BIND DNS 서버 9.16.0 출시

11개월 간의 개발 끝에 ISC 컨소시엄 도입 된 BIND 9.16 DNS 서버의 새로운 중요한 분기의 첫 번째 안정적인 릴리스입니다. 브랜치 9.16에 대한 지원은 연장된 지원 주기의 일환으로 2년 2023분기까지 9.11년간 제공됩니다. 이전 LTS 분기 2021에 대한 업데이트는 9.14년 XNUMX월까지 계속 출시됩니다. Branch XNUMX에 대한 지원이 XNUMX개월 후에 종료됩니다.

주요 혁신:

• "dnssec-policy" 지시문을 사용하여 정의된 설정 규칙을 기반으로 DNSSEC 키 및 디지털 서명을 관리하는 단순화된 방법인 KASP(키 및 서명 정책)가 추가되었습니다. 이 지시어를 사용하면 DNS 영역에 필요한 새 키 생성과 ZSK 및 KSK 키의 자동 적용을 구성할 수 있습니다.
• 네트워크 하위 시스템이 크게 재설계되었으며 라이브러리를 기반으로 구현된 비동기 요청 처리 메커니즘으로 전환되었습니다. 리브.
  재작업으로 인해 아직 눈에 띄는 변화는 없지만 향후 릴리스에서는 몇 가지 중요한 성능 최적화를 구현하고 TLS를 통한 DNS와 같은 새로운 프로토콜에 대한 지원을 추가할 수 있는 기회를 제공할 것입니다.

• DNSSEC 트러스트 앵커(트러스트 앵커, 이 영역의 신뢰성을 확인하기 위해 영역에 연결된 공개 키) 관리 프로세스가 개선되었습니다. 현재 더 이상 사용되지 않는 신뢰할 수 있는 키 및 관리되는 키 설정 대신 두 가지 유형의 키를 모두 관리할 수 있는 새로운 trust-anchors 지시문이 제안되었습니다.

  초기 키 키워드와 함께 trust-anchors를 사용하는 경우 이 지시문의 동작은 관리 키와 동일합니다. RFC 5011에 따라 트러스트 앵커 설정을 정의합니다. static-key 키워드와 함께 trust-anchors를 사용하는 경우 동작은 trust-keys 지시문에 해당합니다. 자동으로 업데이트되지 않는 영구 키를 정의합니다. Trust-anchors는 또한 두 가지 추가 키워드인initial-ds 및 static-ds를 제공합니다. 이를 통해 트러스트 앵커를 다음 형식으로 사용할 수 있습니다. DS (위임 서명자)를 사용하면 아직 게시되지 않은 키에 대한 바인딩을 구성할 수 있습니다(IANA 조직은 향후 핵심 영역 키에 DS 형식을 사용할 계획입니다).

• YAML 형식으로 출력하기 위해 "+yaml" 옵션이 dig, mdig 및 delv 유틸리티에 추가되었습니다.
• "+[no]unexpected" 옵션이 dig 유틸리티에 추가되어 요청이 전송된 서버 이외의 호스트로부터 응답을 수신할 수 있습니다.
• AAAA 레코드의 IPv6 주소가 RFC 128 형식이 아닌 전체 5952비트 표현으로 표시되도록 하는 "+[no]expandaaaa" 옵션이 dig 유틸리티에 추가되었습니다.
• 통계 채널 그룹을 전환하는 기능이 추가되었습니다.
• DS 및 CDS 레코드는 이제 SHA-256 해시를 기반으로만 생성됩니다(SHA-1 기반 생성은 중단됨).
• DNS 쿠키(RFC 7873)의 경우 기본 알고리즘은 SipHash 2-4이며 HMAC-SHA에 대한 지원이 중단되었습니다(AES는 유지됨).
• dnssec-signzone 및 dnssec-verify 명령의 출력은 이제 표준 출력(STDOUT)으로 전송되고 오류 및 경고만 STDERR에 인쇄됩니다(-f 옵션은 서명된 영역도 인쇄함). 출력을 음소거하기 위해 "-q" 옵션이 추가되었습니다.
• 다른 하위 시스템과의 코드 중복을 제거하기 위해 DNSSEC 검증 코드가 재작업되었습니다.
• JSON 형식으로 통계를 표시하려면 이제 JSON-C 라이브러리만 사용할 수 있습니다. 구성 옵션 "--with-libjson"의 이름이 "--with-json-c"로 변경되었습니다.
• "--prefix"가 지정되지 않으면 구성 스크립트의 기본값이 더 이상 /etc의 "--sysconfdir" 및 /var의 "--localstatedir"로 설정되지 않습니다. 이제 기본 경로는 Autoconf에서 사용되는 $prefix/etc 및 $prefix/var입니다.
• BIND 9.12에서 더 이상 사용되지 않는 DLV(Domain Look-aside Verification, dnssec-lookaside 옵션) 서비스를 구현하는 코드를 제거했으며 관련 dlv.isc.org 처리기는 2017년에 비활성화되었습니다. DLV를 제거하면 BIND 코드가 불필요하게 복잡해지는 일이 없어졌습니다.

출처 : opennet.ru