Hlavní navigace

Knot DNS aneb jak přeseknout DNS uzel

Ondřej Surý

Na 63. mezinárodní konferenci RIPE byl představen nový autoritativní DNS server Knot DNS, vyvinutý v Laboratořích CZ.NIC, výzkumném a vývojovém centru správce české národní domény. Čím je zajímavý, proč vznikl a jak se používá? Tomu se budeme věnovat v první části našeho dvoudílného článku.

Proč další DNS server?

Hlavním důvodem pro vznik projektu Knot DNS je nedostatečná nabídka svobodných implementací autoritativních serverů vhodných pro provoz top-level domény, jako je například doména .CZ. V současnosti jsou v zásadě k dispozici pouze dva použitelné open-source autoritativní servery – BIND a NSD, což je například pro zabezpečení stability TLD domény málo. Další implementace, napsaná „na zelené louce“, umožní zvýšit diverzitu dostupných řešení a tím i pravděpodobnost, že v případě bezpečnostního incidentu postihujícího vybranou implementaci bude možné dál poskytovat požadované služby.

Provoz DNS systému je společně například se směrováním a dalšími pro koncového uživatele neviditelnými protokoly velmi důležitý pro chod většiny ostatních vyšších protokolů jako SMTP, HTTP, XMPP a dalších. Jelikož naše expertíza leží především v oblasti DNS a jeho rozšíření jako je například DNSSEC, je vývoj vlastního DNS serveru také způsob, jak tyto znalosti a zkušenosti vracet zpět a podporovat tak rozvoj stability, bezpečnosti a robustnosti celé infrastruktury dnešního Internetu.

BIND, Unbound, …, Knot

Vymyslet název pro nový DNS server může být náročnější, než se na první pohled zdá. Po mnoha pokusech vymyslet rozumnou zkratku (zmařených buď jejich nevyslovitelností, nebo tím, že většina trojpísmenných zkratek je již zabrána jinými programy) jsme skončili u jednoduché asociativní hříčky s významy anglických slov bind a unbound (přestože druhý jmenovaný je rekurzivní a ne autoritativní server). Ostatně téměř totožná anglická výslovnost s „not DNS“ může být i celkem vtipně sebeironická.

Co Knot DNS umí?

Knot DNS je ryze autoritativní DNS server. Jeho hlavním úkolem je tudíž poskytovat zóny a to co nejrychleji a s vysokou dostupností, tedy bez výpadků. První vlastnost je zajištěna samotným návrhem serveru, který téměř nepoužívá zamykání, druhá vlastnost je možná díky schopnosti přidávat a odebírat zóny za běhu serveru a to bez nutnosti restartu. Touto vlastností se také Knot DNS liší od jiného vysoce výkonného autoritativního serveru NSD, který v současné verzi pro přidání či odebrání zóny vyžaduje restart.

K dalším důležitým vlastnostem patří podpora pro bezpečnostní rozšíření technologie DNSSEC. Ta je sice na světě už nějaký ten pátek, její zavádění je však velmi pozvolné. Knot DNS jí vychází vstříc, a to tak, že již od začátku poskytuje plnou podporu pro DNSSEC včetně NSEC3. K tomu je samozřejmě nutná také podpora EDNS0, což je rozšíření DNS protokolu, které odstraňuje některé předchozí limity DNS protokolu, jako je například maximální velikost DNS zprávy; ta byla na počátku omezena na 512 bajtů.

V zájmu dobré využitelnosti a kompatibility podporuje Knot DNS oba protokoly pro transfer zón – AXFR i IXFR a to jak v režimu master, tak v režimu slave, včetně zasílání notifikací o změnách v zónách. Konfigurace transferů je, jak uvidíme dále, velice jednoduchá a samozřejmě umožňuje omezit transfery jenom na vybrané servery.

