Vamos então, refinar nosso servidor com algumas diretivas de controle de acesso no arquivo
/etc/bind/named.conf.options:
Directory → Diretório padrão do BIND 9 após a instalação do pacote
bind.
Dnssec-validation → Habilite esta opção e cole a chave raiz no arquivo:
/etc/bind/named.conf.
Esta chave pode ser obtida no seguinte endereço:
Allow-query → Definir as máquinas que podem fazer consultas no servidor DNS.
Allow-query-on → Definir as interfaces que podem fazer consultas no DNS.
Recursion → Caso esta opção não estiver inserida, ela terá o parâmetro 'yes' como default, fazendo com que o servidor possa
fazer consultas recursivas, caso solicitado por algum cliente e não apenas consultas interativas, caso o parâmetro seja 'no'.
Allow-query-cache → Endereços de máquinas que poderão ter acesso ao cache do DNS.
Allow-querycache-on → Interfaces de rede que poderão consultar o cache do DNS, neste caso, com a opção 'any', qualquer
interface instalada no servidor.
Dump-file → Arquivo gerado com o comando:
# rnc dumpdb -cache
Podendo assim, visualizar todo os registros de cache do servidor DNS.
Statistics-file → Arquivo gerado com o comando:
# rndc stats
Possui o registro das estatísticas de comunicação do servidor.
Zone-statistics → O DNS vai coletar todas as estatísticas de zonas e incrementar no arquivo "named.stats".
Forwarders → Possui o IP do DNS primário e secundário do seu provedor de acesso para possíveis consultas, caso não encontre
no cache do servidor DNS.
Listen-on-v6 → Permite especificar as interfaces que podem consultar o seu servidor DNS no padrão IP versão 6.
Mais opções de diretivas de controle de acesso, podem ser encontradas em:
Concluindo o arquivo:
/etc/bind/named.conf.options, sem comentários, ficaria assim:
options {
directory "/var/cache/bind/";
dnssec-validation yes;
allow-query { 127.0.0.1/8; };
allow-query-on { interface do servidor na rede local; };
recursion yes;
allow-query-cache { localhost; faixa da rede local };
allow-query-cache-on { any; };
dump-file "/varcache/bind/named_dump.db
statistics-file "/var/cache/bind/named.stats";
zone-statistics yes;
forwarders { IP primário, IP secundário; };
forward first;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};
* Atenção: O funcionamento do comando
rndc, após a instalação do pacote
bind, não precisa ser configurado utilizando a
ferramenta
rndc-confgen.
O comando
rndc é utilizado remotamente, e de forma segura para controlar certos aspectos do servidor de nomes. Com ela, é possível:
- Parar o serviço,
- Recarregar uma zona específica,
- Obter informações acerca do estado do servidor,
- Ativar e desativar modo de depuração,
- Executar algumas outras ações de controle.
A comunicação se dá através de um canal criptografado e autenticado através de uma chave simétrica de criptografia.
Esta chave de criptografia está configurada automaticamente através do arquivo:
/etc/bind/rndc.key, após a instalação do pacote
bind.