ProHoster > Блог > internet vijesti > Objavljen BIND DNS server 9.16.0

Objavljen BIND DNS server 9.16.0

Nakon 11 mjeseci razvoja, ISC konzorcij uveo Prvo stabilno izdanje nove značajne grane BIND 9.16 DNS servera. Podrška za granu 9.16 će se pružati tri godine do 2. kvartala 2023. kao dio produženog ciklusa podrške. Ažuriranja za prethodnu LTS granu 9.11 nastavit će se objavljivati ​​do decembra 2021. Podrška za granu 9.14 će prestati za tri mjeseca.

Glavni inovacije:

  • Dodan KASP (Key and Signing Policy), pojednostavljeni način upravljanja DNSSEC ključevima i digitalnim potpisima, zasnovan na postavljanju pravila definisanih korišćenjem direktive „dnssec-policy“. Ova direktiva vam omogućava da konfigurišete generisanje potrebnih novih ključeva za DNS zone i automatsku primenu ZSK i KSK ključeva.
  • Mrežni podsistem je značajno redizajniran i prebačen na asinhroni mehanizam obrade zahtjeva implementiran na bazi biblioteke libuv.
    Prerada još nije rezultirala bilo kakvim vidljivim promjenama, ali će u budućim izdanjima pružiti priliku za implementaciju nekih značajnih optimizacija performansi i dodavanje podrške za nove protokole kao što je DNS preko TLS-a.

  • Poboljšan proces za upravljanje DNSSEC sidrima povjerenja (sidro povjerenja, javni ključ vezan za zonu radi provjere autentičnosti ove zone). Umjesto postavki pouzdanih ključeva i upravljanih ključeva, koji su sada zastarjeli, predložena je nova direktiva pouzdanih sidrišta koja vam omogućava upravljanje obje vrste ključeva.

    Kada se koriste trust-anchors sa ključnom riječi initial-key, ponašanje ove direktive je identično upravljanim ključevima, tj. definira postavku sidra povjerenja u skladu sa RFC 5011. Kada se koriste trust-anchors sa ključnom riječi static-key, ponašanje odgovara direktivi trusted-keys, tj. definira trajni ključ koji se ne ažurira automatski. Trust-anchors također nudi još dvije ključne riječi, početni-ds i static-ds, koje vam omogućavaju da koristite sidra povjerenja u formatu DS (Delegation Signer) umjesto DNSKEY, što omogućava konfiguriranje veza za ključeve koji još nisu objavljeni (IANA organizacija planira koristiti DS format za ključeve osnovne zone u budućnosti).

  • Opcija “+yaml” dodata je uslužnim programima dig, mdig i delv za izlaz u YAML formatu.
  • Opcija “+[no]uneexpected” dodata je uslužnom programu dig, omogućavajući prijem odgovora od hostova koji nisu server na koji je zahtjev poslan.
  • Dodata opcija "+[no]expandaaaa" za uslužni program dig, što uzrokuje da se IPv6 adrese u AAAA zapisima prikazuju u punoj 128-bitnoj reprezentaciji, umjesto u RFC 5952 formatu.
  • Dodata mogućnost prebacivanja grupa statističkih kanala.
  • DS i CDS zapisi se sada generišu samo na osnovu SHA-256 heševa (generacija zasnovana na SHA-1 je prekinuta).
  • Za DNS kolačić (RFC 7873), zadani algoritam je SipHash 2-4, a podrška za HMAC-SHA je ukinuta (AES je zadržan).
  • Izlaz naredbi dnssec-signzone i dnssec-verify sada se šalje na standardni izlaz (STDOUT), a samo greške i upozorenja se štampaju u STDERR (opcija -f takođe štampa potpisanu zonu). Dodata je opcija "-q" za utišavanje izlaza.
  • DNSSEC kod za validaciju je prerađen kako bi se eliminiralo dupliciranje koda s drugim podsistemima.
  • Za prikaz statistike u JSON formatu, sada se može koristiti samo JSON-C biblioteka. Opcija konfiguracije "--with-libjson" je preimenovana u "--with-json-c".
  • Skripta za konfigurisanje više nije podrazumevana na "--sysconfdir" u /etc i "--localstatedir" u /var osim ako nije naveden "--prefix". Zadane staze su sada $prefix/etc i $prefix/var, kao što se koristi u Autoconf-u.
  • Uklonjen je kod koji implementira DLV (Domain Look-aside Verification, dnssec-lookaside opcija) uslugu, koja je zastarjela u BIND-u 9.12, a pridruženi dlv.isc.org rukovalac je onemogućen 2017. godine. Uklanjanje DLV-ova oslobodilo je BIND kod od nepotrebnih komplikacija.

izvor: opennet.ru

Dodajte komentar