BIND DNS serveris 9.16.0 ir izlaists

Pēc 11 mēnešu izstrādes ISC konsorcijs ieviesa Pirmā stabilā BIND 9.16 DNS servera jaunas nozīmīgas filiāles izlaidums. Atbalsts 9.16.nozarei tiks nodrošināts trīs gadus līdz 2.gada 2023.ceturksnim pagarinātā atbalsta cikla ietvaros. Iepriekšējās LTS filiāles 9.11 atjauninājumi tiks izlaisti līdz 2021. gada decembrim. Atbalsts filiālei 9.14 beigsies pēc trim mēnešiem.

Galvenais jauninājumiem:

• Pievienots KASP (atslēgas un parakstīšanas politika), kas ir vienkāršots DNSSEC atslēgu un ciparparakstu pārvaldības veids, kura pamatā ir iestatīšanas noteikumi, kas definēti, izmantojot direktīvu “dnssec-policy”. Šī direktīva ļauj konfigurēt nepieciešamo jaunu atslēgu ģenerēšanu DNS zonām un automātisku ZSK un KSK atslēgu lietošanu.
• Tīkla apakšsistēma ir būtiski pārveidota un pārslēgta uz asinhrono pieprasījumu apstrādes mehānismu, kas ieviests, pamatojoties uz bibliotēku. libuv.
  Pārstrādāšanas rezultātā vēl nav notikušas nekādas redzamas izmaiņas, taču turpmākajos laidienos tas nodrošinās iespēju ieviest dažas būtiskas veiktspējas optimizācijas un pievienot atbalstu jauniem protokoliem, piemēram, DNS, izmantojot TLS.

• Uzlabots DNSSEC uzticamības enkuru pārvaldības process (uzticības enkurs, publiska atslēga, kas piesaistīta zonai, lai pārbaudītu šīs zonas autentiskumu). Uzticamo atslēgu un pārvaldīto atslēgu iestatījumu vietā, kas tagad ir novecojuši, ir ierosināta jauna uzticamības enkuru direktīva, kas ļauj pārvaldīt abu veidu atslēgas.

  Izmantojot uzticības enkurus ar sākotnējās atslēgas atslēgvārdu, šīs direktīvas darbība ir identiska pārvaldītajām atslēgām, t.i. definē uzticamības enkura iestatījumu saskaņā ar RFC 5011. Izmantojot uzticamības enkurus ar statiskās atslēgas atslēgvārdu, darbība atbilst uzticamo atslēgu direktīvai, t.i. definē pastāvīgu atslēgu, kas netiek automātiski atjaunināta. Uzticamības enkuri piedāvā arī vēl divus atslēgvārdus, iniciāli-ds un static-ds, kas ļauj izmantot uzticamības enkurus šādā formātā DS (Delegation Signer), nevis DNSKEY, kas ļauj konfigurēt saistījumus atslēgām, kas vēl nav publicētas (IANA organizācija plāno turpmāk izmantot DS formātu pamata zonas atslēgām).

• Opcija “+yaml” ir pievienota utilītprogrammām dig, mdig un delv, lai izvadītu YAML formātā.
• Izrakšanas utilītai ir pievienota opcija “+[no]unexpected”, kas ļauj saņemt atbildes no resursdatoriem, kas nav serveri, kuram tika nosūtīts pieprasījums.
• Ir pievienota opcija “+[no]expandaaaa” utilītai, kuras dēļ IPv6 adreses AAAA ierakstos tiek rādītas pilnā 128 bitu attēlojumā, nevis RFC 5952 formātā.
• Pievienota iespēja pārslēgt statistikas kanālu grupas.
• DS un CDS ieraksti tagad tiek ģenerēti, tikai pamatojoties uz SHA-256 jaucējiem (ģenerēšana, kuras pamatā ir SHA-1, ir pārtraukta).
• DNS sīkfailam (RFC 7873) noklusējuma algoritms ir SipHash 2-4, un HMAC-SHA atbalsts ir pārtraukts (AES tiek saglabāts).
• Komandu dnssec-signzone un dnssec-verify izvade tagad tiek nosūtīta uz standarta izvadi (STDOUT), un tikai kļūdas un brīdinājumi tiek drukāti uz STDERR (opcija -f arī drukā parakstīto zonu). Opcija "-q" ir pievienota, lai izslēgtu izvadi.
• DNSSEC validācijas kods ir pārstrādāts, lai novērstu koda dublēšanos ar citām apakšsistēmām.
• Lai rādītu statistiku JSON formātā, tagad var izmantot tikai JSON-C bibliotēku. Konfigurācijas opcija "--with-libjson" ir pārdēvēta par "--with-json-c".
• Konfigurācijas skriptam vairs nav noklusējuma "--sysconfdir" mapē /etc un "--localstatedir" mapē /var, ja vien nav norādīts "--prefikss". Noklusējuma ceļi tagad ir $prefix/etc un $prefix/var, kā to izmanto Autoconf.
• Noņemts kods, kas ievieš pakalpojumu DLV (Domain Look-aside Verification, dnssec-lookaside opcija), kas tika novecojis BIND 9.12, un saistītais apdarinātājs dlv.isc.org tika atspējots 2017. gadā. DLV noņemšana atbrīvoja BIND kodu no nevajadzīgiem sarežģījumiem.

Avots: opennet.ru