Diferència entre revisions de la pàgina «DNS Linux en producció»
(Hi ha 8 revisions intermèdies del mateix usuari que no es mostren) | |||
Línia 4: | Línia 4: | ||
Abans cal que llegiu els conceptes sobre [[DNS]]. | Abans cal que llegiu els conceptes sobre [[DNS]]. | ||
− | Utilitzarem el programari de gestió '''''webmin''''' per simplificar la configuració. Però cal tenir en compte que és insegur i que cal restringir l'accés al nostre servidor pel port 10000, tal i com fa webmin. | + | Utilitzarem el programari de gestió '''''webmin''''' per simplificar la configuració. Però cal tenir en compte que és insegur i que cal restringir l'accés al nostre servidor pel port 10000, tal i com fa webmin. Un cop hagueu instal·lat ''webmin'' al servidor, no obriu el port a l'exterior (seria l'habitual) sinó que accedirem mitjançant un túnel, el què ens mantindrà un nivell de seguretat raonable. |
PREREQUISITS: cal tenir configurada una màquina [[AWS: Amazon Web Services]] (si no la tens mira't aquest article). | PREREQUISITS: cal tenir configurada una màquina [[AWS: Amazon Web Services]] (si no la tens mira't aquest article). | ||
− | + | Una bona referència és aquest [https://www.digitalocean.com/community/tutorials/how-to-configure-bind-as-an-authoritative-only-dns-server-on-ubuntu-14-04 tutorial de DNS Bind9 de DigitalOcean]. | |
− | + | ||
− | |||
<br> | <br> | ||
== Objectiu de la pràctica == | == Objectiu de la pràctica == | ||
* Posar en marxa un servidor DNS a la nostra màquina AWS. | * Posar en marxa un servidor DNS a la nostra màquina AWS. | ||
− | * Fer apuntar el domini que tenim reservat al nostre propi servidor DNS (probablement tens un domini .TK gestionat pels | + | * Fer apuntar el domini que tenim reservat al nostre propi servidor DNS (probablement tens un domini .TK gestionat pels servidors DNS de .TK). |
− | * | + | * L'objectiu final és '''crear subdominis en el nostre servidor DNS''' i que siguin accessibles públicament. |
+ | |||
<br> | <br> | ||
Línia 29: | Línia 29: | ||
# Connectar-nos al webmin i crear la zona ''elmeudomini.tk'' (el què tingueu reservat). | # Connectar-nos al webmin i crear la zona ''elmeudomini.tk'' (el què tingueu reservat). | ||
# Crear els subdominis: | # Crear els subdominis: | ||
+ | #* '''ns1'''.elmeudomini.tk | ||
+ | #* '''ns2'''.elmeudomini.tk | ||
#* '''www'''.elmeudomini.tk | #* '''www'''.elmeudomini.tk | ||
#* '''ftp'''.elmeudomini.tk | #* '''ftp'''.elmeudomini.tk | ||
Línia 35: | Línia 37: | ||
#* '''beta'''.elmeudomini.tk | #* '''beta'''.elmeudomini.tk | ||
# Si ho estem fent al servidor AWS, cal obrir el port 53 (és el de les peticions DNS). | # Si ho estem fent al servidor AWS, cal obrir el port 53 (és el de les peticions DNS). | ||
− | # Testejar el nostre servei DNS amb la comanda '''''nslookup''''' | + | # Testejar el nostre servei DNS amb la comanda '''''nslookup''''':<pre>$ nslookup - <ip_server></pre> |
# Configurar el ''nameservers'' de .TK perquè apuntin al nostre servidor. | # Configurar el ''nameservers'' de .TK perquè apuntin al nostre servidor. | ||
− | #* En la | + | #* En la web d'administració de .TK (freenom.com) cal crear el què s'anomenen '''GLUE RECORDS'''. Aquest faran d'enllaç amb el nostre server. Configura-ho a: <pre>Management Tools -> Nameservers</pre> |
+ | #* Introdueix els GLUE RECORDS: cal crear 2 entrades mínim amb nom i IP. Seran: | ||
+ | #** ns1.elmeudomini.tk <ip-server> | ||
+ | #** ns2.elmeudomini.tk <ip-server> | ||
#* Els subdminis haurien de ser accessibles en un plaç d'algunes hores com a màxim. | #* Els subdminis haurien de ser accessibles en un plaç d'algunes hores com a màxim. | ||
Línia 43: | Línia 48: | ||
== Túnels i seguretat del Webmin en producció a AWS == | == Túnels i seguretat del Webmin en producció a AWS == | ||
− | Webmin és un software que no ve als repositoris d'Ubuntu. Té mala fama de ser insegur, i | + | Webmin és un software que no ve als repositoris d'Ubuntu. Té mala fama de ser insegur, i no perquè estigui mal fet, sinó perquè té accés a funcions d'administració vitals de la màquina com a ''root''. |
Una possible solució a la seguretat de webmin sol ser: | Una possible solució a la seguretat de webmin sol ser: | ||
* Tancar el port 10000 del webmin externament (amb la AWS console). | * Tancar el port 10000 del webmin externament (amb la AWS console). | ||
* Permetre només les connexions locals al webmin (modificant l'arxiu miniserv.conf). | * Permetre només les connexions locals al webmin (modificant l'arxiu miniserv.conf). | ||
− | * Per poder-nos connectar, caldrà fer un túnel SSH, redirigint el port 10000 de la màquina AWS: <pre>$ ssh -L 9999:localhost:10000 [email protected]</pre> | + | * Per poder-nos connectar, caldrà fer un túnel SSH, redirigint el port 10000 de la màquina AWS al port 9999 de la màquina local: <pre>$ ssh -L 9999:localhost:10000 [email protected]</pre> |
* Un cop fer el túnel, podem accedir al webmin del AWS apuntant el nostre navegador local a<pre>http://localhost:9999</pre> | * Un cop fer el túnel, podem accedir al webmin del AWS apuntant el nostre navegador local a<pre>http://localhost:9999</pre> |
Revisió de 14:04, 12 abr 2016
En aquesta pràctica posarem a punt un servidor DNS en màquina Linux en producció.
