DNS Linux en producció

De Cacauet Wiki
Salta a la navegació Salta a la cerca

En aquesta pràctica posarem a punt un servidor DNS en màquina Linux en producció.

Introducció

Abans cal que llegiu els conceptes sobre DNS.

Utilitzarem el programari de gestió webmin per simplificar la configuració. Però cal tenir en compte que és insegur i que cal restringir l'accés al nostre servidor pel port 10000, tal i com fa webmin. Veurem com accedir a través d'un túnel SSH, molt més segur.

PREREQUISITS: cal tenir configurada una màquina AWS: Amazon Web Services (si no la tens mira't aquest article).

Es recomana fer aquesta pràctica:

  1. Primer en una màquina virtual Ubuntu Server (Funkyserver).
  2. Després posar-la en producció en la màquina real.

Una bona referència és aquest tutorial de DNS Bind9 de DigitalOcean.


Objectiu de la pràctica

  • Posar en marxa un servidor DNS a la nostra màquina AWS.
  • Fer apuntar el domini que tenim reservat al nostre propi servidor DNS (probablement tens un domini .TK gestionat pels propis servidors DNS de .TK).
  • Crear subdominis en el nostre servidor DNS accessibles públicament.


Passes a seguir recomanades

Passes a seguir:

  1. Instal·lar el servidor DNS bind9 (amb apt-get).
  2. Instal·lar el programari de gestió webmin:
    • Ho podeu descarregar a http://www.webmin.com => Downloads
    • Al mateix apartat de descàrregues hi ha uns manuals d'instal·lació.
  3. Configurar el webmin perquè només accepti connexions locals (cal buscar-ho).
  4. Accedir al webmin vía túnel SSH (cal buscar-ho).
  5. Connectar-nos al webmin i crear la zona elmeudomini.tk (el què tingueu reservat).
  6. Crear els subdominis:
    • www.elmeudomini.tk
    • ftp.elmeudomini.tk
    • mail.elmeudomini.tk
    • alpha.elmeudomini.tk
    • beta.elmeudomini.tk
  7. Si ho estem fent al servidor AWS, cal obrir el port 53 (és el de les peticions DNS).
  8. Testejar el nostre servei DNS amb la comanda nslookup (busca com connectar-te al servidor amb "man nslookup").
  9. Configurar el nameservers de .TK perquè apuntin al nostre servidor.
    • En la nova web d'administració de .TK (freenom.com) no deixa posar IPs com a namservers i cal posar-ne 2.Podeu utiltizar un altre domini que tingueu o bé posar el nom llarg de màquina AWS (que sol ser quelcom com EC2-52-17-32-137.EU-WEST-1.COMPUTE.AMAZONAWS.COM ).
    • Els subdminis haurien de ser accessibles en un plaç d'algunes hores com a màxim.


Túnels i seguretat del Webmin en producció a AWS

Webmin és un software que no ve als repositoris d'Ubuntu. Té mala fama de ser insegur, i tant pel fet que estigui mal fet, sinó perquè té accés a funcions d'administració vitals de la màquina.

Una possible solució a la seguretat de webmin sol ser:

  • Tancar el port 10000 del webmin externament (amb la AWS console).
  • Permetre només les connexions locals al webmin (modificant l'arxiu miniserv.conf).
  • Per poder-nos connectar, caldrà fer un túnel SSH, redirigint el port 10000 de la màquina AWS al port 9999 de la màquina local:
    $ ssh -L 9999:localhost:10000 [email protected]
  • Un cop fer el túnel, podem accedir al webmin del AWS apuntant el nostre navegador local a
    http://localhost:9999