Διαχείριση DNS

Πληροφορίες σχετικά με την εγγραφή DNS τύπου A για τον προσδιορισμό μιας διεύθυνσης IPv4 για ένα δεδομένο όνομα τομέα.

Η εγγραφή αυτού του τύπου περιέχει μια διεύθυνση IP του πρωτοκόλλου IPv4. Αυτές οι διευθύνσεις διατηρούνται σε μορφή που μπορούν να διαβάσουν οι άνθρωποι (ωστόσο, στο πρωτόκολλο DNS, περνούν ως αριθμός 32-bit).

Παράδειγμα ρύθμισης εγγραφής για έναν τομέα και όλους τους υποτομείς:
Όνομα | TTL | Τύπος | Δεδομένα
(κενό όνομα) | 1800 | A | 81.2.199.30
* | 1800 | A | 81.2.199.30

Πληροφορίες σχετικά με τον τύπο εγγραφής DNS AAA για τον προσδιορισμό μιας διεύθυνσης IPv6 για ένα δεδομένο όνομα τομέα.

Είναι μια διεύθυνση IPv6 IP.

Ένα παράδειγμα εγκατάστασης εγγραφής για έναν τομέα και όλα τα υπο-τομείς:
Όνομα | TTL | Τύπος | Δεδομένα
(κενό όνομα) | 1800 | AAAA | 2a02:2b88:1:4::40
* | 1800 | AAAA | 2a02:2b88:1:4::40

Πληροφορίες σχετικά με την εγγραφή DNS τύπου NS, με την οποία αναθέτουμε ένα υποτομέα σε έναν άλλο διακομιστή DNS.

Αυτός ο τύπος εγγραφής χρησιμοποιείται για την αναφορά μιας λίστας εξουσιοδοτικών διακομιστών DNS για έναν συγκεκριμένο τομέα. Αναφέρονται τα ονόματα διακομιστών (δηλαδή τα ονόματα τομέων τους), όχι οι διευθύνσεις IP. Εάν μια συσκευή θέλει να συνδεθεί σε έναν έγκυρο διακομιστή DNS ενός τομέα, εντοπίζει πρώτα όλες τις εγγραφές τύπου NS για τον αναζητούμενο τομέα στον διακομιστή DNS υψηλότερου επιπέδου, επιλέγει μία από αυτές και βρίσκει τη διεύθυνση IP σε αυτήν, και μόνο τότε μπορεί να επικοινωνήσει μέσω του DNS.

Πληροφορίες σχετικά με την εγγραφή DNS τύπου NS, με την οποία αναθέτουμε ένα υποτομέα σε έναν άλλο διακομιστή DNS.

Αυτός ο τύπος εγγραφής χρησιμοποιείται για την αναφορά μιας λίστας εξουσιοδοτικών διακομιστών DNS για έναν συγκεκριμένο τομέα. Αναφέρονται τα ονόματα διακομιστών (δηλαδή τα ονόματα τομέων τους), όχι οι διευθύνσεις IP. Εάν μια συσκευή θέλει να συνδεθεί σε έναν έγκυρο διακομιστή DNS ενός τομέα, εντοπίζει πρώτα όλες τις εγγραφές τύπου NS για τον αναζητούμενο τομέα στον διακομιστή DNS υψηλότερου επιπέδου, επιλέγει μία από αυτές και βρίσκει τη διεύθυνση IP σε αυτήν, και μόνο τότε μπορεί να επικοινωνήσει μέσω του DNS.

Πληροφορίες σχετικά με τον τύπο εγγραφής MX DNS για την καταχώριση διακομιστών στους οποίους πρέπει να αποστέλλεται η ηλεκτρονική αλληλογραφία για έναν συγκεκριμένο τομέα.

Η εγγραφή καθορίζει το όνομα τομέα του διακομιστή αλληλογραφίας στον οποίο πρέπει να παραδίδεται η αλληλογραφία για έναν τομέα. Πριν από το όνομα του διακομιστή, αναγράφεται η προτεραιότητά του, η οποία είναι σημαντική εάν υπάρχουν πολλές εγγραφές MX για ένα όνομα. Στην περίπτωση αυτή, οι διακομιστές δοκιμάζονται σύμφωνα με τον αυξανόμενο αριθμό προτεραιότητας (δηλαδή ο διακομιστής με τον μικρότερο αριθμό έχει την υψηλότερη προτεραιότητα). Εάν ο διακομιστής δεν απαντήσει, δοκιμάζουμε έναν άλλο. Ο δεύτερος και κάθε πρόσθετος διακομιστής, εάν υπάρχουν, χρησιμεύουν ως εφεδρικοί διακομιστές αλληλογραφίας.

Ένα παράδειγμα εγκατάστασης των διακομιστών αλληλογραφίας μας:

Όνομα | TTL | Τύπος | Δεδομένα
(κενό όνομα) | 1800 | MX | 1 wes1-mx1.wedos.net
(κενό όνομα) | 1800 | MX | 1 wes1-mx2.wedos.net
(κενό όνομα) | 1800 | MX | 10 wes1-mx-backup.wedos.net

Για την προστασία από την κατάχρηση του ονόματος τομέα για SPAM, συνιστάται η δημιουργία μιας εγγραφής SPF.

Αναλυτική περιγραφή και οδηγίες θα βρείτε στη Βάση Γνώσεων.

Πληροφορίες σχετικά με τον τύπο εγγραφής DNS SRV, ο οποίος εξυπηρετεί διακομιστές για την καταχώριση διακομιστών που λαμβάνουν διαφορετικές υπηρεσίες για έναν συγκεκριμένο τομέα. Ένα παράδειγμα μπορεί να είναι η καθοδήγηση τηλεφωνικών κλήσεων με ένα πρωτόκολλο SIP.