Na seznamu vlastností, které Knot DNS podporuje nebo bude podporovat, jsou i další. O těch si ale povíme v pokračování toho článku, kde nastíníme další vývoj projektu.

Instalace a ovládání

Při instalaci ze zdrojových souborů (v současnosti je toto jediná možnost; již ale připravujeme balíčky pro nejdůležitější distribuce) se postupuje klasicky:

$ ./configure
$ make
$ sudo make install

Je samozřejmě možné nastavit prefix (parametr --prefix skriptu configure) na libovolný adresář. Dle výchozího nastavení se instaluje s prefixem /usr/local. Z hlediska uživatele jsou důležité dva soubory:

  • knotd – daemon; nachází se v $prefix/sbin/
  • knotc – ovládací utilita; nachází se v $prefix/bin/

Nejjednodušší (a doporučený) způsob ovládaní Knota je pomocí utility knotc, která pak ovládá kompilátor zóny i samotný daemon (z toho důvodu uživatel, pod kterým se knotc spouští, musí mít příslušné adresáře v  PATH). Při spuštění bez parametrů vypíše nápovědu:

Usage: /usr/local/bin/knotc [parameters] start|stop|restart|reload|running|compile
Parameters:
 -c [file]  Select configuration file.
 -f     Force operation - override some checks.
 -v     Verbose mode - additional runtime information.
 -V     Print knot server version.
 -w     Wait for the server to finish start/stop operations.
 -i     Interactive mode (do not daemonize).
 -j [num]   Number of parallel tasks to run (only for 'compile').
 -h     Print help and usage.
Actions:
 start     Start knot server zone (no-op if running).
 stop      Stop knot server (no-op if not running).
 restart   Stops and then starts knot server.
 reload    Reload knot configuration and compiled zones.
 running   check if server is running.
 compile   Compile zone file.

Asi nejdůležitějším parametrem je –c, kterým je možno zadat cestu ke konfiguračnímu souboru. V případě, že tento parametr není zadaný, hledá se výchozí konfigurační soubor ( $prefix/etc/knot.conf).

Před samotným spuštěním daemona je potřeba zkompilovat zónové soubory. Během kompilace se zónová data předzpracují pro rychlejší načítaní a zároveň optimalizují pro rychlé vyhledávání. Pokud před spuštěním samotného serveru nedojde ke kompilaci textových zónových souborů do binární podoby, nedojde k jejich načtení do daemona a tyto zóny nebudou serverem poskytovány. Uživatel je o tomto faktu informován zápisem do logu (dle výchozího nastavení do syslogu). Po ukončení načítání zón je uživatel pomocí syslogu informován také o celkovém počtu načtených zón. Tato informace je ale, na rozdíl od informace o nenačtené zóně, klasifikována do úrovně INFO a tudíž se při použití výchozího nastavení konfiguračního souboru do logu nezapisuje.

Kompilace zónových souborů se, jak je patrno z nápovědy, spustí příkazem

$ knotc compile

Zkompilované zóny se ukládají do souborů s příponou .db v pracovním adresáři nastaveném v konfiguračním souboru. Kompilace může trvat poměrně dlouho a je o něco málo náročnější na paměť než samotný server. Orientační čas a množství potřebné operační paměti pro zkompilování zóny (a tedy dostačující i pro běh serveru) uvádí následující tabulka. Je však potřebné vzít v úvahu, že přijetí zóny pomocí AXFR vyžaduje dvojnásobné množství paměti. Je totiž potřeba uchovat starou zónu v paměti do doby, než bude transfer ukončen.

Velikost zóny Potřebný čas Paměť – 32bit systém Paměť – 64 bit systém
1 MB 0,4 s 5 MB 5 MB
50 MB 20 s 130 MB 245 MB
400 MB 1 m 45 s 1,30 GB 1,45 GB

Samotné spuštění serveru je pak přímočaré:

$ knotc start

Ovšem je také možné spustit server na popředí (tj. ne jako daemon) pomocí parametru –i, případně spouštět ho přímo samotného daemon knotd.

