Diferència entre revisions de la pàgina «DNS Linux en producció»

De Cacauet Wiki
Salta a la navegació Salta a la cerca
 
(Hi ha 10 revisions intermèdies del mateix usuari que no es mostren)
Línia 4: Línia 4:
 
Abans cal que llegiu els conceptes sobre [[DNS]].
 
Abans cal que llegiu els conceptes sobre [[DNS]].
  
Utilitzarem el programari de gestió '''''webmin''''' per simplificar la configuració. Però cal tenir en compte que és insegur i que cal restringir l'accés al nostre servidor pel port 10000, tal i com fa webmin. Veurem com accedir a través d'un túnel SSH, molt més segur.
+
Utilitzarem el programari de gestió '''''webmin''''' per simplificar la configuració. Però cal tenir en compte que és insegur i que cal restringir l'accés al nostre servidor pel port 10000, tal i com fa webmin. Un cop hagueu instal·lat ''webmin'' al servidor, no obriu el port a l'exterior (seria l'habitual) sinó que accedirem mitjançant un túnel, el què ens mantindrà un nivell de seguretat raonable.
  
 
PREREQUISITS: cal tenir configurada una màquina [[AWS: Amazon Web Services]] (si no la tens mira't aquest article).
 
PREREQUISITS: cal tenir configurada una màquina [[AWS: Amazon Web Services]] (si no la tens mira't aquest article).
  
Es recomana fer aquesta pràctica:
+
Una bona referència és aquest [https://www.digitalocean.com/community/tutorials/how-to-configure-bind-as-an-authoritative-only-dns-server-on-ubuntu-14-04 tutorial de DNS Bind9 de DigitalOcean].
# Primer en una màquina virtual Ubuntu Server (Funkyserver).
+
 
# Després posar-la en producció en la màquina real.
 
 
<br>
 
<br>
  
 
== Objectiu de la pràctica ==
 
== Objectiu de la pràctica ==
 
* Posar en marxa un servidor DNS a la nostra màquina AWS.
 
* Posar en marxa un servidor DNS a la nostra màquina AWS.
* Fer apuntar el domini que tenim reservat al nostre propi servidor DNS (probablement tens un domini .TK gestionat pels propis servidors DNS de .TK).
+
* Fer apuntar el domini que tenim reservat al nostre propi servidor DNS (probablement tens un domini .TK gestionat pels servidors DNS de .TK).
* Crear subdominis en el nostre servidor DNS accessibles públicament.
+
* L'objectiu final és '''crear subdominis en el nostre servidor DNS''' i que siguin accessibles públicament.
 +
 
 
<br>
 
<br>
  
Línia 29: Línia 29:
 
# Connectar-nos al webmin i crear la zona ''elmeudomini.tk'' (el què tingueu reservat).
 
# Connectar-nos al webmin i crear la zona ''elmeudomini.tk'' (el què tingueu reservat).
 
# Crear els subdominis:
 
# Crear els subdominis:
 +
#* '''ns1'''.elmeudomini.tk
 +
#* '''ns2'''.elmeudomini.tk
 
#* '''www'''.elmeudomini.tk
 
#* '''www'''.elmeudomini.tk
 
#* '''ftp'''.elmeudomini.tk
 
#* '''ftp'''.elmeudomini.tk
Línia 35: Línia 37:
 
#* '''beta'''.elmeudomini.tk
 
#* '''beta'''.elmeudomini.tk
 
# Si ho estem fent al servidor AWS, cal obrir el port 53 (és el de les peticions DNS).
 
# Si ho estem fent al servidor AWS, cal obrir el port 53 (és el de les peticions DNS).
# Testejar el nostre servei DNS amb la comanda '''''nslookup''''' (busca com connectar-te al servidor amb "man nslookup").
+
# Testejar el nostre servei DNS amb la comanda '''''nslookup''''':<pre>$ nslookup - <ip_server></pre>
# Configurar el servidor .TK perquè apunti al nostre servidor.
+
# Configurar el ''nameservers'' de .TK perquè apuntin al nostre servidor.
#: Els subdminis haurien de ser accessibles en un plaç d'algunes hores com a màxim.
+
#* En la web d'administració de .TK (freenom.com) cal crear el què s'anomenen '''GLUE RECORDS'''. Aquest faran d'enllaç amb el nostre server. Configura-ho a: <pre>Management Tools -> Nameservers</pre>
 +
#* Introdueix els GLUE RECORDS: cal crear 2 entrades mínim amb nom i IP. Seran:
 +
#** ns1.elmeudomini.tk    <ip-server>
 +
#** ns2.elmeudomini.tk    <ip-server>
 +
#* Els subdminis haurien de ser accessibles en un plaç d'algunes hores com a màxim.
  
