ProHoster > Blog > nouvèl sou entènèt > BIND DNS Server 9.16.0 Lage

BIND DNS Server 9.16.0 Lage

Apre 11 mwa nan devlopman, ISC consortium la entwodwi Premye lage ki estab nan yon nouvo branch enpòtan nan sèvè a DNS BIND 9.16. Sipò pou branch 9.16 yo pral bay pou twa ane jiska 2yèm trimès 2023 la kòm yon pati nan yon sik sipò pwolonje. Mizajou pou branch LTS 9.11 anvan an ap kontinye pibliye jiska desanm 2021. Sipò pou branch 9.14 ap fini nan twa mwa.

Prensipal la inovasyon:

  • Te ajoute KASP (Kle ak Règleman Siyati), yon fason senplifye pou jere kle DNSSEC ak siyati dijital, ki baze sou etabli règleman yo defini lè l sèvi avèk "dnssec-policy" direktiv la. Direktiv sa a pèmèt ou konfigirasyon jenerasyon nouvo kle ki nesesè pou zòn DNS ak aplikasyon otomatik ZSK ak kle KSK.
  • Sou-sistèm rezo a te siyifikativman reamenaje epi chanje nan yon mekanis pwosesis demann asynchrone aplike ki baze sou bibliyotèk la. libuv.
    Retravay la poko lakòz okenn chanjman vizib, men nan pwochen degaje li pral bay opòtinite pou aplike kèk optimize pèfòmans enpòtan epi ajoute sipò pou nouvo pwotokòl tankou DNS sou TLS.

  • Pwosesis amelyore pou jere lank konfyans DNSSEC (Trust anchor, yon kle piblik ki mare nan yon zòn pou verifye otantisite zòn sa a). Olye paramèt kle yo fè konfyans ak kle jere, ki kounye a demode, yo te pwopoze yon nouvo direktiv trust-anchors ki pèmèt ou jere tou de kalite kle yo.

    Lè w ap itilize trust-anchors ak mo kle inisyal la, konpòtman direktiv sa a ki idantik ak kle jere, i.e. defini anviwònman konfyans lank an akò ak RFC 5011. Lè w ap itilize trust-anchors ak mo kle static-key, konpòtman an koresponn ak direktiv trusted-keys, i.e. defini yon kle ki pèsistan ki pa mete ajou otomatikman. Trust-anchors ofri tou de plis mo kle, initial-ds ak static-ds, ki pèmèt ou sèvi ak konfyans lankr nan fòma a. DS (Siyatè Delegasyon an) olye de DNSKEY, ki fè li posib pou konfigirasyon lyen pou kle ki poko pibliye (òganizasyon IANA an planifye pou itilize fòma DS pou kle zòn debaz alavni).

  • Opsyon "+yaml" la te ajoute nan sèvis piblik fouye, mdig ak delv pou pwodiksyon nan fòma YAML.
  • Yo te ajoute opsyon "+[pa] inatandi" nan sèvis piblik fouye a, sa ki pèmèt resepsyon repons ki soti nan lame lòt pase sèvè kote yo te voye demann lan.
  • Te ajoute opsyon "+[no]expandaaaa" pou fouye sèvis piblik, ki lakòz adrès IPv6 nan dosye AAAA yo montre nan yon reprezantasyon konplè 128-bit, olye ke nan fòma RFC 5952.
  • Te ajoute kapasite pou chanje gwoup estatistik chanèl.
  • Kounye a, dosye DS ak CDS yo pwodwi sèlman sou hache SHA-256 (yo te sispann jenerasyon ki baze sou SHA-1).
  • Pou DNS Cookie (RFC 7873), algorithm default la se SipHash 2-4, epi sipò pou HMAC-SHA te sispann (AES kenbe).
  • Pwodiksyon kòmandman dnssec-signzone ak dnssec-verify yo voye kounye a nan pwodiksyon estanda (STDOUT), epi sèlman erè ak avètisman yo enprime nan STDERR (opsyon -f la tou enprime zòn ki siyen an). Opsyon "-q" la te ajoute pou bèbè pwodiksyon an.
  • Kòd validation DNSSEC la te retravay pou elimine duplication kòd ak lòt sous-sistèm.
  • Pou montre estatistik nan fòma JSON, se sèlman bibliyotèk JSON-C ki ka itilize kounye a. Opsyon konfigirasyon "--with-libjson" te chanje non an "--with-json-c".
  • Script konfigirasyon an pa default "--sysconfdir" nan /etc ak "--localstatedir" nan /var sof si "--prefix" yo espesifye. Chemen default yo kounye a se $prefiks/etc ak $prefiks/var, jan yo itilize nan Autoconf.
  • Yo te retire kòd ki te aplike sèvis DLV (Domain Look-aside Verification, dnssec-lookaside opsyon), ki te obsève nan BIND 9.12, epi moun k ap okipe dlv.isc.org ki asosye te dezaktive an 2017. Retire DLV yo libere kòd BIND nan konplikasyon ki pa nesesè.

Sous: opennet.ru

Add nouvo kòmantè