucspi-tcp.
- axfr-get
  O axfr-get é um programa cliente que roda sob o tcp-client, e escreve dados no formato tinydns-data.
  Pode ser usado para se configurar um servidor tiny-dns como um servidor secundário para um servidor BIND.
- Programas DNS clientes
  O pacote djbdns inclui utilitarios para fazer o mesmo trabalho que programas como host,dig e nslookup.
  Os utilitários são:
  - dnsip
  - dnsipq
  - dnsname
  - dnsmx
  - dnstxt
  - dnsq
  - dnsqr
  - dnstrace
  - dnsfilter
- Programas servidores
  - pickdns
  - walldns
  - rbldns
- daemontools
  Este na verdade é um pacote independente do djbdns, mas provém alguns serviços que ajudam ao djbdns a iniciar e monitorar daemons. Alguns serviços utilizados são:
  - svscan
  - svsc
  - supervise
  - multilog
- ucspi-tcp
  Pacote que implementa o formato UCSI-TCP para o djbdns. UCSI-TCP significa Unix Client-Server Program Interface for TCP, ou seja, interface para programas Cliente-Servidor de TCP para UNIX.

Forma de uso do software.

Processo de instalação - Histórico de guerra.

Servidor (Master) de DNS resposável pelo domínio "exemplo.com" usando tinydns.
Servidor (Slave) de DNS resposável pelo domínio "exemplo.com" usando tinydns.
Cache de nomes de uma rede 1.2.3.0 .

Obtendo e Compilando.

Obtendo o DJBDNS e DAEMONTOOLS.

A versões mais recente podem ser encontrada em http://cr.yp.to/djbdns.html e http://cr.yp.to/daemontools.html.
Descompactando.

Escolha um diretório apropriado para descompactar um fonte, normalmente o /usr/local/src é o lugar mais adequado, e então execute :

$ tar xvzf djbdns-XXX.tar.gz
$ tar xvzf daemontools-XXX.tar.gz
Compilando.

Dentro do diretório djbdns-XXX, execute :

$ make

E faça o mesmo dentro do daemontools-XXX.

Obs: Não é necessário ser root para efetuar esta operação.
Instalando o Daemontools.

Agora como root execute dentro do diretório daemontools-XXX:

# make setup check

Crie o diretório /service

# mkdir /service
E utilize o shell script "svscan" para inicializar o daemontools. Na distribuição debian, faça o seguinte:

# cp svscan /etc/init.d
# update-rc.d svscan defaults
# /etc/init.d/svscan start

Instalação do DJBDNS!!

djbdns group
tinydns user (Para o daemon tinydns)
dnscache user (Para o daemon dnscache)
dnslog user (Para o damon de log)

Configurando o DJBDNS.

Servidor (Master) de DNS com o IP 1.2.3.4 resposável pelo domínio "exemplo.com" usando tinydns.

Dentro do diretório do fonte do DJBDNS , execute:

# ./tinydns-conf tinydns dnslog /etc/djbdns/tinydns 1.2.3.4

Para o serviço começar a funcionar:

# ln -s /etc/djbdns/tinydns /service

Dica: Para evitar que os log sejam armazenados em /etc/djbdns/tinydns/log/main, cria o diretório /var/log/djbdns/tinydns e edite o arquivo /etc/djbdns/tinydns/log/run, substituindo o "./main" para "/var/log/djbdns/tinydns". Não se esqueça de deixar este diretório com permissão de escrita e leitura somente para o usuário "dnslog":

# mkdir -p /var/log/djbdns/tinydns
# chown dnslog. /var/log/djbdns/tinydns

Agora, entre no diretório /etc/djbdns/tinydns/root :

# ./add-ns exemplo.com 1.2.3.4

Após isso, adicione os nomes no servidor. Ex:

# ./add-host ex1.exemplo.com 1.2.3.5
# ./add-host ex1.exemplo.com 1.2.3.6
# ./add-alias alias.exemplo.com 1.2.3.6

E para esses nomes ficarem disponíveis:

# make
Servidor (Slave) de DNS com IP 1.2.3.5 resposável pelo domínio "exemplo.com" usando tinydns.
Não existem muita diferença entre um servidor MASTER para o SLAVE, a configuração é a mesma. Mas para facilitar a manutenção dos nomes, é interessante sincronizar os dados dos dois servidores. Isso é facilmente obtido copiando o arquivo /etc/djbdns/tinydns/root/data.cdb que se encontra no MASTER para o slave.

