ProHoster > blog > internetnieuws > BIND DNS Server 9.16.0 versie

BIND DNS Server 9.16.0 versie

Na 11 maanden ontwikkeling heeft het ISC-consortium ingediend de eerste stabiele release van een nieuwe belangrijke tak van de BIND 9.16 DNS-server. Tak 9.16 wordt gedurende drie jaar ondersteund tot het tweede kwartaal van 2 als onderdeel van een uitgebreide onderhoudscyclus. Updates voor de vorige 2023 LTS-vertakking blijven beschikbaar tot december 9.11. De ondersteuning voor de 2021-tak eindigt over drie maanden.

De belangrijkste innovaties:

  • KASP (Key and Signing Policy) toegevoegd, een vereenvoudigde manier om DNSSEC-sleutels en digitale handtekeningen te beheren op basis van het instellen van regels die zijn gedefinieerd met behulp van de "dnssec-policy" -richtlijn. Met deze richtlijn kunt u het genereren van noodzakelijke nieuwe sleutels voor DNS-zones en het automatische gebruik van ZSK- en KSK-sleutels configureren.
  • Het netwerksubsysteem is aanzienlijk opnieuw ontworpen, wat is overgebracht naar het asynchrone verzoekverwerkingsmechanisme dat is geïmplementeerd op basis van de bibliotheek libuv.
    De herwerking heeft nog geen zichtbare veranderingen aangebracht, maar zal in toekomstige releases een aantal belangrijke prestatie-optimalisaties opleveren en ondersteuning toevoegen voor nieuwe protocollen zoals DNS via TLS.

  • Verbeterd DNSSEC-beheer (Trust Anchor) van de openbare sleutel van een zone voor zone-authenticatie. In plaats van de nu verouderde instellingen voor vertrouwde sleutels en beheerde sleutels, is een nieuwe richtlijn voor vertrouwensankers voorgesteld om het beheer van beide typen sleutels mogelijk te maken.

    Bij het gebruik van trust-anchors met het initial-key trefwoord is het gedrag van deze richtlijn identiek aan dat van beheerde sleutels, d.w.z. definieert een trust anchor-instelling volgens RFC 5011. Wanneer trust-anchors met het static-key trefwoord worden gebruikt, is het gedrag conform de trust-keys-richtlijn; definieert een permanente sleutel die niet automatisch wordt bijgewerkt. Trust-anchors biedt ook nog twee trefwoorden, initial-ds en static-ds , waarmee u trust anchors in de indeling kunt gebruiken DS (Delegation Signer) in plaats van DNSKEY, waarmee u bindingen kunt configureren voor sleutels die nog niet zijn gepubliceerd (in de toekomst is de IANA-organisatie van plan het DS-formaat te gebruiken voor kernzonesleutels).

  • Optie "+yaml" toegevoegd om hulpprogramma's voor dig, mdig en delv uit te voeren in YAML-formaat.
  • "+[geen]onverwachte" optie toegevoegd om het hulpprogramma te graven om antwoorden toe te staan ​​van andere hosts dan de server waarnaar het verzoek is verzonden.
  • Optie "+[no]expandaaaa" toegevoegd om IPv6-adressen in AAAA-records weer te geven in volledige 128-bits notatie in plaats van RFC 5952-indeling.
  • De mogelijkheid toegevoegd om van groep statistische kanalen te wisselen.
  • DS- en CDS-records worden nu alleen gegenereerd op basis van SHA-256-hashes (het genereren op basis van SHA-1 is stopgezet).
  • Voor DNS-cookies (RFC 7873) is het SipHash 2-4-algoritme standaard ingeschakeld en is de HMAC-SHA-ondersteuning verwijderd (AES blijft behouden).
  • De uitvoer van de opdrachten dnssec-signzone en dnssec-verify wordt nu naar de standaarduitvoer (STDOUT) verzonden en alleen fouten en waarschuwingen worden naar STDERR afgedrukt (de ondertekende zone wordt ook afgedrukt als de optie -f is opgegeven). "-q" optie toegevoegd om de uitvoer te dempen.
  • De DNSSEC-validatiecode is opnieuw ontworpen, waardoor er geen codeduplicatie meer is met andere subsystemen.
  • Om statistieken in JSON-formaat weer te geven, kan nu alleen de JSON-C-bibliotheek worden gebruikt. De configuratieoptie "--with-libjson" is hernoemd naar "--with-json-c".
  • Het configuratiescript is niet langer standaard ingesteld op "--sysconfdir" in /etc en "--localstatedir" op /var, tenzij "--prefix" is opgegeven. De standaardpaden zijn nu $prefix/etc en $prefix/var die door Autoconf worden gebruikt.
  • DLV-service-implementatiecode verwijderd (Domain Look-aside Verification, dnssec-lookaside optie), die verouderd was in BIND 9.12 en de bijbehorende dlv.isc.org-handler werd in 2017 gedeactiveerd. Door de DLV te verwijderen, werd de BIND-code bevrijd van onnodige complexiteit.

Bron: opennet.ru

Voeg een reactie