ProHoster > Blog > naidheachdan eadar-lìn > BIND DNS Server 9.16.0 air fhoillseachadh

BIND DNS Server 9.16.0 air fhoillseachadh

Às deidh 11 mìosan de leasachadh, chuir co-bhanntachd ISC toirt a-steach A’ chiad fhoillseachadh seasmhach de mheur ùr cudromach den t-seirbheisiche DNS BIND 9.16. Thèid taic airson meur 9.16 a thoirt seachad airson trì bliadhna chun 2na cairteal de 2023 mar phàirt de chearcall taic leudaichte. Leanaidh na h-ùrachaidhean airson meur LTS 9.11 roimhe a sgaoileadh chun Dùbhlachd 2021. Thig taic airson meur 9.14 gu crìch ann an trì mìosan.

prìomh innleachdan:

  • Chaidh KASP (Poileasaidh Prìomh is Soidhnidh) a chur ris), dòigh nas sìmplidhe air iuchraichean DNSSEC agus ainmean-sgrìobhte didseatach a riaghladh, stèidhichte air riaghailtean a tha air am mìneachadh a’ cleachdadh an stiùiridh “poileasaidh dnssec”. Leigidh an stiùireadh seo leat gineadh nan iuchraichean ùra riatanach airson sònaichean DNS a dhealbhadh agus cuir an sàs gu fèin-ghluasadach iuchraichean ZSK agus KSK.
  • Chaidh fo-shiostam an lìonra ath-dhealbhadh gu mòr agus atharrachadh gu inneal giullachd iarrtasan asyncronach air a chuir an gnìomh stèidhichte air an leabharlann libh.
    Chan eil an ath-obair air leantainn gu atharrachaidhean faicsinneach sam bith, ach ann am fiosan san àm ri teachd bheir e cothrom cuid de optimizations coileanaidh cudromach a chuir an gnìomh agus taic a chuir ri protocolaidhean ùra leithid DNS thairis air TLS.

  • Pròiseas nas fheàrr airson a bhith a’ riaghladh acraichean earbsa DNSSEC (Trust anchor, iuchair phoblach ceangailte ri sòn gus dearbhteachd na sòn seo a dhearbhadh). An àite na h-iuchraichean earbsach agus na h-iuchraichean stiùirichte, a tha a-nis air an ìsleachadh, chaidh stiùireadh earbsa-acraichean ùr a mholadh a leigeas leat an dà sheòrsa iuchair a riaghladh.

    Nuair a bhios tu a’ cleachdadh acraichean earbsa leis a’ phrìomh phrìomh fhacal tùsail, tha giùlan an stiùiridh seo co-ionann ri iuchraichean stiùirichte, i.e. a’ mìneachadh suidheachadh acair urrais a rèir RFC 5011. Nuair a bhios tu a’ cleachdadh earbsa-acraichean leis a’ phrìomh fhacal static-key, bidh an giùlan a’ freagairt ris an stiùireadh earbsa-iuchraichean, i.e. a’ mìneachadh iuchair sheasmhach nach tèid ùrachadh gu fèin-obrachail. Bidh Trust-anchors cuideachd a’ tabhann dà phrìomh fhacal a bharrachd, tùs-ds agus static-ds, a leigeas leat acraichean earbsa a chleachdadh anns a’ chruth DS (Soidhneadair Tiomnaidh) an àite DNSKEY, a tha ga dhèanamh comasach ceanglachan a rèiteachadh airson iuchraichean nach deach fhoillseachadh fhathast (tha buidheann IANA an dùil cruth DS a chleachdadh airson iuchraichean sòn bunaiteach san àm ri teachd).

  • Chaidh an roghainn “+ yaml” a chur ris na goireasan cladhach, mdig agus delv airson toradh ann an cruth YAML.
  • Chaidh an roghainn “+ [no] ris nach robh dùil” a chur ris a’ ghoireas cladhach, a’ toirt cothrom air freagairtean fhaighinn bho luchd-aoigheachd a bharrachd air an fhrithealaiche dhan deach an t-iarrtas a chuir.
  • Chaidh roghainn “+[no] expandaaaa” a chur ris gus goireas a chladhach, a dh’ adhbharaicheas seòlaidhean IPv6 ann an clàran AAAA a bhith air an sealltainn ann an làn riochdachadh 128-bit, seach ann an cruth RFC 5952.
  • Chuir sinn ris a’ chomas buidhnean de shianalan staitistig atharrachadh.
  • Tha clàran DS agus CDS a-nis air an gineadh a-mhàin stèidhichte air hashes SHA-256 (tha ginealach stèidhichte air SHA-1 air a stad).
  • Airson DNS Cookie (RFC 7873), is e SipHash 2-4 an algorithm bunaiteach, agus chaidh stad a chuir air taic airson HMAC-SHA (tha AES air a chumail).
  • Tha toradh nan òrdughan dnssec-signzone agus dnssec-verify a-nis air a chuir gu toradh àbhaisteach (STDOUT), agus chan eil ach mearachdan agus rabhaidhean air an clò-bhualadh gu STDERR (tha an roghainn -f cuideachd a’ clò-bhualadh an sòn soidhnichte). Chaidh an roghainn "-q" a chur ris gus an toradh a chuir dheth.
  • Chaidh còd dearbhaidh DNSSEC ath-obrachadh gus cuir às do dhùblachadh còd le fo-shiostaman eile.
  • Gus staitistig a thaisbeanadh ann an cruth JSON, chan urrainnear ach leabharlann JSON-C a chleachdadh a-nis. Chaidh an roghainn rèiteachaidh "--with-libjson" ath-ainmeachadh gu "--with-json-c".
  • Chan eil an sgriobt rèiteachaidh tuilleadh a’ dol gu “--sysconfdir” ann an /etc agus “--localstatedir” ann an /var mura h-eil “--prefix” air a shònrachadh. Is e na slighean bunaiteach a-nis $ prefix / etc agus $ prefix / var, mar a chleachdar ann an Autoconf.
  • Còd air a thoirt air falbh a’ buileachadh an t-seirbheis DLV (Domain Look-aside Verification, dnssec-lookaside option), a chaidh ìsleachadh ann am BIND 9.12, agus chaidh an inneal-làimhseachaidh dlv.isc.org co-cheangailte ris a chiorramachadh ann an 2017. Le bhith a’ toirt air falbh na DLVn shaor sin an còd BIND bho dhuilgheadasan neo-riatanach.

Source: fosgailtenet.ru

Cuir beachd ann