Dica: Para evitar uma cópia de uma arquivo muito grande, é aconselhável o uso do rsync. Esta ferramenta somente copiará as diferenças entre os arquivos.
Cache de nomes de uma rede 1.2.3.0 rodando em um servidor com IP 1.2.3.4

Dentro do diretório do fonte do DJBDNS , execute:

# ./dnscache-conf dnscache dnslog /etc/djbdns/dnscache 1.2.3.4

É interessante que este cache esteja acessível somente para a rede 1.2.3.0, para garantir isso :

# touch /etc/djbdns/dnscache/1.2.3

Para o serviço começar a funcionar:

# ln -s /etc/djbdns/dnscache /service

Dica: Para evitar que os log sejam armazenados em /etc/djbdns/dnscache/log/main, cria o diretório /var/log/djbdns/dnscache e edite o arquivo /etc/djbdns/dnscache/log/run, substituindo o "./main" para "/var/log/djbdns/dnscache". Não se esqueça de deixar este diretório com permissão de escrita e leitura somente para o usuário "dnslog":

# mkdir -p /var/log/djbdns/dnscache
# chown dnslog. /var/log/djbdns/dnscache

Comparação conceitual e prática com o BIND

Fonte: cr.yp.to

Problema: Configurar um "cache" externo em `1.2.3.4` para clientes na rede `1.2.3.*`.	Solução usando BIND: Criar um arquivo tipo zone `localhost`, com um registro SOA , um registro NS , e um registro A. Criar um arquivo tipo zone `0.0.127.in-addr.arpa`, com um registro SOA, um registro NS, e um registro PTR. Criar um arquivo tipo zone `root.hints` com o endereço IP dos servidores de nome roots. Criar um arquivo `named.conf`: `zone "localhost" in { type master; file "localhost"; };` `zone "0.0.127.in-addr.arpa" in { type master; file "0.0.127.in-addr.arpa"; };` `zone "." in { type hint; file "root.hints"; };` `options { interface-interval 0; listen-on { 1.2.3.4; }; allow-query { 1.2.3/24; }; };` Iniciar `named`. Confira se o seu boot scripts inicia `named`.	Solução usando djbdns: Criar contas `dnscache` e `dnslog`. `dnscache-conf dnscache dnslog /etc/dnscachex 1.2.3.4` `ln -s /etc/dnscachex /service` `cd /service/dnscachex` `touch root/ip/1.2.3`
Problema: Permitir que os clientes da rede `1.5.*` também possam fazer requisições de DNS.	Solução usando BIND: Editar `named.conf`. Adicionar `1.5/16` na sessão `allow-query`. Enviar um sinal HUP para `named`. Procurar por erros no arquivo de log do seu sistema.	Solução usando djbdns: `cd /service/dnscachex` `touch root/ip/1.5`
Problema: Rodar o cache com acesso não-root.	Solução usando BIND: Criar uma conta `bindin`. `mkdir /etc/bindin` Copiar vários programas, bibliotecas e devices em `/etc/bindin`. Matar o processo `named`. Iniciar `named -u bindin -t /etc/bindin`. Alterar as linhas `named` nos seus scripts de boot de acordo.	Solução usando djbdns: O cache já vem com acesso não-root.
Problema: Arrumar o cache para que ele seja reiniciado se alguém acidentalmente "matá-lo".	Solução usando BIND: Escreva um script que procura pelo processo `named`, reinicia `named` se ele não estiver rodando, pausa por um tempo, e repete tudo de novo. Inicie esse script.	Solução usando djbdns: O cache já é monitorado, e é reiniciado automaticamente.
Problema: Avisar o cache para consultar um servidor interno no endereço `10.1.2.5` para informações sobre `moon.x.mil`.	Solução usando BIND: Edite `named.conf`. Adicione um "forwarding zone": `zone "moon.x.mil" in { type forward; forward only; forwarders { 10.1.2.5; }; };` Envie um sinal HUP para `named`. Procure por erros no log do seu sistema.	Solução usando djbdns: `cd /service/dnscachex` `echo 10.1.2.5 > root/servers/moon.x.mil` `svc -t .`
Problema: Avisar o cache para seguir uma nova delegação a partir do servidor interno para resolver `10.1.2.6` como `d.moon.x.mil`.	Solução usando BIND: Editar `named.conf`. Adicione outra "forwarding zone": `zone "d.moon.x.mil" in { type forward; forward only; forwarders { 10.1.2.6; }; };` Envie um sinal HUP para `named`. Procure por erros no log do seu sistema.	Solução usando djbdns: O cache segue delegações.
Problema: Configurar um servidor em `1.2.3.5` para publicar informações sobre `x.mil` e `1.2.3.*`.	Solução usando BIND: Criar um `x.mil` zone file, with an SOA record and an NS record. Criar um `3.2.1.in-addr.arpa` zone file, with an SOA record and an NS record. Criar um `named.conf` file: `zone "x.mil" in { type master; file "x.mil"; };` `zone "3.2.1.in-addr.arpa" in { type master; file "3.2.1.in-addr.arpa"; };` `options { interface-interval 0; listen-on { 1.2.3.5; }; recursion no; fetch-glue no; allow-transfer { none; }; };` Start `named`. Make sure that your boot scripts start `named`.	Solução usando djbdns: Criar contas `tinydns` e `dnslog`. `tinydns-conf tinydns dnslog /etc/tinydns 1.2.3.5` `ln -s /etc/tinydns /service` `cd /service/tinydns/root` `./add-ns x.mil 1.2.3.5` `./add-ns 3.2.1.in-addr.arpa 1.2.3.5` `make`
