Centos/Redhat BIND normálně běží jako pojmenovaný proces vlastněný neprivilegovaným jmenovaným uživatelem. Někdy je BIND nainstalován také pomocí Linuxová chroot funkce, která nejen spouští pojmenované jako uživatel se jménem, ale také omezuje soubory, které mohou pojmenované vidět.
Po instalaci je Name oklamán tím, že si myslí, že adresář /var/named/chroot je ve skutečnosti kořenový adresář nebo adresář /. Proto pojmenované soubory, které se běžně nacházejí v adresáři /etc, se místo toho nacházejí v adresáři /var/named/chroot/etc a ty, které byste očekávali, že je najdete v /var/named, se ve skutečnosti nacházejí v /var/named/chroot/var /named.
Výhodou funkce chroot je, že pokud do vašeho systému vstoupí hacker prostřednictvím exploitu BIND, přístup hackera ke zbytku vašeho systému je izolován na soubory v adresáři chroot a nic jiného. Tento typ zabezpečení je také známý jako chroot vězení.
Pomocí tohoto příkazu můžete nainstalovat chroot add-on RPM.
K instalaci potřebujeme nakonfigurovat úložiště Yum.
[root@SRV01 ~]# yum install bind bind-chroot
Načtené pluginy:nejrychlejší zrcadlení
Určení nejrychlejších zrcadel
myrepo | 1,1 kB 00:00
primární.xml.gz | 878 kB 00:00
myrepo 2508/2508
Nastavení instalačního procesu
Analýza instalačních argumentů balíčku
Řešení závislostí
Zbývají nedokončené transakce. Chcete-li je dokončit, můžete nejprve zvážit spuštění transakce yum-complete-transaction.
–> Probíhá kontrola transakce
—> Balíček bind-chroot.i386 30:9.3.4-10.P1.el5 je nastaven na aktualizaci
—> Balíček bind.i386 30:9.3.4-10.P1.el5 nastaven k aktualizaci
–> Dokončené řešení závislostí
Závislosti vyřešeny
====================================================
Velikost úložiště verze Package Arch
====================================================
Instalace:
bind i386 30:9.3.4-10.P1.el5 myrepo 953 k
bind-chroot i386 30:9.3.4-10.P1.el5 myrepo 42 k
Přehled transakcí
====================================================
Nainstalovat 2 balíčky
Aktualizovat 0 balíčků
Odebrat 0 balíčků
Celková velikost stahování:995 k
Je to v pořádku [y/N]:y
Stahování balíčků:
(1/2):bind-chroot-9.3.4-10.P1.el5.i386.rpm | 42 kB 00:00
(2/2):bind-9.3.4-10.P1.el5.i386.rpm | 953 kB 00:00
———————————————————————————–
Celkem 1,8 MB/s | 995 kB 00:00
Spuštění rpm_check_debug
Spuštění testu transakce
Dokončený test transakce
Test transakce byl úspěšný
Probíhající transakce
Instalace:bind [1/2]
Instalace:bind-chroot [2/2]
Instalováno:bind.i386 30:9.3.4-10.P1.el5 bind-chroot.i386 30:9.3.4-10.P1.el5
Dokončeno!
Nyní bude kořenový adresář DNS pouze /var/named/chroot. Nejprve tedy zkopírujte pojmenovaný konfigurační soubor z /var/named/chroot/etc/
[root@SRV01 s názvem]# cp /usr/share/doc/bind-9.3.4/sample/etc/* /var/named/chroot/etc/
Dále zkopírujte soubor ukázkové zóny z adresáře /var/named/chroot/var/named.
[root@SRV01 pojmenovaný]# cp -a /usr/share/doc/bind-9.3.4/sample /var/named/* /var/named/chroot/var/named/
cp:přepsat `/var/named/chroot/var/named/slaves/my.ddns.internal.zone.db‘? y
cp:přepsat `/var/named/chroot/var/named/slaves/my.slave.internal.zone.db‘? y
Jakmile ukázková kopie skončí, nyní musíme přidat dns keygen do konfiguračního souboru, tj. /var/named/chroot/etc/named.conf. k vytvoření dns keygen použijte následující příkaz.
