Архив метки: Ubuntu

Как правильно настроить TTL домена

TTL означает «время жизни» и указывает, как долго ваши настройки DNS должны храниться в кэше, прежде чем они будут автоматически обновлены.

Когда происходит изменение DNS, остальной части Интернета требуется время, чтобы это заметить. Некоторые примеры таких изменений: обновление IP-адреса сервера, обновление записи MX для размещения вашей электронной почты в новом месте или добавление нового веб-сайта. Параметр TTL сообщает Интернету, как долго ждать, прежде чем вернуться для проверки вашей записи DNS на предмет потенциально новой информации.

Если для параметра TTL DNS установлено значение 12 часов, ваши записи DNS будут кэшироваться в течение 12 часов, прежде чем срок их действия истечет, и новая информация вступит в силу.

TTL на доменах IONOS устанавливается на срок до 1 часа для всех записей A, AAA, MX, TXT и CNAME.

Как долго длится TTL?

TTL указывается в секундах. Типичное значение по умолчанию обычно составляет 12 часов (43200 секунд) или 24 часа (86400 секунд). Например — сайт переезжает на новый сервер; или вы добавляете новый URL на свой сервер. Новые изменения DNS вступят в силу через 12–24 часа.

Обратите внимание, что даже если вы измените TTL для своего доменного имени, это не означает, что автоматически каждая сеть в Интернете будет соблюдать это значение. Многие поставщики интернет-услуг (ISP) игнорируют настройки TTL и проверяют внешние записи DNS по своему собственному расписанию.

Лучшие практики DNS TTL

По большей части нет необходимости изменять TTL. Однако, если вы знаете, что скоро внесете большое изменение в DNS, и хотите, чтобы изменения вступили в силу быстро, вы можете изменить свой TTL заранее.

По крайней мере, за 24 часа до начала обновите TTL до более короткого значения. Например, вы можете изменить его на 3600 (1 час).

Когда ваша работа будет сделана, обязательно вернитесь и верните свои настройки TTL к исходным значениям. Кэширование DNS — важный способ снизить нагрузку на серверы, и лучше всего поддерживать низкий уровень этого трафика.

Минимальное значение TTL DNS

Если вы планируете в ближайшее время внести изменения в DNS, вам следует начать с установки низкого значения TTL. Это помогает обеспечить более быстрое распространение ваших изменений и их распознавание в Интернете.

Установите для минимального значения TTL DNS значение больше 0. Никогда не устанавливайте для TTL DNS значение 0. Число 0 не определено в стандарте, и это может привести к игнорированию или отклонению вашей информации DNS.

Рекомендация : 3600 (1 час) — хорошее минимальное значение. Он достаточно низкий, чтобы изменения вступили в силу быстро, но не настолько низкий, чтобы DNS-серверы были перегружены.

Максимальное значение TTL DNS

Максимальное значение TTL — 604800 (7 дней). Хотя технически не существует максимального значения TTL для DNS, значения более 7 дней будут автоматически округляться до 7 дней.

Рекомендация: для большинства пользователей максимальное значение TTL для DNS 86400 (24 часа) является хорошим выбором.

Динамический DNS TTL

Динамический DNS (DDNS) — отличный способ указать доменные имена на нестатический IP-адрес.

Например, предположим, что вам принадлежит доменное имя example.com. Вы хотите указать home.example.com на сервер в вашей домашней сети; однако у вас нет статического IP-адреса от вашего интернет-провайдера. Это означает, что внешний IP-адрес вашего домашнего сервера будет периодически меняться.

Сервисы динамического DNS могут указывать доменное имя (например, home.example.com) на переменный IP. Каждый раз при изменении IP-адреса ваш DNS автоматически обновляется, поэтому изменение вступает в силу быстро.

Если вы настроили динамический DNS для доменного имени, вас могут попросить указать TTL для записей. Однозначного ответа на вопрос о значении TTL, которое следует использовать для динамической записи DNS, не существует. Частично это будет зависеть от того, как долго находится аренда IP-адреса. Чем чаще меняется IP-адрес, тем ниже TTL, который вам следует использовать.

