Centos/Redhat BIND wird normalerweise als benannter Prozess ausgeführt, der dem nicht privilegierten benannten Benutzer gehört. Manchmal wird BIND auch mit installiert Linux-Chroot-Funktion, um nicht nur named als benannten Benutzer auszuführen, sondern auch die Dateien zu begrenzen, die named sehen kann.
Bei der Installation wird named zu der Annahme verleitet, dass das Verzeichnis /var/named/chroot tatsächlich das Root- oder /-Verzeichnis ist. Daher werden benannte Dateien, die normalerweise im Verzeichnis /etc zu finden sind, stattdessen im Verzeichnis /var/named/chroot/etc gefunden, und diejenigen, die Sie in /var/named erwarten würden, befinden sich tatsächlich in /var/named/chroot/var /benannt.
Der Vorteil der Chroot-Funktion besteht darin, dass, wenn ein Hacker über einen BIND-Exploit in Ihr System eindringt, der Zugriff des Hackers auf den Rest Ihres Systems auf die Dateien im Chroot-Verzeichnis und sonst nichts beschränkt ist. Diese Art von Sicherheit wird auch als Chroot-Gefängnis bezeichnet.
Sie können das Chroot-Add-On-RPM mit diesem Befehl installieren.
Zur Installation müssen wir das Yum-Repository konfigurieren.
[root@SRV01 ~]# yum install bind bind-chroot
Geladene Plugins:Fastmirror
Bestimmung der schnellsten Mirrors
myrepo | 1,1 kB 00:00
primary.xml.gz | 878 kB 00:00
myrepo 2508/2508
Installationsprozess einrichten
Paketinstallationsargumente parsen
Abhängigkeiten auflösen
Es sind noch nicht abgeschlossene Transaktionen vorhanden. Sie könnten erwägen, zuerst yum-complete-transaction auszuführen, um sie abzuschließen.
–> Laufende Transaktionsprüfung
—> Paket bind-chroot.i386 30:9.3.4-10.P1.el5 soll aktualisiert werden
—> Paket bind.i386 30:9.3.4-10.P1.el5 soll aktualisiert werden
–> Abgeschlossene Abhängigkeitsauflösung
Abhängigkeiten gelöst
===============================================
Paket-Arch-Versions-Repository-Größe
===============================================
Installieren:
bind i386 30:9.3.4-10.P1.el5 myrepo 953 k
bind-chroot i386 30:9.3.4-10.P1.el5 myrepo 42 k
Transaktionszusammenfassung
===============================================
Installieren Sie 2 Pakete
0 Paket(e) aktualisieren
0 Paket(e) entfernen
Gesamtgröße des Downloads:995 KB
Ist das in Ordnung [j/N]:ja
Pakete herunterladen:
(1/2):bind-chroot-9.3.4-10.P1.el5.i386.rpm | 42 kB 00:00
(2/2):bind-9.3.4-10.P1.el5.i386.rpm | 953 kB 00:00
——————————————————————————–
Gesamt 1,8 MB/s | 995 kB 00:00
rpm_check_debug wird ausgeführt
Transaktionstest wird ausgeführt
Abgeschlossener Transaktionstest
Transaktionstest erfolgreich
Laufende Transaktion
Installieren:Binden Sie [1/2]
Installation:bind-chroot [2/2]
Installiert:bind.i386 30:9.3.4-10.P1.el5 bind-chroot.i386 30:9.3.4-10.P1.el5
Fertig!
Jetzt ist die DNS-Root nur noch /var/named/chroot. Kopieren Sie also zuerst die benannte Konfigurationsdatei aus /var/named/chroot/etc/
[root@SRV01 benannt]# cp /usr/share/doc/bind-9.3.4/sample/etc/* /var/named/chroot/etc/
Als nächstes kopieren Sie die Beispielzonendatei aus dem Verzeichnis /var/named/chroot/var/named.
[root@SRV01 benannt]# cp -a /usr/share/doc/bind-9.3.4/sample /var/named/* /var/named/chroot/var/named/
cp:`/var/named/chroot/var/named/slaves/my.ddns.internal.zone.db‘ überschreiben? y
cp:`/var/named/chroot/var/named/slaves/my.slave.internal.zone.db‘ überschreiben? y
Sobald die Beispielkopie vorbei ist, müssen wir jetzt das DNS-Keygen zur Konfigurationsdatei hinzufügen, dh /var/named/chroot/etc/named.conf. Um das DNS-Keygen zu erstellen, verwenden Sie den folgenden Befehl.
