BIND(Berkeley internet Name Daemon)也叫做NAMED,是現(xiàn)今互聯(lián)網(wǎng)上使用最為廣泛的DNS 服務(wù)器程序。這篇文章將要講述如何在 chroot 監(jiān)牢中運(yùn)行 BIND,這樣它就無(wú)法訪問(wèn)文件系統(tǒng)中除“監(jiān)牢”以外的其它部分。
例如,在這篇文章中,我會(huì)將BIND的運(yùn)行根目錄改為 /var/named/chroot/。當(dāng)然,對(duì)于BIND來(lái)說(shuō),這個(gè)目錄就是 /(根目錄)。 “jail”(監(jiān)牢,下同)是一個(gè)軟件機(jī)制,其功能是使得某個(gè)程序無(wú)法訪問(wèn)規(guī)定區(qū)域之外的資源,同樣也為了增強(qiáng)安全性(LCTT 譯注:chroot “監(jiān)牢”,所謂“監(jiān)牢”就是指通過(guò)chroot機(jī)制來(lái)更改某個(gè)進(jìn)程所能看到的根目錄,即將某進(jìn)程限制在指定目錄中,保證該進(jìn)程只能對(duì)該目錄及其子目錄的文件進(jìn)行操作,從而保證整個(gè)服務(wù)器的安全)。Bind Chroot DNS 服務(wù)器的默認(rèn)“監(jiān)牢”為 /var/named/chroot。
你可以按照下列步驟,在CentOS 7.0 上部署 Bind Chroot DNS 服務(wù)器。
1、安裝Bind Chroot DNS 服務(wù)器
[root@centos7 ~]# yum install bind-chroot bind -y
2、拷貝bind相關(guān)文件,準(zhǔn)備bind chroot 環(huán)境
[root@centos7 ~]# cp -R /usr/share/doc/bind-*/sample/var/named/* /var/named/chroot/var/named/
3、在bind chroot 的目錄中創(chuàng)建相關(guān)文件
[root@centos7 ~]# touch /var/named/chroot/var/named/data/cache_dump.db
[root@centos7 ~]# touch /var/named/chroot/var/named/data/named_stats.txt
[root@centos7 ~]# touch /var/named/chroot/var/named/data/named_mem_stats.txt
[root@centos7 ~]# touch /var/named/chroot/var/named/data/named.run
[root@centos7 ~]# mkdir /var/named/chroot/var/named/dynamic
[root@centos7 ~]# touch /var/named/chroot/var/named/dynamic/managed-keys.bind
4、 將 Bind 鎖定文件設(shè)置為可寫
[root@centos7 ~]# chmod -R 777 /var/named/chroot/var/named/data
[root@centos7 ~]# chmod -R 777 /var/named/chroot/var/named/dynamic
5、 將 /etc/named.conf 拷貝到 bind chroot目錄
[root@centos7 ~]# cp -p /etc/named.conf /var/named/chroot/etc/named.conf
6、 在/etc/named.conf中對(duì) bind 進(jìn)行配置。
在 named.conf 文件尾添加 example.local 域信息, 創(chuàng)建轉(zhuǎn)發(fā)域(Forward Zone)與反向域(Reverse Zone)(LCTT 譯注:這里example.local 并非一個(gè)真實(shí)有效的互聯(lián)網(wǎng)域名,而是通常用于本地測(cè)試的一個(gè)域名;如果你需要做權(quán)威 DNS 解析,你可以將你擁有的域名如這里所示配置解析。):
[root@centos7 ~]# vi /var/named/chroot/etc/named.conf/p>
p> -/p>
p> ..
..
zone "example.local" {
type master;
file "example.local.zone";
};
zone "0.168.192.in-addr.arpa" IN {
type master;
file "192.168.0.zone";
};
..
../p>
p>named.conf 完全配置如下:/p>
p> //
// named.conf
//
// 由Red Hat提供,將 ISC BIND named(8) DNS服務(wù)器
// 配置為暫存域名服務(wù)器 (用來(lái)做本地DNS解析).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
/*
- 如果你要建立一個(gè) 授權(quán)域名服務(wù)器 服務(wù)器, 那么不要開啟 recursion(遞歸) 功能。
- 如果你要建立一個(gè) 遞歸 DNS 服務(wù)器, 那么需要開啟recursion 功能。
- 如果你的遞歸DNS服務(wù)器有公網(wǎng)IP地址, 你必須開啟訪問(wèn)控制功能,
只有那些合法用戶才可以發(fā)詢問(wèn). 如果不這么做的話,那么你的服
服務(wù)就會(huì)受到DNS 放大攻擊。實(shí)現(xiàn)BCP38將有效抵御這類攻擊。
*/
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
zone "example.local" {
type master;
file "example.local.zone";
};
zone "0.168.192.in-addr.arpa" IN {
type master;
file "192.168.0.zone";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
7、 為 example.local 域名創(chuàng)建轉(zhuǎn)發(fā)域與反向域文件
a)創(chuàng)建轉(zhuǎn)發(fā)域
[root@centos7 ~]# vi /var/named/chroot/var/named/example.local.zone
添加如下內(nèi)容并保存:
;
; Addresses and other host information.
;
$TTL 86400
@ IN SOA example.local. hostmaster.example.local. (
2014101901 ; Serial
43200 ; Refresh
3600 ; Retry
3600000 ; Expire
2592000 ) ; Minimum
; Define the nameservers and the mail servers
IN NS ns1.example.local.
IN NS ns2.example.local.
IN A 192.168.0.70
IN MX 10 mx.example.local.
centos7 IN A 192.168.0.70
mx IN A 192.168.0.50
ns1 IN A 192.168.0.70
ns2 IN A 192.168.0.80
b)創(chuàng)建反向域
[root@centos7 ~]# vi /var/named/chroot/var/named/192.168.0.zone/p>
p> -/p>
p> ;
; Addresses and other host information.
;
$TTL 86400
@ IN SOA example.local. hostmaster.example.local. (
2014101901 ; Serial
43200 ; Refresh
3600 ; Retry
3600000 ; Expire
2592000 ) ; Minimum
0.168.192.in-addr.arpa. IN NS centos7.example.local.
70.0.168.192.in-addr.arpa. IN PTR mx.example.local.
70.0.168.192.in-addr.arpa. IN PTR ns1.example.local.
80.0.168.192.in-addr.arpa. IN PTR ns2.example.local.
。
8、開機(jī)自啟動(dòng) bind-chroot 服務(wù)
[root@centos7 ~]# /usr/libexec/setup-named-chroot.sh /var/named/chroot on
[root@centos7 ~]# systemctl stop named
[root@centos7 ~]# systemctl disable named
[root@centos7 ~]# systemctl start named-chroot
[root@centos7 ~]# systemctl enable named-chroot
ln -s '/usr/lib/systemd/system/named-chroot.service' '/etc/systemd/system/multi-user.target.wants/named-chroot.service'