Problema: Fazer o servidor rodar com acesso não-root.	Solução usando BIND: Criar uma conta `bindout`. `mkdir /etc/bindout` Copiar vários programas, bibliotecas e devices em `/etc/bindout`. "Matar" `named`. Iniciar `named -u bindout -t /etc/bindout`. Mude a linha `named` em seus scripts de boot de acordo.	Solução usando djbdns: O servidor, como o cache, já funciona com acesso não-root.
Problema: Adicionar um novo host, `lion.x.mil`, com endereço `1.2.3.4`.	Solução usando BIND: Editar a zona `x.mil`. Adicione `lion A 1.2.3.4`. Mudar o número serial no registro SOA. Editar a zona `3.2.1.in-addr.arpa`. Adicione `4 PTR lion.x.mil`. Mudar o número serial no registro SOA. Enviar um sinal HUP para `named`. Procure por erros no arquivo de log.	Solução usando djbdns: `cd /service/tinydns/root` `./add-host lion.x.mil 1.2.3.4` `make`
Problema: Evitar usar novamente um nome de host acidentalmente, ou usar novamente um mesmo endereço IP.	Solução usando BIND: Busque manualmente o arquivo de zonas pelo novo nome de host e pelo novo endereço IP. Você não terá que procurar muito, se você ordenou as zonas por ordem alfabética e se você ordenou as zonas reversas pelos endereços.	Solução usando djbdns: `add-host` cuida disso automaticamente. (Se você quer usar novamente um nome ou um endereço, use `add-alias`.)
Problema: Evitar destruir uma zona se surgirem problemas na hora de salvar os dados novos: por exemplo, sem espaço disponível em disco, ou uma súbita falta de energia.	Solução usando BIND: Copie o arquivo de zonas. Edite a cópia. Sincronize (sync) a cópia para o disco. Renomeie a copia.	Solução usando djbdns: `add-host` cuida disso automaticamente.
Problema: Confirmar que não há nenhum erro de sintaxe nos dados novos.	Solução usando BIND: Olhe o log do sistema para ver se há mensagens de erros. Algumas mensagens significam que `named` não está mais provendo informações sobre aquela zona, e usuários vão começar a ver falhas em questão de segundos. neste caso, entre em pânico.	Solução usando djbdns: Se há um erro de sintaxe, `make` irá imprimir uma mensagem de erro imediatamente, e `tinydns` vai continuar provendo informações com os dados antigos.
Problema: Enviar e-mails que chegam para `x.mil` para um servidor de e-mail em `1.2.3.4`.	Solução usando BIND: Edite a zona `x.mil`. Adicione `@ MX 0 lion`. Altere o número serial no registro SOA. Envie um sinal HUP para `named`. Procure por erros no arquivo de log.	Solução usando djbdns: `cd /service/tinydns/root` `./add-mx x.mil 1.2.3.4` `make`
Problema: Delegar `elysium.x.mil` para um servidor DNS em `1.2.3.144`.	Solução usando BIND: Edit the `x.mil` zone. Add `elysium NS a.ns.elysium`. Add `a.ns.elysium A 1.2.3.144`. Altere o número serial no registro SOA. Envie um sinal HUP para `named`. Procure por erros no arquivo de log.	Solução usando djbdns: `cd /service/tinydns/root` `./add-childns elysium.x.mil 1.2.3.144` `make`
Problema: Replicar o serviço DNS de `1.2.3.5` para `1.2.3.6`.	Solução usando BIND: Em `1.2.3.5`: Editar `named.conf`. Inserir `1.2.3.6;` na seção `allow-transfer`. Editar o arquivo `x.mil`. Adicionar um registro NS apontando para `1.2.3.6`. Editar o arquivo `3.2.1.in-addr.arpa`. Adicionar um registro NS apontando para `1.2.3.6`. Envie um sinal HUP para `named`. Procure por erros no arquivo de log. Em `1.2.3.6`: Criar um arquivo`named.conf`: `zone "x.mil" in { type slave; file "x.mil"; masters { 1.2.3.5; }; };` `zone "3.2.1.in-addr.arpa" in { type slave; file "3.2.1.in-addr.arpa"; masters { 1.2.3.5; }; };` `options { interface-interval 0; listen-on { 1.2.3.5; }; recursion no; fetch-glue no; allow-transfer { none; }; };` Iniciar `named`. Confirme que o seus scripts de boot iniciam `named`.	Solução usando djbdns: Em `1.2.3.6`: Criar contas `tinydns` e `dnslog`. `tinydns-conf tinydns dnslog /etc/tinydns 1.2.3.6` `ln -s /etc/tinydns /service` Em `1.2.3.5`: `cd /service/tinydns/root` No inicio de `Makefile`, adicione um target `remote: data.cdb`, com o comando: `rsync -az -e ssh data.cdb 1.2.3.6:/ service/ tinydns/ root/ data.cdb`. `./add-ns x.mil 1.2.3.6` `./add-ns 3.2.1.in-addr.arpa 1.2.3.6` `make`
Problema: Replicar uma zona recém criada.	Solução usando BIND: Editar `named.conf`. Adicionar uma nova linha `type slave`. Envie um sinal HUP para `named`. Procure por erros no arquivo de log.	Solução usando djbdns: Novas zonas são automaticamente replicadas.