BIND DNS Server 9.16.0 បានចេញផ្សាយ

បន្ទាប់ពី 11 ខែនៃការអភិវឌ្ឍន៍ សម្ព័ន្ធ ISC ណែនាំ ការចេញផ្សាយស្ថេរភាពដំបូងនៃសាខាសំខាន់ថ្មីនៃម៉ាស៊ីនមេ DNS BIND 9.16 ។ ការគាំទ្រសម្រាប់សាខា 9.16 នឹងត្រូវបានផ្តល់ជូនសម្រាប់រយៈពេល 2 ឆ្នាំរហូតដល់ត្រីមាសទី 2023 នៃឆ្នាំ 9.11 ដែលជាផ្នែកនៃវដ្តនៃការគាំទ្របន្ថែម។ ការអាប់ដេតសម្រាប់សាខា LTS ពីមុន 2021 នឹងបន្តចេញផ្សាយរហូតដល់ខែធ្នូ ឆ្នាំ 9.14។ ការគាំទ្រសម្រាប់សាខា XNUMX នឹងបញ្ចប់ក្នុងរយៈពេល XNUMX ខែ។

សំខាន់ ការច្នៃប្រឌិត:

• បានបន្ថែម KASP (គោលការណ៍គន្លឹះ និងការចុះហត្ថលេខា) ដែលជាវិធីសាមញ្ញក្នុងការគ្រប់គ្រងសោ DNSSEC និងហត្ថលេខាឌីជីថល ដោយផ្អែកលើការកំណត់ច្បាប់ដែលបានកំណត់ដោយប្រើការណែនាំ "dnssec-policy" ។ ការណែនាំនេះអនុញ្ញាតឱ្យអ្នកកំណត់រចនាសម្ព័ន្ធការបង្កើតកូនសោថ្មីចាំបាច់សម្រាប់តំបន់ DNS និងកម្មវិធីដោយស្វ័យប្រវត្តិនៃគ្រាប់ចុច ZSK និង KSK ។
• ប្រព័ន្ធរងបណ្តាញត្រូវបានរៀបចំឡើងវិញយ៉ាងសំខាន់ និងប្តូរទៅជាយន្តការដំណើរការសំណើអសមកាលដែលត្រូវបានអនុវត្តដោយផ្អែកលើបណ្ណាល័យ លីប៊ូវ.
  ការងារឡើងវិញមិនទាន់បណ្តាលឱ្យមានការផ្លាស់ប្តូរដែលអាចមើលឃើញនៅឡើយទេ ប៉ុន្តែនៅក្នុងការចេញផ្សាយនាពេលខាងមុខ វានឹងផ្តល់ឱកាសដើម្បីអនុវត្តការបង្កើនប្រសិទ្ធភាពប្រតិបត្តិការសំខាន់ៗមួយចំនួន និងបន្ថែមការគាំទ្រសម្រាប់ពិធីការថ្មីដូចជា DNS លើ TLS ជាដើម។

• ដំណើរការប្រសើរឡើងសម្រាប់ការគ្រប់គ្រង យុថ្កាការជឿទុកចិត្ត DNSSEC (យុថ្កាការទុកចិត្ត ដែលជាសោសាធារណៈដែលភ្ជាប់ទៅនឹងតំបន់ដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃតំបន់នេះ)។ ជំនួសឱ្យការកំណត់គ្រាប់ចុចដែលអាចទុកចិត្តបាន និងសោដែលបានគ្រប់គ្រង ដែលឥឡូវនេះត្រូវបានបដិសេធ ការណែនាំអំពីយុថ្កាទុកចិត្តថ្មីត្រូវបានស្នើឡើង ដែលអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងសោទាំងពីរប្រភេទ។

  នៅពេលប្រើ trust-anchors ជាមួយពាក្យគន្លឹះដំបូង ឥរិយាបថនៃការណែនាំនេះគឺដូចគ្នាបេះបិទទៅនឹង keys ដែលត្រូវបានគ្រប់គ្រង ពោលគឺឧ។ កំណត់ការកំណត់យុថ្កាការជឿទុកចិត្តដោយអនុលោមតាម RFC 5011។ នៅពេលប្រើយុថ្កាទុកចិត្តជាមួយនឹងពាក្យគន្លឹះឋិតិវន្ត ឥរិយាបថត្រូវគ្នាទៅនឹងការណែនាំដែលទុកចិត្តបាន ពោលគឺឧ។ កំណត់សោជាប់លាប់ដែលមិនត្រូវបានធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិ។ Trust-anchors ក៏ផ្តល់នូវពាក្យគន្លឹះពីរទៀតគឺ initial-ds និង static-ds ដែលអនុញ្ញាតឱ្យអ្នកប្រើយុថ្កាទុកចិត្តក្នុងទម្រង់ DS (អ្នកចុះហត្ថលេខាលើប្រតិភូ) ជំនួសឱ្យ DNSKEY ដែលធ្វើឱ្យវាអាចកំណត់រចនាសម្ព័ន្ធការចងសម្រាប់សោដែលមិនទាន់ត្រូវបានបោះពុម្ពផ្សាយ (អង្គការ IANA គ្រោងនឹងប្រើទម្រង់ DS សម្រាប់សោតំបន់ស្នូលនាពេលអនាគត)។