[root@SRV01 s názvem]# dns-keygen
31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC
Vložte výše do /var/named/chtoot/etc/named.conf
[root@SRV01 s názvem]# vi /etc/named.conf
klíč ddns_key
{
algoritmus hmac-md5;
tajné 31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC;
};
Znovu upravte /var/named/chroot/etc/named.conf, zadejte podrobnosti zóny podle požadavků vaší domény. Následující soubor představuje minimální konfiguraci pro spuštění serveru DNS. můžete jej také zkopírovat a použít pro své prostředí.
[root@SRV01 s názvem]# vi /var/named/chroot/etc/named.conf
možnosti
{
adresář „/var/named“; // výchozí
soubor výpisu „data/cache_dump.db“;
statistický soubor „data/named_stats.txt“;
memstatistics-file „data/named_mem_stats.txt“;
};
protokolování
{
kanál default_debug {
soubor „data/named.run“;
dynamická závažnost;
};
};
zóna “geeksite.in” IN { —–> Název dopředné zóny
typ master;
soubor „geeksite.in.zone“; —–> Název souboru, do kterého byla zóna uložena
allow-update { none; };
};
zóna “4.65.10.in-addr.arpa” IN { —–> Název reverzní zóny
typ master;
soubor “4.65.10.rev.zone”; —–> Název souboru, do kterého byla zóna uložena
allow-update { none; };
};
klíč ddns_key
{
algoritmus hmac-md5;
tajné 31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC;
};
Dále musíte mít soubor dopředné zóny (geeksite.in.zone) v adresáři /var/named/chroot/var/named/.
Zkopírujte /var/named/chroot/var/namded/localhost.zone jako /var/named/chroot/var/named/geeksite.in.zone.
[root@SRV01 Named]# cp /var/named/chroot/var/named/localhost.zone /var/named/chroot/var/named/geeksite.in.zone
Existuje několik speciálních klíčových slov pro soubory zóny
Záznam A-A
NS -Názvový server
MX – Mail for Exchange
CN -Kanonický název
Vhodně upravte soubor zóny. Ujistěte se, že celý název domény končí tečkou (.).
[root@SRV01 s názvem]# vi /var/named/chroot/var/named/geeksite.in.zone
86400 $ TTL @ IN SOA ns1.geeksite.in. [email protected]. (
42; seriál (d. Adams)
3H; obnovit
15M; opakovat
1W; vypršení platnosti
1D); minimum
IN NS ns1.geeksite.in.
IN A 10.65.4.55
www IN A 10.65.4.55
mail IN A 10.65.4.55
ns1 IN A 10.65.4.55
server IN A 10.65.4.55
geeksite.in. IN MX 10 mail.geeksite.in.
Dále musíte mít soubor reverzní zóny (4.65.10.rev.zone) v adresáři /var/named/chroot/var/named/.
Zkopírujte soubor /var/named/chroot/var/namded/named.local jako /var/named/chroot/var/named/4.65.10.rev.zone
[root@SRV01 Named]# cp /var/named/chroot/var/named/named.local /var/named/chroot/var/named/4.65.10.rev.zone
Vhodně to upravte podle svého požadavku.
[root@SRV01 s názvem]# vi /var/named/chroot/var/named/4.65.10.rev.zone
86400 $ TTL @ IN SOA ns1.geeksite.in. [email protected]. (
1997022700; Sériové
28800; Obnovit
14400; Zkuste to znovu
3600000; Vyprší
86400); Minimum
IN NS ns1.geeksite.in.
55 IN PTR geeksite.in.
55 IN PTR mail.geeksite.in.
55 V PTR www.geeksite.in.
55 IN PTR server.geeksite.in.
55 IN PTR ns1.geeksite.in.
Restartujte službu pomocí následujícího příkazu
[root@SRV01 named]# služba s názvem restart
Jednoduše otestujte server pomocí příkazu pro kontrolu dopředné zóny.
[root@SRV01 s názvem]# hostitel geeksite.in
geeksite.in má adresu 10.65.4.55
Poštu geeksite.in zpracovává 10 mail.geeksite.in
Toto je pro reverzní zónu.
[root@SRV01 s názvem]# hostitel 10.65.4.55
55.4.65.10.in.addr.arpa ukazatel názvu domény geeksite.in.
Tyto výše uvedené příkazy jsou dost dobré pro kontrolu DNS. Chcete-li se dozvědět více o podrobnostech řešení DNS, můžeme použít Dig nebo Nslookup