[root@SRV01 benannt]# dns-keygen
31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC
Oben in /var/named/chtoot/etc/named.conf einfügen
[root@SRV01 benannt]# vi /etc/named.conf
Schlüssel ddns_key
{
Algorithmus hmac-md5;
geheim 31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC;
};
Bearbeiten Sie erneut /var/named/chroot/etc/named.conf und geben Sie die Zonendetails gemäß Ihren Domänenanforderungen ein. Die folgende Datei ist eine minimale Konfiguration zum Ausführen des DNS-Servers. Sie können es auch kopieren und für Ihre Umgebung verwenden.
[root@SRV01 benannt]# vi /var/named/chroot/etc/named.conf
Optionen
{
Verzeichnis „/var/named“; // der Standard
Dump-Datei „data/cache_dump.db“;
Statistikdatei „data/named_stats.txt“;
memstatistics-Datei „data/named_mem_stats.txt“;
};
Protokollierung
{
Kanal default_debug {
Datei „data/named.run“;
Schweregrad dynamisch;
};
};
zone „geeksite.in“ IN { —–> Name der Weiterleitungszone
geben Sie master;
einDatei „geeksite.in.zone“; —–> Name der Datei, in der die Zone gespeichert wurde
Allow-Update { keine; };
};
zone „4.65.10.in-addr.arpa“ IN { —–> Name der Reverse Zone
geben Sie master;
einDatei „4.65.10.rev.zone“; —–> Name der Datei, in der die Zone gespeichert wurde
Allow-Update { keine; };
};
Schlüssel ddns_key
{
Algorithmus hmac-md5;
geheim 31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC;
};
Als nächstes müssen Sie eine Forward-Zonendatei (geeksite.in.zone) im Verzeichnis /var/named/chroot/var/named/ haben.
Kopieren Sie /var/named/chroot/var/namded/localhost.zone als /var/named/chroot/var/named/geeksite.in.zone.
[root@SRV01 benannt]# cp /var/named/chroot/var/named/localhost.zone /var/named/chroot/var/named/geeksite.in.zone
Es gibt einige spezielle Schlüsselwörter für Zonendateien
A-A-Aufzeichnung
NS -Nameserver
MX-Mail für Exchange
CN – Kanonischer Name
Bearbeiten Sie die Zonendatei entsprechend. Stellen Sie sicher, dass der gesamte Domainname mit einem Punkt (.).
endet[root@SRV01 benannt]# vi /var/named/chroot/var/named/geeksite.in.zone
$TTL 86400 @ IN SOA ns1.geeksite.in. [email protected]. (
42; seriell (d. adams)
3H; aktualisieren
15M; erneut versuchen
1W; Ablauf
1D); Minimum
IN NS ns1.geeksite.in.
IN A 10.65.4.55
www IN A 10.65.4.55
mail IN A 10.65.4.55
ns1 IN A 10.65.4.55
server IN A 10.65.4.55
geeksite.in. IN MX 10 mail.geeksite.in.
Als nächstes müssen Sie die Reverse-Zone-Datei (4.65.10.rev.zone) im Verzeichnis /var/named/chroot/var/named/ haben.
Kopieren Sie /var/named/chroot/var/namded/named.local als /var/named/chroot/var/named/4.65.10.rev.zone
[root@SRV01 benannt]# cp /var/named/chroot/var/named/named.local /var/named/chroot/var/named/4.65.10.rev.zone
Bearbeiten Sie dies entsprechend Ihren Anforderungen.
[root@SRV01 benannt]# vi /var/named/chroot/var/named/4.65.10.rev.zone
$TTL 86400 @ IN SOA ns1.geeksite.in. [email protected]. (
1997022700; Seriell
28800; Aktualisieren
14400; Wiederholen
3600000; Ablauf
86400 ); Minimum
IN NS ns1.geeksite.in.
55 IN PTR geeksite.in.
55 IN PTR mail.geeksite.in.
55 IN PTR www.geeksite.in.
55 IN PTR server.geeksite.in.
55 IN PTR ns1.geeksite.in.
Starten Sie den Dienst mit dem folgenden Befehl neu
[root@SRV01 benannt]# Dienst namens Neustart
Testen Sie den Server einfach mit dem Befehl, um die Vorwärtszone zu überprüfen.
[root@SRV01 benannt]# Host geeksite.in
geeksite.in hat die Adresse 10.65.4.55
geeksite.in-Mail wird von 10 mail.geeksite.in verwaltet
Dies ist für die Rückwärtszone.
[root@SRV01 benannt]#Host 10.65.4.55
55.4.65.10.in.addr.arpa Domänennamenzeiger geeksite.in.
Diese obigen Befehle sind gut genug, um den DNS zu überprüfen. Um mehr über DNS-Auflösungsdetails zu erfahren, können wir Dig oder Nslookup verwenden