Contingut
Introducció[modifica]
Abans cal que llegiu els conceptes sobre DNS.
Utilitzarem el programari de gestió webmin per simplificar la configuració. Però cal tenir en compte que és insegur i que cal restringir l'accés al nostre servidor pel port 10000, tal i com fa webmin. Un cop hagueu instal·lat webmin al servidor, no obriu el port a l'exterior (seria l'habitual) sinó que accedirem mitjançant un túnel, el què ens mantindrà un nivell de seguretat raonable.
PREREQUISITS: cal tenir configurada una màquina AWS: Amazon Web Services (si no la tens mira't aquest article).
Una bona referència és aquest tutorial de DNS Bind9 de DigitalOcean.
Objectiu de la pràctica[modifica]
- Posar en marxa un servidor DNS a la nostra màquina AWS.
- Fer apuntar el domini que tenim reservat al nostre propi servidor DNS (probablement tens un domini .TK gestionat pels servidors DNS de .TK).
- L'objectiu final és crear subdominis en el nostre servidor DNS i que siguin accessibles públicament.
Passes a seguir recomanades[modifica]
Passes a seguir:
- Instal·lar el servidor DNS bind9 (amb apt-get).
- Instal·lar el programari de gestió webmin:
- Ho podeu descarregar a http://www.webmin.com => Downloads
- Al mateix apartat de descàrregues hi ha uns manuals d'instal·lació.
- Configurar el webmin perquè només accepti connexions locals (cal buscar-ho).
- Accedir al webmin vía túnel SSH (cal buscar-ho).
- Connectar-nos al webmin i crear la zona elmeudomini.tk (el què tingueu reservat).
- Crear els subdominis:
- ns1.elmeudomini.tk
- ns2.elmeudomini.tk
- www.elmeudomini.tk
- ftp.elmeudomini.tk
- mail.elmeudomini.tk
- alpha.elmeudomini.tk
- beta.elmeudomini.tk
- Si ho estem fent al servidor AWS, cal obrir el port 53 (és el de les peticions DNS).
- Testejar el nostre servei DNS amb la comanda nslookup:
$ nslookup - <ip_server>
- Configurar el nameservers de .TK perquè apuntin al nostre servidor.
- En la web d'administració de .TK (freenom.com) cal crear el què s'anomenen GLUE RECORDS. Aquest faran d'enllaç amb el nostre server. Configura-ho a:
Management Tools -> Nameservers
- Introdueix els GLUE RECORDS: cal crear 2 entrades mínim amb nom i IP. Seran:
- ns1.elmeudomini.tk <ip-server>
- ns2.elmeudomini.tk <ip-server>
- Els subdminis haurien de ser accessibles en un plaç d'algunes hores com a màxim.
- En la web d'administració de .TK (freenom.com) cal crear el què s'anomenen GLUE RECORDS. Aquest faran d'enllaç amb el nostre server. Configura-ho a:
Túnels i seguretat del Webmin en producció a AWS[modifica]
Webmin és un software que no ve als repositoris d'Ubuntu. Té mala fama de ser insegur, i no perquè estigui mal fet, sinó perquè té accés a funcions d'administració vitals de la màquina com a root.
Una possible solució a la seguretat de webmin sol ser:
- Tancar el port 10000 del webmin externament (amb la AWS console).
- Permetre només les connexions locals al webmin (modificant l'arxiu miniserv.conf).
- Per poder-nos connectar, caldrà fer un túnel SSH, redirigint el port 10000 de la màquina AWS al port 9999 de la màquina local:
$ ssh -L 9999:localhost:10000 [email protected]
- Un cop fer el túnel, podem accedir al webmin del AWS apuntant el nostre navegador local a
http://localhost:9999