DNS Linux en producció

De Cacauet Wiki
Salta a la navegació Salta a la cerca

En aquesta pràctica posarem a punt un servidor DNS en màquina Linux en producció.

Introducció[modifica]

Abans cal que llegiu els conceptes sobre DNS.

Utilitzarem el programari de gestió webmin per simplificar la configuració. Però cal tenir en compte que és insegur i que cal restringir l'accés al nostre servidor pel port 10000, tal i com fa webmin. Un cop hagueu instal·lat webmin al servidor, no obriu el port a l'exterior (seria l'habitual) sinó que accedirem mitjançant un túnel, el què ens mantindrà un nivell de seguretat raonable.

PREREQUISITS: cal tenir configurada una màquina AWS: Amazon Web Services (si no la tens mira't aquest article).

Una bona referència és aquest tutorial de DNS Bind9 de DigitalOcean.


Objectiu de la pràctica[modifica]

  • Posar en marxa un servidor DNS a la nostra màquina AWS.
  • Fer apuntar el domini que tenim reservat al nostre propi servidor DNS (probablement tens un domini .TK gestionat pels servidors DNS de .TK).
  • L'objectiu final és crear subdominis en el nostre servidor DNS i que siguin accessibles públicament.


Passes a seguir recomanades[modifica]

Passes a seguir:

  1. Instal·lar el servidor DNS bind9 (amb apt-get).
  2. Instal·lar el programari de gestió webmin:
    • Ho podeu descarregar a http://www.webmin.com => Downloads
    • Al mateix apartat de descàrregues hi ha uns manuals d'instal·lació.
  3. Configurar el webmin perquè només accepti connexions locals (cal buscar-ho).
  4. Accedir al webmin vía túnel SSH (cal buscar-ho).
  5. Connectar-nos al webmin i crear la zona elmeudomini.tk (el què tingueu reservat).
  6. Crear els subdominis:
    • ns1.elmeudomini.tk
    • ns2.elmeudomini.tk
    • www.elmeudomini.tk
    • ftp.elmeudomini.tk
    • mail.elmeudomini.tk
    • alpha.elmeudomini.tk
    • beta.elmeudomini.tk
  7. Si ho estem fent al servidor AWS, cal obrir el port 53 (és el de les peticions DNS).
  8. Testejar el nostre servei DNS amb la comanda nslookup:
    $ nslookup - <ip_server>
  9. Configurar el nameservers de .TK perquè apuntin al nostre servidor.
    • En la web d'administració de .TK (freenom.com) cal crear el què s'anomenen GLUE RECORDS. Aquest faran d'enllaç amb el nostre server. Configura-ho a:
      Management Tools -> Nameservers
    • Introdueix els GLUE RECORDS: cal crear 2 entrades mínim amb nom i IP. Seran:
      • ns1.elmeudomini.tk <ip-server>
      • ns2.elmeudomini.tk <ip-server>
    • Els subdminis haurien de ser accessibles en un plaç d'algunes hores com a màxim.


Túnels i seguretat del Webmin en producció a AWS[modifica]

Webmin és un software que no ve als repositoris d'Ubuntu. Té mala fama de ser insegur, i no perquè estigui mal fet, sinó perquè té accés a funcions d'administració vitals de la màquina com a root.

Una possible solució a la seguretat de webmin sol ser:

  • Tancar el port 10000 del webmin externament (amb la AWS console).
  • Permetre només les connexions locals al webmin (modificant l'arxiu miniserv.conf).
  • Per poder-nos connectar, caldrà fer un túnel SSH, redirigint el port 10000 de la màquina AWS al port 9999 de la màquina local:
    $ ssh -L 9999:localhost:10000 [email protected]
  • Un cop fer el túnel, podem accedir al webmin del AWS apuntant el nostre navegador local a
    http://localhost:9999