Рекомендация. Хорошее практическое правило — сделать TTL DDNS вдвое меньше, чем аренда DHCP. Если аренда IP-адреса установлена ​​на 60 (1 минута), установите TTL на 30 (30 секунд). Если IP-адрес 3600 (1 час), установите TTL на 1800 (30 минут).

Как выполнить поиск в DNS TTL

Узнайте, как проверить настройки TTL для вашего веб-сайта.

Linux, Unix или Mac OS X

Самый простой способ узнать настройки TTL — использовать digутилиту, доступную в Linux, Unix и Mac OS X.

В оболочке (командной строке) введите:

dig example.com

Это вернет информацию DNS (включая значения TTL) для имени домена:

Значение «7728» — это TTL для записи в секундах (7 728 секунд = 2 часа 8 минут).

Windows

В Windows вы можете использовать эту nslookupутилиту для проверки значений TTL DNS для веб-сайта.

Сначала откройте окно командной строки.

• Windows 7: Пуск -> Все программы -> Стандартные -> Командная строка • Windows 10: щелкните правой кнопкой мыши кнопку «Пуск» -> Выполнить -> введите «cmd» в поле и нажмите «ОК».

Чтобы запустить nslookup и получить значения TTL, введите:

nslookup –type=soa example.com

Это вернет информацию авторитетного сервера имен для этого домена, включая TTL по умолчанию в секундах и часах.

В этом случае TTL веб-сайта установлен на 3600 секунд (1 час).

В сети

Есть несколько веб-сайтов, которые позволяют использовать утилиту dig для бесплатного поиска DNS TTL.

Ниже мы используем Google Apps: (https://toolbox.googleapps.com/apps/dig/)

Как видите, значение TTL DNS для записей этого домена установлено на 21599 секунд (6 часов).

Как изменить TTL, если у вас есть собственный DNS

Если вы используете собственный DNS-сервер, для изменения TTL достаточно отредактировать файл зоны и убедиться, что ваша DNS-служба принимает изменения. Специфика будет зависеть от того, какую службу DNS вы используете, а в некоторых случаях от того, какую версию Linux или Unix вы используете.

После внесения изменений вы можете проверить, вступили ли они в силу, запросив у вашего сервера новую информацию DNS с помощью команды:

dig @localhost example.com

BIND

BIND — это наиболее широко используемое программное обеспечение DNS. В BIND TTL хранится в верхней части файла зоны, обычно во второй строке. Объявление TTL начинается с $TTL. По умолчанию TTL составляет четыре часа (14 400 секунд):

$TTL 14400

Поиск файла зоны: Red Hat и CentOS

При типичной установке BIND в Red Hat или CentOS файл зоны веб-сайта будет выглядеть примерно так /var/named/[domain name].dbили /var/named/[domain name].zone. Например, чтобы отредактировать файл для example.com в типичной настройке по умолчанию, введите следующую команду:

sudo nano /var/named/example.com.db

Поиск файла зоны: Debian и Ubuntu

В типичной установке BIND в Debian или Ubuntu файл зоны веб-сайта будет выглядеть примерно так /etc/bind/[domain name].db. Например, чтобы отредактировать файл для example.com в типичной настройке по умолчанию, введите следующую команду:

sudo nano /etc/bind/example.com.db

Редактирование файла зоны

В файле зоны вам нужно будет отредактировать две строки: TTL и серийный номер.

  1. Обновите TTL до значения, которое вы хотите использовать.

  2. Обновите серийный номер, чтобы BIND зарегистрировал изменение.

Обновление TTL

TTL будет первой строкой файла и будет выглядеть примерно так:

$TTL            86400

Просто измените число на значение TTL, которое вы хотите установить, в секундах.

Обновление серийного номера

В типичной конфигурации серийный номер нужно просто увеличить. Например, серийный номер 1234будет обновлен до 1235.

Некоторые системные администраторы могут использовать метку времени, номер версии или иметь системы для автоматического увеличения серийного номера. Если вы не уверены, какая система используется для серийных номеров BIND, обратитесь к администратору вашего сервера.

Сохраните и выйдите из файла.

