Diferència entre revisions de la pàgina «DNS Linux en producció»
Línia 4: | Línia 4: | ||
Abans cal que llegiu els conceptes sobre [[DNS]]. | Abans cal que llegiu els conceptes sobre [[DNS]]. | ||
− | Utilitzarem el programari de gestió '''''webmin''''' per simplificar la configuració. Però cal tenir en compte que és insegur i que cal restringir l'accés al nostre servidor pel port 10000, tal i com fa webmin. | + | Utilitzarem el programari de gestió '''''webmin''''' per simplificar la configuració. Però cal tenir en compte que és insegur i que cal restringir l'accés al nostre servidor pel port 10000, tal i com fa webmin. Un cop hagueu instal·lat ''webmin'' al servidor, no obriu el port a l'exterior (seria l'habitual) sinó que accedirem mitjançant un túnel, el què ens mantindrà un nivell de seguretat raonable. |
PREREQUISITS: cal tenir configurada una màquina [[AWS: Amazon Web Services]] (si no la tens mira't aquest article). | PREREQUISITS: cal tenir configurada una màquina [[AWS: Amazon Web Services]] (si no la tens mira't aquest article). |
Revisió del 13:55, 12 abr 2016
En aquesta pràctica posarem a punt un servidor DNS en màquina Linux en producció.
Contingut
Introducció
Abans cal que llegiu els conceptes sobre DNS.
Utilitzarem el programari de gestió webmin per simplificar la configuració. Però cal tenir en compte que és insegur i que cal restringir l'accés al nostre servidor pel port 10000, tal i com fa webmin. Un cop hagueu instal·lat webmin al servidor, no obriu el port a l'exterior (seria l'habitual) sinó que accedirem mitjançant un túnel, el què ens mantindrà un nivell de seguretat raonable.
PREREQUISITS: cal tenir configurada una màquina AWS: Amazon Web Services (si no la tens mira't aquest article).
Una bona referència és aquest tutorial de DNS Bind9 de DigitalOcean.
Objectiu de la pràctica
- Posar en marxa un servidor DNS a la nostra màquina AWS.
- Fer apuntar el domini que tenim reservat al nostre propi servidor DNS (probablement tens un domini .TK gestionat pels servidors DNS de .TK).
- L'objectiu final és crear subdominis en el nostre servidor DNS i que siguin accessibles públicament.
Passes a seguir recomanades
Passes a seguir:
- Instal·lar el servidor DNS bind9 (amb apt-get).
- Instal·lar el programari de gestió webmin:
- Ho podeu descarregar a http://www.webmin.com => Downloads
- Al mateix apartat de descàrregues hi ha uns manuals d'instal·lació.
- Configurar el webmin perquè només accepti connexions locals (cal buscar-ho).
- Accedir al webmin vía túnel SSH (cal buscar-ho).
- Connectar-nos al webmin i crear la zona elmeudomini.tk (el què tingueu reservat).
- Crear els subdominis:
- www.elmeudomini.tk
- ftp.elmeudomini.tk
- mail.elmeudomini.tk
- alpha.elmeudomini.tk
- beta.elmeudomini.tk
- Si ho estem fent al servidor AWS, cal obrir el port 53 (és el de les peticions DNS).
- Testejar el nostre servei DNS amb la comanda nslookup (busca com connectar-te al servidor amb "man nslookup").
- Configurar el nameservers de .TK perquè apuntin al nostre servidor.
- En la nova web d'administració de .TK (freenom.com) no deixa posar IPs com a namservers i cal posar-ne 2.Podeu utiltizar un altre domini que tingueu o bé posar el nom llarg de màquina AWS (que sol ser quelcom com EC2-52-17-32-137.EU-WEST-1.COMPUTE.AMAZONAWS.COM ).
- Els subdminis haurien de ser accessibles en un plaç d'algunes hores com a màxim.
Túnels i seguretat del Webmin en producció a AWS
Webmin és un software que no ve als repositoris d'Ubuntu. Té mala fama de ser insegur, i tant pel fet que estigui mal fet, sinó perquè té accés a funcions d'administració vitals de la màquina.
Una possible solució a la seguretat de webmin sol ser:
- Tancar el port 10000 del webmin externament (amb la AWS console).
- Permetre només les connexions locals al webmin (modificant l'arxiu miniserv.conf).
- Per poder-nos connectar, caldrà fer un túnel SSH, redirigint el port 10000 de la màquina AWS al port 9999 de la màquina local:
$ ssh -L 9999:localhost:10000 [email protected]
- Un cop fer el túnel, podem accedir al webmin del AWS apuntant el nostre navegador local a
http://localhost:9999