ProHoster > Blog > internet yangiliklari > BIND DNS Server 9.16.0 chiqarildi

BIND DNS Server 9.16.0 chiqarildi

11 oylik rivojlanishdan so'ng, ISC konsortsiumi tanishtirdi BIND 9.16 DNS serverining yangi muhim bo'limining birinchi barqaror versiyasi. 9.16 filialini qo'llab-quvvatlash kengaytirilgan qo'llab-quvvatlash tsiklining bir qismi sifatida 2 yilning 2023-choragigacha uch yil davomida taqdim etiladi. Oldingi LTS filiali 9.11 uchun yangilanishlar 2021-yil dekabrigacha chiqarilishda davom etadi. 9.14 filialini qo'llab-quvvatlash uch oy ichida tugaydi.

asosiy yangiliklar:

  • “dnssec-policy” direktivasi yordamida belgilangan qoidalarni sozlash asosida DNSSEC kalitlari va raqamli imzolarni boshqarishning soddalashtirilgan usuli boʻlgan KASP (Kalit va imzolash siyosati) qoʻshildi. Ushbu direktiv DNS zonalari uchun zarur bo'lgan yangi kalitlarni yaratishni va ZSK va KSK kalitlarini avtomatik qo'llashni sozlash imkonini beradi.
  • Tarmoq quyi tizimi sezilarli darajada qayta ishlab chiqildi va kutubxona asosida amalga oshirilgan asinxron so'rovlarni qayta ishlash mexanizmiga o'tkazildi. libuv.
    Qayta ishlash hali hech qanday ko'rinadigan o'zgarishlarga olib kelmagan, ammo kelajakdagi nashrlarda u ba'zi muhim ishlash optimallashtirishlarini amalga oshirish va TLS orqali DNS kabi yangi protokollarni qo'llab-quvvatlash imkonini beradi.

  • DNSSEC ishonchli langarlarini boshqarish jarayoni takomillashtirildi (Trust anchor, ushbu zonaning haqiqiyligini tekshirish uchun zonaga bog'langan ochiq kalit). Hozirda eskirgan ishonchli kalitlar va boshqariladigan kalitlar sozlamalari o'rniga ikkala turdagi kalitlarni boshqarishga imkon beruvchi yangi ishonchli langarlar direktivasi taklif qilindi.

    Ishonch langarlarini boshlang'ich kalit so'z bilan ishlatganda, ushbu direktivaning harakati boshqariladigan kalitlarga o'xshaydi, ya'ni. RFC 5011 ga muvofiq ishonch ankraj sozlamalarini belgilaydi. Static-key kalit so'zi bilan ishonchli langarlardan foydalanilganda, xatti-harakatlar ishonchli kalitlar direktivasiga mos keladi, ya'ni. avtomatik yangilanmaydigan doimiy kalitni belgilaydi. Trust-anchors shuningdek, formatda ishonch ankorlaridan foydalanish imkonini beruvchi yana ikkita kalit so'zni taklif qiladi, boshlang'ich-ds va static-ds DS (Delegatsiya imzolovchisi) DNSKEY o'rniga, bu hali nashr etilmagan kalitlar uchun bog'lanishlarni sozlash imkonini beradi (IANA tashkiloti kelajakda asosiy zona kalitlari uchun DS formatidan foydalanishni rejalashtirmoqda).

  • YAML formatida chiqarish uchun dig, mdig va delv yordam dasturlariga “+yaml” opsiyasi qo‘shildi.
  • “+[no]kutilmagan” opsiyasi dig yordam dasturiga qo‘shildi, bu so‘rov yuborilgan serverdan boshqa xostlardan javoblarni qabul qilish imkonini beradi.
  • Utilitani qazish uchun "+[no]expandaaaa" opsiyasi qo'shildi, bu AAAA yozuvlaridagi IPv6 manzillarini RFC 128 formatida emas, balki to'liq 5952 bitli ko'rinishda ko'rsatishga olib keladi.
  • Statistik kanallar guruhlarini almashtirish imkoniyati qo'shildi.
  • DS va CDS yozuvlari endi faqat SHA-256 xeshlari asosida yaratiladi (SHA-1 asosida ishlab chiqarish to'xtatildi).
  • DNS Cookie (RFC 7873) uchun standart algoritm SipHash 2-4 bo‘lib, HMAC-SHA-ni qo‘llab-quvvatlash to‘xtatilgan (AES saqlanib qolgan).
  • Dnssec-signzone va dnssec-verify buyruqlarining chiqishi endi standart chiqishga (STDOUT) yuboriladi va faqat xatolar va ogohlantirishlar STDERR da chop etiladi (-f opsiyasi imzolangan zonani ham chop etadi). Chiqish ovozini o'chirish uchun "-q" opsiyasi qo'shildi.
  • DNSSEC tasdiqlash kodi boshqa quyi tizimlar bilan kodlarning takrorlanishini bartaraf etish uchun qayta ishlangan.
  • Statistikani JSON formatida ko'rsatish uchun endi faqat JSON-C kutubxonasidan foydalanish mumkin. "--with-libjson" konfiguratsiya opsiyasi nomi "--with-json-c" ga o'zgartirildi.
  • Konfiguratsiya skripti endi "--prefiks" belgilanmagan bo'lsa, /etc ichida "--sysconfdir" va /var ichida "--localstatedir" ga o'rnatilmaydi. Standart yo‘llar endi Autoconf da qo‘llanganidek $prefiks/etc va $prefiks/var.
  • BIND 9.12 da eskirgan DLV (Domain Look-side Verification, dnssec-lookaside varianti) xizmatini amalga oshiruvchi kod olib tashlandi va tegishli dlv.isc.org ishlov beruvchisi 2017 yilda o‘chirib qo‘yildi. DLVlarni olib tashlash BIND kodini keraksiz asoratlardan ozod qildi.

Manba: opennet.ru

a Izoh qo'shish