Проверка файла

Перед тем, как перезагрузить изменения, проверьте синтаксис основной конфигурации BIND с помощью команды:

sudo named-checkconf

Если все в порядке, проверьте синтаксис только что отредактированного файла зоны с помощью команды:

sudo named-checkzone [domain name] [path to file]

Например, если вы изменили TTL для example.com в файле, /var/named/example.com.dbкоманда будет выглядеть так:

sudo named-checkzone example.com /var/named/example.com.db

Перезагрузка изменений

Если файлы проходят проверку синтаксиса, перезагрузите файл зоны в BIND с помощью команды:

sudo rndc reload example.com

Необязательно: в Red Hat и CentOS, если systemctlон был настроен, вы можете перезапустить BIND вместо этого, используя команду:

sudo systemctl restart named

Несвязанный

Unbound недавно заменил BIND в качестве DNS-сервера по умолчанию во многих системах BSD, включая FreeBSD 10 и выше и OpenBSD 5.6 и выше.

По умолчанию в большинстве систем файл конфигурации находится по адресу:

  • OpenBSD :/var/unbound/etc/unbound.conf

  • FreeBSD 10.0 и ранее :/usr/local/etc/unbound/unbound.conf

  • FreeBSD 10.1 и выше :/etc/unbound/unbound.conf

  • Red Hat и CentOS 7 :/etc/unbound/unbound.conf

В файле конфигурации Unbound по умолчанию не указаны значения TTL. Вы можете добавить TTL в файл несвязанной зоны со следующими атрибутами:

  • cache-max-ttl Максимальный период времени для кеширования TTL. По умолчанию 86400 секунд (1 день).

  • cache-min-ttl Минимальная продолжительность кеширования TTL. По умолчанию 0 секунд. Примечание: официальная документация рекомендует оставить это значение равным нулю.

Чтобы изменить или установить TTL, отредактируйте unbound.conf файл:

sudo nano /etc/unbound/unbound.conf

Проверьте файл для cache-max-ttl и cache-min-ttl атрибутов. Если они уже существуют, вы будете их редактировать. Если их нет, вам нужно будет добавить их:

## Minimum lifetime of cache entries in seconds.  Default is 0.

cache-min-ttl: 0

## Maximum lifetime of cached entries. Default is 86400 seconds (1  day).

cache-max-ttl: 14400

Поместите эти конфигурации в основной блок команд сервера, затем сохраните и выйдите из файла.

После редактирования файла конфигурации вы можете протестировать конфигурацию с помощью команды:

unbound-checkconf

Наконец, перезапустите Unbound, чтобы изменения вступили в силу с помощью команды:

unbound-control reload

https://www.youtube.com/watch?v=UKBDT56SrF0



2020-10-12T12:42:06
Вопросы читателей

Разрешить root`у вход по ssh на Ubuntu

По умолчанию в убунту пользователю root запрещен вход через ssh. Для открытия доступа нужно выполнить следующие действия:

Читать

Установка и настройка fail2ban на Ubuntu Server 16.04-20.04

Сегодня рассмотрим установку и настройку Fail2Ban на Ubuntu Server 16.04-20.04. Также рассмотрим защиту SSH-сервера от атак типа Brute Force. И так начнем. Читать

Установка Conky в Ubuntu

Conky — это свободный и бесплатный системный монитор с открытым исходным кодом для операционных систем семейства Linux. С помощью него вы можете отображать множество параметров системы, например, состояние процессора, пространства подкачки, температуру, состояние дисков, процессы, сетевые интерфейсы, нагрузку на сеть и многое другое.

Вся информация будет выведена на рабочем столе в виде красивого виджета. Кроме того, можно выводить различные календари, дату и время, погоду и многое другое. Все это доступно через темы Conky. В этой статье мы рассмотрим как выполняется установка Conky в Ubuntu 20.04. А также как настроить Conky Manager для правильной работы.

Читать

Как запустить окно терминала в Ubuntu Linux

Если вы используете Ubuntu Linux, вы часто увидите статьи, в которых рекомендуется запускать команды. Для этого вам нужно ввести эти команды в окно Терминала. Вот несколько способов открыть его, включая быстрое сочетание клавиш

Советы в этой статье были протестированы на Ubuntu 20.04 LTS. Они должны применяться и к другим дистрибутивам Linux, использующим среду рабочего стола GNOME.

Предупреждение: будьте осторожны при выполнении команд, которые вы найдете в Интернете. Убедитесь, что они из надежного источника и что вы понимаете, что используете.

