BIND 9.20 yayımlandı: Gelişmiş DNSSEC desteği, uygulama altyapısı iyileştirmeleri

   Temmuz 25, 2024  Posted in HelpnetSecurity


BIND (Berkeley Internet Name Domain), yetkili bir sunucu, yinelemeli bir çözümleyici ve ilgili yardımcı programlara sahip açık kaynaklı bir DNS yazılım sistemidir. Üretim kullanımına uygun kararlı bir dal olan BIND 9.20 yayımlandı. Mevcut yazılım yayım planına göre, bu dal dört yıl boyunca desteklenecek – 2028’in ilk çeyreğine kadar.

BAĞLANTI 9.20

BIND’i kimler kullanır?

  • Büyük finans kuruluşları
  • Ulusal ve uluslararası taşıyıcılar
  • Bölgesel ve topluluk İSS’leri
  • Perakendeciler, üreticiler
  • Üniversiteler ve eğitim ağları
  • Devlet kuruluşları

BIND 9.20’deki Uygulama Altyapısı İyileştirmeleri

Uygulama çekirdeği (her şeyi bir arada tutan altyapı) yalnızca libuv asenkron olay döngülerini kullanacak şekilde yeniden yazıldı. BIND 9.16’da geliştiriciler, mevcut uygulama altyapısının üstünde asenkron olay işleyicisi olarak libuv kullanan yeni bir ağ yöneticisi tanıttı. BIND 9.20’de libuv asenkron döngülerine geçiş tamamlandı ve BIND 9, baştan sona libuv tarafından destekleniyor. Bu, dahili altyapıyı basitleştirir ve düzenler ve veri işlemeyi iş parçacıklarına sabitleyerek bağlam geçişini azaltmamızı sağlar, bu da genel kaynak tüketimini iyileştirir.

Aynı zamanda, geliştiriciler uzun süreli görevleri boşaltmak için libuv tarafından sağlanan özel iş parçacığı havuzlarını kullanıyor ve işi kendi başımıza nicelleştirmek yerine, ağ ve boşaltılan iş parçacıkları arasında adil bir zamanlama sağlamak için işletim sistemi zamanlayıcısına güveniyorlar. Bu, Response Policy Zones, Catalog Zones, Zone Transfers, DNSSEC Validation ve birkaç diğer uzun süreli görevi çalıştıran kodu basitleştiriyor ve uzun süreli görevler normal DNS sorgularıyla karıştırıldığında gecikmeyi iyileştiriyor.

QP trie adlı yeni bir veritabanı arka ucu BIND 9’a eklendi ve varsayılan önbellek ve bölge veritabanı haline getirilerek saygıdeğer RBTDB’nin (Red-Black Tree Database) yerini aldı. QP trie veritabanı, artık BIND 9’u derlemek ve çalıştırmak için zorunlu olan Userspace RCU (Read-Copy-Update) Kütüphanesini kullanır. Userspace RCU’yu kullanmak geliştiricilerin bir senkronizasyon mekanizması olarak POSIX kilitlemesini kaldırmasına ve bunu bir bellek geri kazanım mekanizması olarak Quiescent-State-Based Reclamation (QSBR) ile değiştirmesine olanak tanır. Yapılacak çok iş var ancak gelecekte BIND 9’un çok sayıda CPU’ya sahip sistemlerde daha ölçeklenebilir olmasını beklemelisiniz.

BIND 9’da kullanılan DNS ad sıkıştırma algoritması revize edildi: Artık eskisinden daha kapsamlı sıkıştırma yapıyor, dolayısıyla çok sayıda etikete sahip adlar içeren yanıtlar eskisinden daha kompakt bir kodlamaya sahip olabilir.

BIND 9.20: DNSSEC desteğinde iyileştirmeler

  • DNSSEC Politikası artık imzalı bölgeleri yönetmek için tek seçenektir. Otomatik dnssec seçeneği kaldırıldı.
  • Satır içi imzalama kullanıldığında DNSSEC çoklu imzalayıcı model 2 (IETF RFC 8901) desteği eklendi.
  • Yeni OpenSSL 3.0.0 Motor API’sinin kullanılmasıyla PKCS#11 Desteği geri yüklendi.
  • dnssec-policy’ye HSM desteği eklendi. Anahtarlar artık kullanıcıların anahtar dosyalarının depolandığı dizini ayarlamasına ve bir PKCS#11 URI dizesi ayarlamasına olanak tanıyan bir anahtar deposuyla yapılandırılabilir. İkincisi, OpenSSL 3 ve geçerli bir PKCS#11 sağlayıcısının OpenSSL için yapılandırılmasını gerektirir.

Özellik güncellemeleri

  • Katalog Bölgeleri şeması sürüm 2 (IETF taslak sürüm 5 belgesinde açıklandığı gibi) artık BIND 9 tarafından destekleniyor.
  • Daha Genişletilmiş DNS Hataları artık destekleniyor.
  • TCP üzerinden DNS ve TLS üzerinden DNS uygulamaları, birleşik bir taşıma kullanmak üzere yeniden düzenlendi. Bu da geliştiricilerin yeni PROXYv2 taşımasını eklemesine olanak sağladı.
  • PROXYv2 desteği şu anda BIND tarafından desteklenen tüm DNS taşımaları için mevcuttur.
  • Kullanıcı Statik Olarak Tanımlanmış İzleme (USDT) araştırmaları için destek eklendi. Bu araştırmalar, perf komutunu kullanarak ayrıntılı uygulama izlemeyi etkinleştirir ve etkinleştirilmediklerinde hiçbir ek yük getirmez.
  • İstatistik kanalı artık devam eden gelen bölge transferleri hakkında bilgi içeriyor.

BIND 9.20’yi indirin

BIND 9 açık kaynaklıdır ve MPL 2.0 lisansı altında lisanslanmıştır. Kullanıcılar açık bir GitLab aracılığıyla işlevselliği özgürce ekleyebilir ve topluluğa katkıda bulunabilirler.

BIND 9.20’yi buradan indirebilirsiniz. Alternatif olarak, Ubuntu, CentOS/Fedora veya standart Debian paketi için güncellenmiş ISC paketlerini yükleyebilirsiniz. Resmi bir Docker imajı da mevcuttur.

Mutlaka okuyun:




Source link