Οι εγγραφές SRV έχουν πολλές άλλες χρήσεις. Π.χ. τα Microsoft Windows τα χρησιμοποιούν για να βρουν έναν ελεγκτή τομέα και άλλα πρωτόκολλα (XMMP, Kerberos, LDAP κ.λπ.) τα χρησιμοποιούν.

Παράδειγμα εγκατάστασης μιας εγγραφής SRV:

Όνομα | TTL | Τύπος | Δεδομένα (προτεραιότητα, σημασία, αριθμός θύρας, κεντρικός υπολογιστής)
_sip._udp.domain.tld | 1800 | SRV | 10 100 5060 sip.domain.tld

Πληροφορίες σχετικά με τον τύπο εγγραφής CAA (Certification Authority Authorization) που επιτρέπει τον προσδιορισμό της αρχής πιστοποίησης που μπορεί να εκδώσει πιστοποιητικό για ένα όνομα τομέα.

Με άλλα λόγια, εάν δεν έχει οριστεί εγγραφή CAA για τον τομέα, οποιαδήποτε CA μπορεί να εκδώσει πιστοποιητικό για τον τομέα χωρίς περιορισμούς. Διαφορετικά, μόνο η CA που αναφέρεται στην εγγραφή CAA μπορεί να εκδώσει πιστοποιητικό για τον τομέα.

Παράδειγμα:
Όνομα | TTL | Τύπος | Δεδομένα
domain.tld | 1800 | CAA | 0 issue “letsencrypt.org”

Οι εγγραφές TXT για διαφορετικές τιμές κειμένου (π.χ. γραφή κανόνα SPF) γράφονται χωρίς εισαγωγικά στην αρχή και στο τέλος.

Παράδειγμα:
Όνομα | TTL | Τύπος | Δεδομένα
(κενό όνομα) | 1800 | TXT | “v = spf1 IP4: 64.170.98.0/26 IP6: 2001: 1890: 1112: 1 :: 0/64 -all”

Πληροφορίες σχετικά με την εγγραφή τύπου DANE / TLSA (DNS-Based Authentication).

Το πρωτόκολλο DANE, το οποίο εισάγει μια εγγραφή DNS τύπου TLSA, δημιουργήθηκε για να αυξήσει την ασφάλεια κατά την επαλήθευση της προέλευσης ενός πιστοποιητικού που παρέχεται από διακομιστή. Η εγγραφή DNS TLSA καθορίζει ένα πιστοποιητικό υπηρεσίας για έναν συνδυασμό δεδομένων – FQDN, πρωτόκολλο και θύρα, τα οποία μαζί αποτελούν ένα πρόθεμα εγγραφής. Η εγγραφή TLSA καθιστά δυνατή την επαλήθευση ότι το πιστοποιητικό δεν έχει τροποποιηθεί μεταξύ του παραλήπτη και του αποστολέα.

Περισσότερες πληροφορίες σχετικά με τον τύπο εγγραφής TLSA μπορείτε να βρείτε στη Βάση γνώσεων.

Πληροφορίες σχετικά με τον τύπο εγγραφής SSHFP. Η εγγραφή χρησιμοποιείται για τον έλεγχο ταυτότητας του δημόσιου κλειδιού του διακομιστή μετά τη δημιουργία μιας σύνδεσης μέσω του πρωτοκόλλου SSH.

Κατά τη δημιουργία μιας σύνδεσης με τον διακομιστή χρησιμοποιώντας το πρωτόκολλο SSH, η πιστοποίηση ταυτότητας μεταξύ του πελάτη και του διακομιστή πραγματοποιείται με το να διαβιβάζει ο διακομιστής το δακτυλικό αποτύπωμα του δημόσιου κλειδιού του στον πελάτη μετά την έναρξη της σύνδεσης, ώστε ο πελάτης να μπορεί να πιστοποιήσει τον διακομιστή.

Η αξιοπιστία και η ασφάλεια μιας σύνδεσης εξαρτάται από το αν ο χρήστης εκτελεί πράγματι το δακτυλικό αποτύπωμα που παρέχει ο διακομιστής με το αναμενόμενο δακτυλικό αποτύπωμα δημόσιου κλειδιού του διακομιστή.

Με την εισαγωγή της εγγραφής DNS SSHFP(RFC 4255), δημιουργείται ένας νέος τρόπος αυθεντικοποίησης για τους πελάτες SSH με τη σύγκριση του δακτυλικού αποτυπώματος που παρέχεται από το διακομιστή με το δακτυλικό αποτύπωμα που είναι αποθηκευμένο στη ζώνη DNS του τομέα για το FQDN του διακομιστή. Κατά τη διάρκεια της σύγκρισης, όλες οι παράμετροι της εγγραφής SSHFP πρέπει να ταιριάζουν – ο αλγόριθμος που χρησιμοποιήθηκε για τη δημιουργία του κλειδιού, ο αλγόριθμος που χρησιμοποιήθηκε για τη δημιουργία του αποτυπώματος κλειδιού και, τέλος, το ίδιο το αποτύπωμα κλειδιού.

Η χρήση του SSHFP DNS έχει νόημα μόνο εάν αυτή η εγγραφή υπογράφεται από την τεχνολογία DNSSEC, η οποία διασφαλίζει ότι η εγγραφή δεν μπορεί να πλαστογραφηθεί.

Περισσότερες πληροφορίες σχετικά με τον τύπο εγγραφής SSHFP και τη διαμόρφωσή του μπορείτε να βρείτε στη Βάση γνώσεων.