BIND(Berkeley internet Name Daemon)也叫做NAMED,是現今互聯網上使用最為廣泛的DNS 服務器程序。這篇文章將要講述如何在 chroot 監牢中運行 BIND,這樣它就無法訪問文件系統中除“監牢”以外的其它部分。
例如,在這篇文章中,我會將BIND的運行根目錄改為 /var/named/chroot/。當然,對于BIND來說,這個目錄就是 /(根目錄)。 “jail”(監牢,下同)是一個軟件機制,其功能是使得某個程序無法訪問規定區域之外的資源,同樣也為了增強安全性(LCTT 譯注:chroot “監牢”,所謂“監牢”就是指通過chroot機制來更改某個進程所能看到的根目錄,即將某進程限制在指定目錄中,保證該進程只能對該目錄及其子目錄的文件進行操作,從而保證整個服務器的安全)。Bind Chroot DNS 服務器的默認“監牢”為 /var/named/chroot。
你可以按照下列步驟,在CentOS 7.0 上部署 Bind Chroot DNS 服務器。
1、安裝Bind Chroot DNS 服務器
[root@centos7 ~]# yum install bind-chroot bind -y
2、拷貝bind相關文件,準備bind chroot 環境
[root@centos7 ~]# cp -R /usr/share/doc/bind-*/sample/var/named/* /var/named/chroot/var/named/
3、在bind chroot 的目錄中創建相關文件
[root@centos7 ~]# touch /var/named/chroot/var/named/data/cache_dump.db
[root@centos7 ~]# touch /var/named/chroot/var/named/data/named_stats.txt
[root@centos7 ~]# touch /var/named/chroot/var/named/data/named_mem_stats.txt
[root@centos7 ~]# touch /var/named/chroot/var/named/data/named.run
[root@centos7 ~]# mkdir /var/named/chroot/var/named/dynamic
[root@centos7 ~]# touch /var/named/chroot/var/named/dynamic/managed-keys.bind
4、 將 Bind 鎖定文件設置為可寫
[root@centos7 ~]# chmod -R 777 /var/named/chroot/var/named/data
[root@centos7 ~]# chmod -R 777 /var/named/chroot/var/named/dynamic
5、 將 /etc/named.conf 拷貝到 bind chroot目錄
[root@centos7 ~]# cp -p /etc/named.conf /var/named/chroot/etc/named.conf
6、 在/etc/named.conf中對 bind 進行配置。
在 named.conf 文件尾添加 example.local 域信息, 創建轉發域(Forward Zone)與反向域(Reverse Zone)(LCTT 譯注:這里example.local 并非一個真實有效的互聯網域名,而是通常用于本地測試的一個域名;如果你需要做權威 DNS 解析,你可以將你擁有的域名如這里所示配置解析。):
[root@centos7 ~]# vi /var/named/chroot/etc/named.conf/p>
p> -/p>
p> ..
..
zone "example.local" {
type master;
file "example.local.zone";
};
zone "0.168.192.in-addr.arpa" IN {
type master;
file "192.168.0.zone";
};
..
../p>
p>named.conf 完全配置如下:/p>
p> //
// named.conf
//
// 由Red Hat提供,將 ISC BIND named(8) DNS服務器
// 配置為暫存域名服務器 (用來做本地DNS解析).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
/*
- 如果你要建立一個 授權域名服務器 服務器, 那么不要開啟 recursion(遞歸) 功能。
- 如果你要建立一個 遞歸 DNS 服務器, 那么需要開啟recursion 功能。
- 如果你的遞歸DNS服務器有公網IP地址, 你必須開啟訪問控制功能,
只有那些合法用戶才可以發詢問. 如果不這么做的話,那么你的服
服務就會受到DNS 放大攻擊。實現BCP38將有效抵御這類攻擊。
*/
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
zone "example.local" {
type master;
file "example.local.zone";
};
zone "0.168.192.in-addr.arpa" IN {
type master;
file "192.168.0.zone";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
7、 為 example.local 域名創建轉發域與反向域文件
a)創建轉發域
[root@centos7 ~]# vi /var/named/chroot/var/named/example.local.zone
添加如下內容并保存:
;
; Addresses and other host information.
;
$TTL 86400
@ IN SOA example.local. hostmaster.example.local. (
2014101901 ; Serial
43200 ; Refresh
3600 ; Retry
3600000 ; Expire
2592000 ) ; Minimum
; Define the nameservers and the mail servers
IN NS ns1.example.local.
IN NS ns2.example.local.
IN A 192.168.0.70
IN MX 10 mx.example.local.
centos7 IN A 192.168.0.70
mx IN A 192.168.0.50
ns1 IN A 192.168.0.70
ns2 IN A 192.168.0.80
b)創建反向域
[root@centos7 ~]# vi /var/named/chroot/var/named/192.168.0.zone/p>
p> -/p>
p> ;
; Addresses and other host information.
;
$TTL 86400
@ IN SOA example.local. hostmaster.example.local. (
2014101901 ; Serial
43200 ; Refresh
3600 ; Retry
3600000 ; Expire
2592000 ) ; Minimum
0.168.192.in-addr.arpa. IN NS centos7.example.local.
70.0.168.192.in-addr.arpa. IN PTR mx.example.local.
70.0.168.192.in-addr.arpa. IN PTR ns1.example.local.
80.0.168.192.in-addr.arpa. IN PTR ns2.example.local.
。
8、開機自啟動 bind-chroot 服務
[root@centos7 ~]# /usr/libexec/setup-named-chroot.sh /var/named/chroot on
[root@centos7 ~]# systemctl stop named
[root@centos7 ~]# systemctl disable named
[root@centos7 ~]# systemctl start named-chroot
[root@centos7 ~]# systemctl enable named-chroot
ln -s '/usr/lib/systemd/system/named-chroot.service' '/etc/systemd/system/multi-user.target.wants/named-chroot.service'
