ProHoster > Blog > internet nuus > BIND DNS-bediener 9.16.0 vrygestel

BIND DNS-bediener 9.16.0 vrygestel

Na 11 maande van ontwikkeling het die ISC-konsortium voorgelê Die eerste stabiele vrystelling van 'n nuwe belangrike tak van die BIND 9.16 DNS-bediener. Ondersteuning vir tak 9.16 sal vir drie jaar tot die 2de kwartaal van 2023 verskaf word as deel van 'n uitgebreide ondersteuningsiklus. Opdaterings vir die vorige LTS-tak 9.11 sal voortgaan om vrygestel te word tot Desember 2021. Ondersteuning vir tak 9.14 sal oor drie maande eindig.

Die belangrikste innovasies:

  • Bygevoeg KASP (Key and Signing Policy), 'n vereenvoudigde manier om DNSSEC-sleutels en digitale handtekeninge te bestuur, gebaseer op die opstel van reëls wat gedefinieer is met behulp van die "dnssec-policy"-riglyn. Hierdie opdrag laat jou toe om die generering van die nodige nuwe sleutels vir DNS-sones en die outomatiese toepassing van ZSK- en KSK-sleutels op te stel.
  • Die netwerksubstelsel is aansienlik herontwerp en oorgeskakel na 'n asynchrone versoekverwerkingsmeganisme wat gebaseer is op die biblioteek libuv.
    Die herwerk het nog nie enige sigbare veranderinge tot gevolg gehad nie, maar in toekomstige vrystellings sal dit die geleentheid bied om 'n paar beduidende prestasie-optimalisasies te implementeer en ondersteuning vir nuwe protokolle soos DNS oor TLS by te voeg.

  • Verbeterde proses vir die bestuur van DNSSEC-trustankers (Trustanker, 'n publieke sleutel wat aan 'n sone gekoppel is om die egtheid van hierdie sone te verifieer). In plaas van die vertroude-sleutels en bestuurde sleutels-instellings, wat nou afgekeur is, is 'n nuwe vertroue-ankers-voorskrif voorgestel wat jou toelaat om beide tipes sleutels te bestuur.

    Wanneer trustankers met die aanvanklike sleutelsleutelwoord gebruik word, is die gedrag van hierdie richtlijn identies aan bestuurde sleutels, d.w.s. definieer die trustankerinstelling in ooreenstemming met RFC 5011. Wanneer trustankers met die statiese sleutelsleutelwoord gebruik word, stem die gedrag ooreen met die trusted-keys-direktief, d.w.s. definieer 'n aanhoudende sleutel wat nie outomaties opgedateer word nie. Trust-ankers bied ook nog twee sleutelwoorde, initial-ds en static-ds, wat jou toelaat om trust-ankers in die formaat te gebruik DS (Delegation Signer) in plaas van DNSKEY, wat dit moontlik maak om bindings op te stel vir sleutels wat nog nie gepubliseer is nie (die IANA-organisasie beplan om in die toekoms die DS-formaat vir kernsonesleutels te gebruik).

  • Die "+yaml"-opsie is by die dig-, mdig- en delv-hulpprogramme gevoeg vir uitvoer in YAML-formaat.
  • Die “+[no]unexpected”-opsie is by die grawe-hulpprogram gevoeg, wat die ontvangs van antwoorde van ander gashere as die bediener waarna die versoek gestuur is, moontlik maak.
  • Bygevoeg "+[no]expandaaaa" opsie om nut te grawe, wat veroorsaak dat IPv6-adresse in AAAA-rekords in volle 128-bis-voorstelling gewys word, eerder as in RFC 5952-formaat.
  • Bygevoeg die vermoë om groepe statistieke kanale te wissel.
  • DS- en CDS-rekords word nou slegs gegenereer op grond van SHA-256-hashes (generasie gebaseer op SHA-1 is gestaak).
  • Vir DNS Cookie (RFC 7873) is die verstekalgoritme SipHash 2-4, en ondersteuning vir HMAC-SHA is gestaak (AES word behou).
  • Die afvoer van die dnssec-signzone en dnssec-verify-opdragte word nou na standaarduitvoer (STDOUT) gestuur, en slegs foute en waarskuwings word na STDERR gedruk (die -f-opsie druk ook die getekende sone). Die "-q" opsie is bygevoeg om die uitset te demp.
  • Die DNSSEC-bekragtigingskode is herwerk om kodeduplisering met ander substelsels uit te skakel.
  • Om statistieke in JSON-formaat te vertoon, kan slegs die JSON-C-biblioteek nou gebruik word. Die konfigurasie-opsie "--with-libjson" is hernoem na "--with-json-c".
  • Die konfigurasieskrip is nie meer verstek na "--sysconfdir" in /etc en "--localstatedir" in /var tensy "--prefix" gespesifiseer is. Die verstekpaaie is nou $prefix/etc en $prefix/var, soos gebruik in Autoconf.
  • Verwyder kode wat die DLV (Domain Look-aside Verification, dnssec-lookaside option)-diens implementeer, wat in BIND 9.12 opgeskort is, en die geassosieerde dlv.isc.org-hanteerder is in 2017 gedeaktiveer. Die verwydering van die DLV's het die BIND-kode van onnodige komplikasies bevry.

Bron: opennet.ru

Voeg 'n opmerking