The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Простой и безопасный способ обновления DNS через SSH (dns ssh update)


<< Предыдущая ИНДЕКС Правка src / Печать Следующая >>
Ключевые слова: dns, ssh, update,  (найти похожие документы)
From: Михаил Сгибнев <mixa(@).dreamcatcher.ru> Date: 2006-09-13 16:38:20 Subject: Простой и безопасный способ обновления DNS через SSH
Перевод: Сгибнев Михаил

Резюме

В этой статье рассказывается, как автоматизировать порядок обновлений динамического DNS сервера через SSH.

Введение

Моя домашняя сеть подключена к Internet через модем и провайдер назначает мне внешний IP через DHCP. Довольно часто мне необходимо получать доступ к моей внутренней сети, находясь в этот момент на работе, но желание разбивается о суровую правду жизни в виде непонятно-как-назначенного-провайдером адреса шлюза моей сети. Собственно, именно для этого нам и понадобится DNS: необходимо привязать имя хоста к постоянно изменяющемуся адресу и выполнить необходимые обновления.

Решение

Проблема поддержания в актуальном виде записей DNS при динамическом IP имеет много решений, коммерческих и бесплатных. В моем случае я управляю DNS сервером в своей организации и поэтому самым простым способом лично для меня будет обновление таблиц DNS через защищенный канал, используя openssh, всякий раз, как меняется адрес шлюза моей домашней сети. Так как нам необходимо полностью автоматизировать процесс, то мы будем использовать беспарольную аутентификацию с помощью ключей (нам придется не указывать кодовую фразу, доверившись что наш приватный ключ не попадет в чужие руки). Чтобы снизить риск компрометации системы предпримем следующие шаги: В случае определения выполняемой команды в authorized_keys от клиента требуется лишь подтвердить свою подлинность. Никаких других действий ему производить не требуется, да и незачем.

Установка учетной записи пользователя

По традиции, таблицами DNS управляет пользователь root, но процесс запущен от имени другого пользователя (обычно, named). Создадим учетную запись 'dnsadmin' и делегируем ей функции модификации таблиц. Вот так это выглядит на RedHat-based системе:
  1. Создаем учетную запись:
      
      $ adduser dnsadmin -s /bin/sh -d /etc/tinydns/root
      
      
  2. Предоставляем права на файлы DNS пользователю dnsadmin:
      
      $ chown -R dnsadmin:dnsadmin /etc/tinydns/root
      
      
  3. Создаем каталог .ssh в ~dnsadmin:
      
      $ su dnsdmin -c 'mkdir /etc/tinydns/root/.ssh'
      
      
  4. Копируем публичный ключ в /etc/tinydns/yo/.ssh/authorized_keys. Выполним следующие шаги:
    • Создаем пару ключей:
        
        $ ssh-keygen -t dsa -N "" -f dns.key
        
        
    • Редактируем публичный ключ, внося ограничения:
        
        command="/usr/bin/perl /etc/tinydns/dynupdate",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty
        
        
      Этим мы значительно увеличим безопасность системы, так как при компрометации приватного ключа, злоумышленник сможет выполнить только одну единственную безобидную программу.
    • Копируем приватный ключ dns.key на шлюз домашней сети и размещаем в соответствующий каталог. В моем случае это /yo/.ssh/dns.key
    • Копируем отредактированный публичный ключ dns.key.pub на DNS сервер и добавляем его в /etc/tinydns/yo/.ssh/authorized_keys.
    • Файл "/etc/tinydns/dynupdate" является скриптом, написанным на языке Perl. Я использую djbns, так как он особенно удобен для использования в скрипте из-за линейно-ориентированного файла конфигурации. Скрипт извлекает IP адрес клиента из переменной среды SSH_CONNECTION и пишет соответствующую строку конфигурации для tinydns (в данном случае, запись типа A), производит изменения в каталоге конфигурации tinydns и запускает make, который обьединяет динамические и статические данные в файл, имеющий формат cdb. Данный сценарий не имеет средств обработки ошибок, при желании, модифицируйте его.
        
        #!/usr/bin/perl
        
        use strict;
        
        my $d='/etc/tinydns/root';
        my $host = 'ext.praxis-sw.com';
        my $ttl = 1800;
        my $e;
        
        unless ($e = $ENV{SSH_CONNECTION}){
          die "cannot get connection environment variable\n";
        }
        
        if (my ($client_ip) = $e =~ /^(\S+)/){
                my $f=qq[$d/dynamic.data];
                my $t=$f . 'tmp';
                open(F, ">$t") or die "cannot open file $t. $!\n";
                print F qq[=$host:${client_ip}:$ttl\n];
                close F or die "cannot close file $t. $!\n";
                rename $t, $f or die "cannot rename file $t to $f. $!\n";
                chdir($d) or die "cannot chdir to $d. $!\n";
                exec '/usr/bin/make -s';
        
        }
        else {
                warn "cannot get client ip\n";
                exit 1;
        }
        
        
      Вот текст файла Makefile:
        
        data.cdb: static.data dynamic.data
                test -e data && chmod 0600 data
                ( echo "#Do not edit. Generated data!"; cat static.data dynamic.data ) > data
                chmod 0400 data
                /usr/local/bin/tinydns-data
        
        
    • Теперь, когда создается ssh соединение с шлюза домашней сети на DNS сервер, происходит обновление записи для хоста ext.praxis-sw.com.
    • Финал. Строка для запуска ssh сессии
        
        ssh -i /yo/.ssh/dns.key -n joad.praxis-sw.com
        
        
      из скрипта dhcp. Я использую dhcpcd, сценарий запуска его находится в /etc/dhcpcd/ .

Заключение

Был бы рад, если этот совет Вам пригодился. Предложения и замечания принимаются.

По материалам Praxis Software

Примечание переводчика. Логин пользователя в тексте не yo, а root, было заменено специально, так как под root работать нехорошо. Хотя, когда я был молод, работал с Linux и не знал что такое "sudo", я тоже работал под root.

<< Предыдущая ИНДЕКС Правка src / Печать Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру