ProHoster > Blog > ειδήσεις στο διαδίκτυο > Κυκλοφόρησε ο BIND DNS Server 9.16.0

Κυκλοφόρησε ο BIND DNS Server 9.16.0

Μετά από 11 μήνες ανάπτυξης, η κοινοπραξία ISC εισήχθη Η πρώτη σταθερή έκδοση ενός νέου σημαντικού κλάδου του διακομιστή BIND 9.16 DNS. Η υποστήριξη για τον κλάδο 9.16 θα παρέχεται για τρία χρόνια έως το 2ο τρίμηνο του 2023 ως μέρος ενός εκτεταμένου κύκλου υποστήριξης. Οι ενημερώσεις για τον προηγούμενο κλάδο LTS 9.11 θα συνεχίσουν να κυκλοφορούν μέχρι τον Δεκέμβριο του 2021. Η υποστήριξη για τον κλάδο 9.14 θα λήξει σε τρεις μήνες.

Ο κύριος καινοτομίες:

  • Προστέθηκε το KASP (Πολιτική κλειδιού και υπογραφής), ένας απλοποιημένος τρόπος διαχείρισης κλειδιών DNSSEC και ψηφιακών υπογραφών, με βάση τους κανόνες ρύθμισης που ορίζονται χρησιμοποιώντας την οδηγία «dnssec-policy». Αυτή η οδηγία σάς επιτρέπει να διαμορφώσετε τη δημιουργία των απαραίτητων νέων κλειδιών για ζώνες DNS και την αυτόματη εφαρμογή των κλειδιών ZSK και KSK.
  • Το υποσύστημα δικτύου έχει επανασχεδιαστεί σημαντικά και έχει μετατραπεί σε έναν ασύγχρονο μηχανισμό επεξεργασίας αιτημάτων που υλοποιείται με βάση τη βιβλιοθήκη libuv.
    Η επανάληψη δεν έχει ακόμη οδηγήσει σε ορατές αλλαγές, αλλά σε μελλοντικές εκδόσεις θα παρέχει την ευκαιρία να υλοποιηθούν ορισμένες σημαντικές βελτιστοποιήσεις απόδοσης και να προστεθεί υποστήριξη για νέα πρωτόκολλα όπως το DNS μέσω TLS.

  • Βελτιωμένη διαδικασία για τη διαχείριση των αγκυρώσεων αξιοπιστίας DNSSEC (Trust anchor, ένα δημόσιο κλειδί που συνδέεται με μια ζώνη για την επαλήθευση της γνησιότητας αυτής της ζώνης). Αντί για τις ρυθμίσεις αξιόπιστων κλειδιών και διαχειριζόμενων κλειδιών, οι οποίες έχουν πλέον καταργηθεί, έχει προταθεί μια νέα οδηγία αγκύρωσης αξιοπιστίας που σας επιτρέπει να διαχειρίζεστε και τους δύο τύπους κλειδιών.

    Όταν χρησιμοποιείτε αγκυρώσεις εμπιστοσύνης με τη λέξη-κλειδί αρχικού κλειδιού, η συμπεριφορά αυτής της οδηγίας είναι πανομοιότυπη με τα διαχειριζόμενα κλειδιά, π.χ. ορίζει τη ρύθμιση αγκύρωσης αξιοπιστίας σύμφωνα με το RFC 5011. Όταν χρησιμοποιείτε αγκυρώσεις αξιοπιστίας με τη λέξη-κλειδί στατικού κλειδιού, η συμπεριφορά αντιστοιχεί στην οδηγία αξιόπιστων κλειδιών, π.χ. ορίζει ένα μόνιμο κλειδί που δεν ενημερώνεται αυτόματα. Το Trust-anchors προσφέρει επίσης δύο ακόμη λέξεις-κλειδιά, αρχικές-ds και static-ds, οι οποίες σας επιτρέπουν να χρησιμοποιείτε τις αγκυρώσεις αξιοπιστίας στη μορφή DS (Delegation Signer) αντί για DNSKEY, το οποίο καθιστά δυνατή τη διαμόρφωση δεσμεύσεων για κλειδιά που δεν έχουν ακόμη δημοσιευτεί (ο οργανισμός IANA σχεδιάζει να χρησιμοποιήσει τη μορφή DS για κλειδιά ζώνης πυρήνα στο μέλλον).

  • Η επιλογή "+yaml" έχει προστεθεί στα βοηθητικά προγράμματα dig, mdig και delv για έξοδο σε μορφή YAML.
  • Η επιλογή «+[όχι]απροσδόκητο» προστέθηκε στο βοηθητικό πρόγραμμα dig, επιτρέποντας τη λήψη απαντήσεων από κεντρικούς υπολογιστές διαφορετικούς από τον διακομιστή στον οποίο στάλθηκε το αίτημα.
  • Προστέθηκε η επιλογή "+[no]expandaaaa" στο dig utility, η οποία προκαλεί τις διευθύνσεις IPv6 στις εγγραφές AAAA να εμφανίζονται σε πλήρη αναπαράσταση 128 bit, αντί σε μορφή RFC 5952.
  • Προστέθηκε η δυνατότητα εναλλαγής ομάδων καναλιών στατιστικών.
  • Οι εγγραφές DS και CDS δημιουργούνται πλέον μόνο με βάση τους κατακερματισμούς SHA-256 (η δημιουργία με βάση το SHA-1 έχει διακοπεί).
  • Για το DNS Cookie (RFC 7873), ο προεπιλεγμένος αλγόριθμος είναι SipHash 2-4 και η υποστήριξη για HMAC-SHA έχει διακοπεί (το AES διατηρείται).
  • Η έξοδος των εντολών dnssec-signzone και dnssec-verify αποστέλλεται τώρα στην τυπική έξοδο (STDOUT) και μόνο τα σφάλματα και οι προειδοποιήσεις εκτυπώνονται στο STDERR (η επιλογή -f εκτυπώνει επίσης την υπογεγραμμένη ζώνη). Η επιλογή "-q" προστέθηκε για σίγαση της εξόδου.
  • Ο κώδικας επικύρωσης DNSSEC έχει επεξεργαστεί εκ νέου για την εξάλειψη της διπλοκάλυψης κώδικα με άλλα υποσυστήματα.
  • Για την εμφάνιση στατιστικών στοιχείων σε μορφή JSON, μπορεί πλέον να χρησιμοποιηθεί μόνο η βιβλιοθήκη JSON-C. Η επιλογή διαμόρφωσης "--with-libjson" μετονομάστηκε σε "--with-json-c".
  • Το σενάριο ρύθμισης παραμέτρων δεν έχει πλέον την προεπιλογή "--sysconfdir" στο /etc και "--localstatedir" στο /var, εκτός εάν έχει καθοριστεί το "--πρόθεμα". Οι προεπιλεγμένες διαδρομές είναι τώρα $prefix/etc και $prefix/var, όπως χρησιμοποιούνται στο Autoconf.
  • Καταργήθηκε ο κώδικας που υλοποιούσε την υπηρεσία DLV (Domain Look-aside Verification, dnssec-lookaside option), ο οποίος καταργήθηκε στο BIND 9.12 και ο σχετικός χειριστής dlv.isc.org απενεργοποιήθηκε το 2017. Η κατάργηση των DLV απελευθέρωσε τον κώδικα BIND από περιττές επιπλοκές.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο