DNS Linux en producció

De Cacauet Wiki
Salta a la navegació Salta a la cerca

En aquesta pràctica posarem a punt un servidor DNS en màquina Linux en producció.

Introducció

Abans cal que llegiu els conceptes sobre DNS.

Utilitzarem el programari de gestió webmin per simplificar la configuració. Però cal tenir en compte que és insegur i que cal restringir l'accés al nostre servidor pel port 10000, tal i com fa webmin. Un cop hagueu instal·lat webmin al servidor, no obriu el port a l'exterior (seria l'habitual) sinó que accedirem mitjançant un túnel, el què ens mantindrà un nivell de seguretat raonable.

PREREQUISITS: cal tenir configurada una màquina AWS: Amazon Web Services (si no la tens mira't aquest article).

Una bona referència és aquest tutorial de DNS Bind9 de DigitalOcean.


Objectiu de la pràctica

  • Posar en marxa un servidor DNS a la nostra màquina AWS.
  • Fer apuntar el domini que tenim reservat al nostre propi servidor DNS (probablement tens un domini .TK gestionat pels servidors DNS de .TK).
  • L'objectiu final és crear subdominis en el nostre servidor DNS i que siguin accessibles públicament.


Passes a seguir recomanades

Passes a seguir:

  1. Instal·lar el servidor DNS bind9 (amb apt-get).
  2. Instal·lar el programari de gestió webmin:
    • Ho podeu descarregar a http://www.webmin.com => Downloads
    • Al mateix apartat de descàrregues hi ha uns manuals d'instal·lació.
  3. Configurar el webmin perquè només accepti connexions locals (cal buscar-ho).
  4. Accedir al webmin vía túnel SSH (cal buscar-ho).
  5. Connectar-nos al webmin i crear la zona elmeudomini.tk (el què tingueu reservat).
  6. Crear els subdominis:
    • ns1.elmeudomini.tk
    • ns2.elmeudomini.tk
    • www.elmeudomini.tk
    • ftp.elmeudomini.tk
    • mail.elmeudomini.tk
    • alpha.elmeudomini.tk
    • beta.elmeudomini.tk
  7. Si ho estem fent al servidor AWS, cal obrir el port 53 (és el de les peticions DNS).
  8. Testejar el nostre servei DNS amb la comanda nslookup:
    $ nslookup - <ip_server>
  9. Configurar el nameservers de .TK perquè apuntin al nostre servidor.
    • En la web d'administració de .TK (freenom.com) cal crear el què s'anomenen GLUE RECORDS. Aquest faran d'enllaç amb el nostre server. Si anem al menu MANAGEMENT TOOLS -> NAMESERVERS el podrem configurar.
    • Caldrà crear 2 entrades mínim. Seran
      • ns1.elmeudomini.tk <ip-server>
      • ns2.elmeudomini.tk <ip-server>
    • Els subdminis haurien de ser accessibles en un plaç d'algunes hores com a màxim.


Túnels i seguretat del Webmin en producció a AWS

Webmin és un software que no ve als repositoris d'Ubuntu. Té mala fama de ser insegur, i no perquè estigui mal fet, sinó perquè té accés a funcions d'administració vitals de la màquina com a root.

Una possible solució a la seguretat de webmin sol ser:

  • Tancar el port 10000 del webmin externament (amb la AWS console).
  • Permetre només les connexions locals al webmin (modificant l'arxiu miniserv.conf).
  • Per poder-nos connectar, caldrà fer un túnel SSH, redirigint el port 10000 de la màquina AWS al port 9999 de la màquina local: 
    $ ssh -L 9999:localhost:10000 [email protected]
  • Un cop fer el túnel, podem accedir al webmin del AWS apuntant el nostre navegador local a
    http://localhost:9999
Obtingut de «https://cacauet.org/wiki/index.php?title=DNS_Linux_en_producció&oldid=3310»