• ជម្រើស "+yaml" ត្រូវបានបន្ថែមទៅឧបករណ៍ជីក, mdig និង delv សម្រាប់លទ្ធផលក្នុងទម្រង់ YAML ។
• ជម្រើស “+[no]មិននឹកស្មានដល់” ត្រូវបានបន្ថែមទៅក្នុងឧបករណ៍ជីកយករ៉ែ ដែលអនុញ្ញាតឱ្យមានការទទួលការឆ្លើយតបពីម៉ាស៊ីនផ្សេងក្រៅពីម៉ាស៊ីនមេ ដែលសំណើត្រូវបានផ្ញើ។
• បានបន្ថែមជម្រើស "+[no]expandaaaa" ដើម្បីជីកឧបករណ៍ប្រើប្រាស់ ដែលបណ្តាលឱ្យអាសយដ្ឋាន IPv6 នៅក្នុងកំណត់ត្រា AAAA ត្រូវបានបង្ហាញជាតំណាងពេញ 128 ប៊ីត ជាជាងក្នុងទម្រង់ RFC 5952 ។
• បានបន្ថែមសមត្ថភាពក្នុងការប្តូរក្រុមនៃឆានែលស្ថិតិ។
• កំណត់ត្រា DS និង CDS ឥឡូវនេះត្រូវបានបង្កើតដោយផ្អែកលើសញ្ញា SHA-256 (ជំនាន់ផ្អែកលើ SHA-1 ត្រូវបានបញ្ឈប់)។
• សម្រាប់ DNS Cookie (RFC 7873) ក្បួនដោះស្រាយលំនាំដើមគឺ SipHash 2-4 ហើយការគាំទ្រសម្រាប់ HMAC-SHA ត្រូវបានបញ្ឈប់ (AES ត្រូវបានរក្សាទុក)។
• លទ្ធផលនៃពាក្យបញ្ជា dnssec-signzone និង dnssec-verify ឥឡូវនេះត្រូវបានផ្ញើទៅកាន់លទ្ធផលស្តង់ដារ (STDOUT) ហើយមានតែកំហុស និងការព្រមានប៉ុណ្ណោះដែលត្រូវបានបោះពុម្ពទៅ STDERR (ជម្រើស -f ក៏បោះពុម្ពតំបន់ដែលបានចុះហត្ថលេខាផងដែរ)។ ជម្រើស "-q" ត្រូវបានបន្ថែមដើម្បីបិទសំឡេងលទ្ធផល។
• លេខកូដសុពលភាព DNSSEC ត្រូវបានដំណើរការឡើងវិញដើម្បីលុបបំបាត់ការចម្លងកូដជាមួយប្រព័ន្ធរងផ្សេងទៀត។
• ដើម្បីបង្ហាញស្ថិតិក្នុងទម្រង់ JSON ឥឡូវនេះមានតែបណ្ណាល័យ JSON-C ប៉ុណ្ណោះដែលអាចប្រើបាន។ ជម្រើសកំណត់រចនាសម្ព័ន្ធ "--with-libjson" ត្រូវបានប្តូរឈ្មោះទៅជា "--with-json-c" ។
• ស្គ្រីបកំណត់រចនាសម្ព័ន្ធលែងជាលំនាំដើមទៅ "--sysconfdir" នៅក្នុង /etc និង "--localstatedir" នៅក្នុង /var លុះត្រាតែ "--prefix" ត្រូវបានបញ្ជាក់។ ឥឡូវនេះផ្លូវលំនាំដើមគឺ $prefix/etc និង $prefix/var ដូចដែលបានប្រើក្នុង Autoconf។
• លេខកូដដែលបានដកចេញដែលអនុវត្តសេវាកម្ម DLV (Domain Look-aside Verification, dnssec-lookaside option) ដែលត្រូវបានបដិសេធក្នុង BIND 9.12 ហើយឧបករណ៍ដោះស្រាយ dlv.isc.org ដែលពាក់ព័ន្ធត្រូវបានបិទនៅឆ្នាំ 2017 ។ ការដក DLVs ចេញបានរំដោះលេខកូដ BIND ពីផលវិបាកដែលមិនចាំបាច់។

ប្រភព: opennet.ru