 
<br>
 
<br>
 +
 +
== Túnels i seguretat del Webmin en producció a AWS ==
 +
Webmin és un software que no ve als repositoris d'Ubuntu. Té mala fama de ser insegur, i no perquè estigui mal fet, sinó perquè té accés a funcions d'administració vitals de la màquina com a ''root''.
 +
 +
Una possible solució a la seguretat de webmin sol ser:
 +
* Tancar el port 10000 del webmin externament (amb la AWS console).
 +
* Permetre només les connexions locals al webmin (modificant l'arxiu miniserv.conf).
 +
* Per poder-nos connectar, caldrà fer un túnel SSH, redirigint el port 10000 de la màquina AWS al port 9999 de la màquina local: <pre>$ ssh -L 9999:localhost:10000 [email protected]</pre>
 +
* Un cop fer el túnel, podem accedir al webmin del AWS apuntant el nostre navegador local a<pre>http://localhost:9999</pre>

Revisió de 14:04, 12 abr 2016

En aquesta pràctica posarem a punt un servidor DNS en màquina Linux en producció.

Introducció[modifica]

Abans cal que llegiu els conceptes sobre DNS.

Utilitzarem el programari de gestió webmin per simplificar la configuració. Però cal tenir en compte que és insegur i que cal restringir l'accés al nostre servidor pel port 10000, tal i com fa webmin. Un cop hagueu instal·lat webmin al servidor, no obriu el port a l'exterior (seria l'habitual) sinó que accedirem mitjançant un túnel, el què ens mantindrà un nivell de seguretat raonable.

PREREQUISITS: cal tenir configurada una màquina AWS: Amazon Web Services (si no la tens mira't aquest article).

Una bona referència és aquest tutorial de DNS Bind9 de DigitalOcean.


Objectiu de la pràctica[modifica]

  • Posar en marxa un servidor DNS a la nostra màquina AWS.
  • Fer apuntar el domini que tenim reservat al nostre propi servidor DNS (probablement tens un domini .TK gestionat pels servidors DNS de .TK).
  • L'objectiu final és crear subdominis en el nostre servidor DNS i que siguin accessibles públicament.


Passes a seguir recomanades[modifica]

Passes a seguir:

  1. Instal·lar el servidor DNS bind9 (amb apt-get).
  2. Instal·lar el programari de gestió webmin:
    • Ho podeu descarregar a http://www.webmin.com => Downloads
    • Al mateix apartat de descàrregues hi ha uns manuals d'instal·lació.
  3. Configurar el webmin perquè només accepti connexions locals (cal buscar-ho).
  4. Accedir al webmin vía túnel SSH (cal buscar-ho).
  5. Connectar-nos al webmin i crear la zona elmeudomini.tk (el què tingueu reservat).
  6. Crear els subdominis:
    • ns1.elmeudomini.tk
    • ns2.elmeudomini.tk
    • www.elmeudomini.tk
    • ftp.elmeudomini.tk
    • mail.elmeudomini.tk
    • alpha.elmeudomini.tk
    • beta.elmeudomini.tk
  7. Si ho estem fent al servidor AWS, cal obrir el port 53 (és el de les peticions DNS).
  8. Testejar el nostre servei DNS amb la comanda nslookup:
    $ nslookup - <ip_server>
  9. Configurar el nameservers de .TK perquè apuntin al nostre servidor.
    • En la web d'administració de .TK (freenom.com) cal crear el què s'anomenen GLUE RECORDS. Aquest faran d'enllaç amb el nostre server. Configura-ho a:
      Management Tools -> Nameservers
    • Introdueix els GLUE RECORDS: cal crear 2 entrades mínim amb nom i IP. Seran:
      • ns1.elmeudomini.tk <ip-server>
      • ns2.elmeudomini.tk <ip-server>
    • Els subdminis haurien de ser accessibles en un plaç d'algunes hores com a màxim.


Túnels i seguretat del Webmin en producció a AWS[modifica]

Webmin és un software que no ve als repositoris d'Ubuntu. Té mala fama de ser insegur, i no perquè estigui mal fet, sinó perquè té accés a funcions d'administració vitals de la màquina com a root.

Una possible solució a la seguretat de webmin sol ser:

  • Tancar el port 10000 del webmin externament (amb la AWS console).
  • Permetre només les connexions locals al webmin (modificant l'arxiu miniserv.conf).
  • Per poder-nos connectar, caldrà fer un túnel SSH, redirigint el port 10000 de la màquina AWS al port 9999 de la màquina local:
    $ ssh -L 9999:localhost:10000 [email protected]
  • Un cop fer el túnel, podem accedir al webmin del AWS apuntant el nostre navegador local a
    http://localhost:9999