Questo mini-tutorial vuole descrivere l’utilizzo dell’utility rndc per controllare anche da un computer remoto il processo BIND che gestisce il DNS (Domain Name System).

Livello: Avanzato

Un’utility piuttosto importante del pacchetto BIND è rndc. Si tratta di un tool per l’amministrazione locale o remota di named, il quale ha sostituito il programma ndc, fornito con le versioni del pacchetto BIND precedenti la 9. Poiché rndc ha introdotto la possibilità di controllare il demone named anche da un computer remoto, BIND ha previsto anche un meccanismo a chiave segreta per impedire l’accesso da parte di hosts non autorizzati. A tal fine, il file di configurazione named.conf prevede gli statements controls e key dei quali mostriamo un esempio: controls {           inet 127.0.0.1 port 953 allow { 127.0.0.1; }; keys { nome_chiave};           inet 192.168.3.10 allow { 192.168.3.21; } keys { nome_chiave; };};

key “nome_chiave” {

           algorithm hmac-md5;

           secret “HKXaVTMuk2NIv7pfkY49oUuKWSyftCwVeRLw5SyftCwVeRJvfbsnZMhZQ”;

}; La sezione controls, alla prima riga, indica che il demone named resta in ascolto delle richieste di connessione da parte di rndc sulla porta TCP 953 (che è peraltro la porta di default) dell’indirizzo di loopback e può essere controllato esclusivamente da 127.0.0.1, utilizzando la chiave <nome_chiave>. La riga successiva, stabilisce che esso deve restare in ascolto anche sull’interfaccia con indirizzo 192.168.3.10 (sulla porta di default, in quanto non specificato) e deve consentire il controllo dall’host 192.168.3.21, utilizzando la stessa chiave e rifiutando le connessioni iniziate da altri hosts.Invece, la sezione key descrive la chiave segreta da utilizzare con l’utility rndc. In particolare, nell’esempio è riportata una chiave di tipo HMAC-MD5, che può essere generata tramite il comando dnssec-keygen (incluso nel pacchetto BIND). Tale chiave deve essere contenuta anche nel file /etc/rndc.conf, per far sì che rndc funzioni correttamente, come mostrato di seguito:key chiave_rndc {        algorithm “hmac-md5″;        secret “HKXaVTMuk2NIv7pfkY49oUuKWSyftCwVeRLw5SyftCwVeRJvfbsnZMhZQ”;

};  options {        default-server  localhost;        default-key     chiave_rndc;};

Il file rndc.conf può essere generato facilmente tramite l’utility rndc-confgen, per il cui uso rinviamo alla lettura del manuale: man rndc-confgen.L’utility rndc consente di svolgere diverse operazioni. Per esempio consente di fermare il server named (attenzione, però, perché una volta fermato, named non risulterà più in ascolto sulla rete, pertanto non sarà più possibile farlo ripartire con rndc), permette di ricaricarne la configurazione automaticamente, di mostrarne lo stato (verificando se non vi siano problemi) e così via.Tuttavia, le operazioni di maggiore importanza per ciò che riguarda un name server di cache, sono sicuramente due: dumpdb e stats. La prima consente di copiare in forma leggibile in un file il contenuto della cache, mentre la seconda permette di ottenere delle statistiche da named in merito alla risoluzione dei nomi, che possono essere utilizzate per verificare che il server di cache funzioni realmente.Digitando al prompt:rndc dumpdbè possibile ottenere il dump della cache nel file /var/named/named_dump.db, salvo che nel file /etc/named.conf non sia indicato diversamente. Visualizzando questo file (ASCII), quindi, abbiamo la possibilità di vedere quali sono i nomi di dominio che il nostro name server ha memorizzato, cioè quelli per i quali il server è in grado di fornire una risposta autonomamente.Invece, con l’istruzione:rndc statspossiamo ottenere le statistiche relative alla risoluzione dei nomi (nel file /var/named/named.stats) e, in base ad esse, verificare se il nostro name server di cache funziona a dovere. Le statistiche riguardano vari aspetti, come per esempio il numero di risoluzioni effettuate o fallite, il numero di nomi risolti tramite l’ausilio di altri name servers e così via. Un file di statistiche generato con rndc appare grossomodo così: +++ Statistics Dump +++ (1070114005)           success 2699           referral 0           nxrrset 5

           nxdomain 509

           recursion 614

           failure 7

— Statistics Dump — (1070114005)

Ai nostri fini, risultano interessanti due voci: success, che indica il numero di queries risolte autonomamente dal server e recursion, che riguarda il numero di interrogazioni che il nostro server ha effettuato presso altri name servers. Se il primo valore è molto alto, rispetto al secondo, allora ciò significa che il nostro server sta risolvendo in proprio la maggior parte dei nomi di dominio, pertanto il suo utilizzo sta apportando effettivamente un contributo all’efficienza della rete.