Konfigurace

Konfigurační soubor má jednoduchý formát vycházející z konfigurace směrovacího daemona Bird. Po instalaci Knot DNS má uživatel k dispozici příklady konfiguračních souborů, z kterých se dá jednoduše odvodit jakákoliv žádaná konfigurace. Ukázkový konfigurační soubor knot.full.conf, který se nachází v adresáři samples/ mezi zdrojovými soubory, obsahuje všechny podporované konfigurační možnosti s vyčerpávajícím popisem. V této části článku si uvedeme jenom ukázkové příklady konfigurace. Detailní popis všech možností nastavení najdete v příštím díle.

AXFR/IXFR master

system {
    storage “/var/lib/knot”;        # pracovni adresar
}

interfaces {
    iface0 {                 # symbolicke jmeno interface
        address 203.0.113.1; # server bude poslouchat
                             # na uvedene adrese
        port 53;           # a danem portu
    }
}

remotes {
    my-slave {                # symbolicke jmeno pro slave server
        address 192.0.2.10; # s uvedenou adresou
        port 53;            # a portem
    }
}

zones {
    example.com {                     # jmeno zony
        file “/etc/knot/example.com.zone”;    # zonovy soubor
        xfr-out my-slave;             # slave pro tuto zonu
        notify-out my-slave;          # prijemci NOTIFY zpráv
    }
}

AXFR/IXFR slave

system {
    storage “/var/lib/knot”;
}

interfaces {
    iface0 {
        address 192.0.2.10;
        port 53;
    }
}

remotes {
    my-master {
        address 203.0.113.1;
        port 53;
    }
}

zones {
example.com {
        file “/etc/knot/example.com.zone”;
        xfr-in my-master;           # master pro tuto zonu
        notify-in my-master;        # povolene zdroje NOTIFY zprav
    }
}

Dvě instance Knot DNS s těmito konfiguracemi spolu budou komunikovat jako master a slave pro zónu example.com. Slave server přitom při spuštění nemusí mít zónový soubor. Ve chvíli, kdy zjistí, že neexistuje, pokusí se jej získat pomocí AXFR od svého master serveru.

Kde Knot DNS najít?

Hlavní stránka projektu je na adrese www.knot-dns.cz.

Chyby a návrhy na vylepšení můžete hlásit v tomto systému: git.nic.cz/red­mine/projects/knot-dns/.

Zdrojové kódu udržujeme v Gitu na adrese: git://gi­t.nic.cz/knot-dns.git; stabilní verze je udržována ve větvi master a vývoj probíhá ve větvi development.

Příště…

V tomto prvním článku jsme si představili Knot DNS – nový výkonný autoritativní DNS server vyvíjený v Laboratořích CZ.NIC, který má za cíl stát se alternativou k existujícím implementacím na poli open-source řešení. Dále jsme si ukázali základní možnosti použití a příslušné konfigurace. V příštím dílu se podíváme na konfiguraci detailněji, vyhodnotíme výkon v porovnání s jinými implementacemi a načrtneme, jakým směrem se bude ubírat další vývoj.

Autoři:

Ľuboš Slovák a Ondřej Surý pracují v Laboratořích CZ.NIC, výzkumném a vývojovém centru správce české národní domény, sdružení CZ.NIC.

Našli jste v článku chybu?

8. 11. 2011 6:04

brk (neregistrovaný)

Souhlas. Líbilo by se mi víc takových projektů, ať CZ.NIC stíhá rozumně utrácet peníze a ne jen zlevňuje domény, což je díky doménovým spekulantům cesta do pekel.

8. 11. 2011 3:24

stewe (neregistrovaný)

super pocin, drzim palce :)

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Podnikatel.cz: Dárkové poukazy. Vaše byznys výhra

Dárkové poukazy. Vaše byznys výhra

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?