Используйте сочетание клавиш для открытия терминала

Чтобы быстро открыть окно терминала в любое время, нажмите Ctrl + Alt + T. Откроется графическое окно терминала GNOME.

Запуск окна терминала из тире

Вы найдете приложение «Терминал» в составе других установленных приложений. Чтобы найти их, нажмите кнопку «Показать приложения» в нижнем левом углу экрана на полосе «тире».

Введите «Терминал» и нажмите Enter, чтобы найти и запустить ярлык Терминала. Вы также можете найти значок терминала в списке всех приложений, который отображается здесь, и щелкнуть его.

Запустите команду, чтобы открыть терминал

Вы также можете нажать Alt + F2, чтобы открыть диалоговое окно «Выполнить команду». Введите gnome-terminal здесь и нажмите Enter, чтобы открыть окно терминала.

Вы также можете запускать многие другие команды из окна Alt + F2. Однако вы не увидите никакой информации, как при запуске команды в обычном окне. Диалоговое окно «Выполнить» полезно в подобных ситуациях, когда вы просто хотите запустить приложение — например, вы можете нажать Alt + F2, ввести firefox и нажать «Enter», чтобы открыть окно браузера Firefox.

https://www.youtube.com/watch?v=qwopGsaNF_Q



2020-09-08T09:54:03
Вопросы читателей

Как зашифровать файлы с помощью gocryptfs в Linux

Вы хотите зашифровать важные файлы, но не весь жесткий диск вашей системы Linux? Если да, то рекомендуем gocryptfs. Вы получите каталог, который, по сути, шифрует и расшифровывает все, что вы храните.

gocryptfs предлагает защиту от утечки данных

Конфиденциальность — большая новость. Не проходит и недели без объявления о взломе той или иной организации. Компании либо сообщают о недавних инцидентах, либо раскрывают нарушения, произошедшие некоторое время назад. В обоих случаях это плохие новости для тех, чьи данные были раскрыты.

Поскольку миллионы людей используют такие сервисы, как Dropbox, Google Drive и Microsoft OneDrive , кажущийся бесконечным поток данных отправляется в облако каждый день. Если вы храните некоторые (или все) свои данные в облаке, что вы можете сделать для защиты секретной информации и личных документов в случае нарушения?

Разумеется, утечки данных бывают самых разных форм и размеров, и они не ограничиваются облаком. Потерянная карта памяти или украденный ноутбук — это просто утечка данных в меньшем масштабе. Но масштаб не является решающим фактором. Если данные являются конфиденциальными или конфиденциальными, их обладание может иметь катастрофические последствия.

Одно из решений — зашифровать ваши документы. Традиционно это делается путем полного шифрования жесткого диска. Это безопасно, но также немного замедляет работу вашего компьютера. Кроме того, если у вас случится катастрофический сбой, это может усложнить процесс восстановления вашей системы из резервных копий.

gocryptfsСистема позволяет шифровать только каталоги , что защита и необходимость избегать Общесистемному накладных шифрования и дешифрования. Он быстрый, легкий и простой в использовании. Также легко переместить зашифрованные каталоги на другие компьютеры. Пока у вас есть пароль для доступа к этим данным, он не оставляет следов ваших файлов на другом компьютере.

gocryptfsСистема построена как легкий, зашифрованной файловой системы. Он также может монтироваться обычными учетными записями без полномочий root, поскольку он использует  пакет Filesystem in Userspace (FUSE). Это действует как мост между gocryptfsподпрограммами файловой системы ядра, к которым он должен получить доступ.

Установка gocryptfs

Чтобы установить gocryptfs на ubuntu, введите эту команду:

sudo apt-get install gocryptfs

Чтобы установить его в Fedora, введите:

sudo dnf install gocryptfs

На Манджаро команда:

sudo pacman -Syu gocryptfs

Создание зашифрованного каталога

Отчасти его преимущество в gocryptfs том, насколько просто им пользоваться. Принципы:

  • Создайте каталог, содержащий файлы и подкаталоги, которые вы защищаете.

  • Используйте gocryptrfs для инициализации этого каталога.

  • Создайте пустой каталог в качестве точки монтирования, а затем подключите к нему зашифрованный каталог.

