Вышел DNS-сервер BIND 9.7.0

Увидел свет первый стабильный релиз новой ветки DNS-сервера BIND 9.7, основные улучшения в которой направлены на упрощения конфигурирования и обслуживания DNSSEC.

Главные новшества:

  • Реализована опция 'auto-dnssec' для осуществления полностью автоматического создания цифровой подписи для динамически конфигурируемых зон - ключи для подписи будут созданы автоматически и подписаны;
  • Упрощен процесс настройки расширения DLV (NSSEC Lookaside Validation), добавлена поддержка элемента конфигурации "dnssec-lookaside auto;", который позволяет избежать некоторых ручных манипуляций с dlv.isc.org;
  • Для упрощения конфигурирования DDNS (Dynamic DNS) добавлена новая утилита командной строки ddns-confgen;
  • Для named реализована опция "attach-cache", позволяющая привязать несколько представлений зоны (view) к общему кэшу;
  • Добавлена защита от "DNS rebinding" атак;
  • Изменены параметры по умолчанию, используемые при генерации ключей утилитой dnssec-keygen - без явного указания теперь генерируется 1024-битный ключ RSASHA1, а при указании опции "-f KSK" - 2048-битный ключ RSASHA1;
  • Поддержка определенной в RFC 5011 технологии автоматического обновления доверительных якорей (Trust Anchors);
  • Режим умного подписывания зон (dnssec-signzone -S), на основе доступных мета-данных определяющий какие ключи нужно использовать для заданной зоны;
  • В libdns представлено предназначенное для использования в сторонних программах новое API, учитывающее особенности работы DNSSEC;
  • Улучшена поддержка PKCS#11, включая поддержку аппаратных HSM-модулей Keyper и возможность явного выбора использования для работы движка OpenSSL.

В анонсе также сообщается, что в редких случаях при выполнении DNSSEC проверок наблюдается утечка памяти. Патч для решения проблемы уже создан, но к сожалению он не успел войти в состав BIND 9.7.0 и будет представлен только в версии 9.7.1.

©  Linux.org.ru