  • В точке монтирования вы можете видеть и использовать расшифрованные файлы, а также создавать новые.

  • Когда закончите, отключите зашифрованную папку.

Мы собираемся создать каталог под названием «хранилище» для хранения зашифрованных данных. Для этого мы набираем следующее:

mkdir vault

Нам нужно инициализировать наш новый каталог. На этом этапе в gocryptfsкаталоге создается файловая система:

gocryptfs -init vault

Введите пароль, когда вам будет предложено; введите его дважды, чтобы убедиться, что он правильный. Выберите сильный: три не связанных между собой слова, включающие знаки препинания, цифры или символы, — хороший шаблон.

Ваш мастер-ключ сгенерирован и отображен. Скопируйте и сохраните это где-нибудь в надежном и частном месте. В нашем примере мы создаем gocryptfs каталог на исследовательской машине, который стирается после написания каждой статьи.

Как это необходимо для примера, вы можете увидеть мастер-ключ для этого каталога. Вы определенно захотите быть более скрытным со своим. Если кто-то получит ваш главный ключ, он сможет получить доступ ко всем вашим зашифрованным данным.

Если вы перейдете в новый каталог, вы увидите, что были созданы два файла. Введите следующее:

cd vault

ls -ahl

«Gocryptfs.diriv» — это короткий двоичный файл, а «gocryptfs.conf» содержит настройки и информацию, которую следует хранить в безопасности.

Если вы загружаете зашифрованные данные в облако или делаете резервную копию на небольшой переносной носитель, не включайте этот файл. Однако если вы выполняете резервное копирование на локальный носитель, который остается под вашим контролем, вы можете включить этот файл.

При наличии достаточного времени и усилий можно будет извлечь ваш пароль из записей «зашифрованный ключ» и «соль», как показано ниже:

cat gocryptfs.conf

Монтирование зашифрованного каталога

Зашифрованный каталог монтируется в точке монтирования, которая представляет собой просто пустой каталог. Мы собираемся создать одного под названием «компьютерщик»:

mkdir geek

Теперь мы можем смонтировать зашифрованный каталог в точку монтирования. Строго говоря, на самом деле монтируется gocryptfsфайловая система внутри зашифрованного каталога. Нам предлагается ввести пароль:

gocryptfs vault geek

Когда зашифрованный каталог смонтирован, мы можем использовать каталог точки монтирования так же, как и любой другой. Все, что мы редактируем и создаем в этом каталоге, фактически записывается в смонтированный зашифрованный каталог.

Мы можем создать простой текстовый файл, например следующий:

touch secret-notes.txt

Мы можем отредактировать его, добавить в него контент, а затем сохранить файл:

gedit secret-notes.txt

Наш новый файл создан:

ls

Если мы переключимся в наш зашифрованный каталог, как показано ниже, мы увидим, что новый файл был создан с зашифрованным именем. Вы даже не можете сказать, какой это тип файла по названию:

cd vault

ls -hl

Если мы попытаемся просмотреть содержимое зашифрованного файла, мы увидим, что он действительно зашифрован:

less aJGzNoczahiSif_gwGl4eAUnwxo9CvOa6kcFf4xVgYU

Наш простой текстовый файл, показанный ниже, теперь трудно расшифровать.

Отключение зашифрованного каталога

Когда вы закончите с зашифрованным каталогом, вы можете размонтировать его с помощью команды fusermount. Часть пакета FUSE, следующая команда отключает gocryptfsфайловую систему внутри зашифрованного каталога от точки монтирования:

fusermount -u geek

Если вы введете следующее, чтобы проверить каталог точки монтирования, вы увидите, что он все еще пуст:

ls

Все, что вы сделали, надежно хранится в зашифрованном каталоге.

Просто и безопасно

Преимущество простых систем в том, что они используются чаще, тогда как более сложные процессы, как правило, остаются на второй план. Использование gocryptfs не только просто, но и безопасно. Простота без безопасности не имеет смысла.

Вы можете создать столько зашифрованных каталогов, сколько вам нужно, или только один для хранения всех ваших конфиденциальных данных. Вы также можете создать несколько псевдонимов для монтирования и размонтирования вашей зашифрованной файловой системы и еще больше упростить процесс.



2020-09-01T18:50:15
Вопросы читателей