Centos/Redhat BIND s'exécute normalement en tant que processus nommé appartenant à l'utilisateur nommé non privilégié. Parfois, BIND est également installé à l'aide de Fonctionnalité de chroot Linux non seulement pour exécuter nommé en tant qu'utilisateur nommé, mais également pour limiter les fichiers que le nom peut voir.
Une fois installé, named est trompé en pensant que le répertoire /var/named/chroot est en fait le répertoire racine ou /. Par conséquent, les fichiers nommés normalement trouvés dans le répertoire /etc se trouvent dans le répertoire /var/named/chroot/etc à la place, et ceux que vous vous attendriez à trouver dans /var/named se trouvent en fait dans /var/named/chroot/var /nommé.
L'avantage de la fonction chroot est que si un pirate pénètre dans votre système via un exploit BIND, l'accès du pirate au reste de votre système est isolé des fichiers sous le répertoire chroot et rien d'autre. Ce type de sécurité est également connu sous le nom de prison chroot.
Vous pouvez installer le RPM du module complémentaire chroot à l'aide de cette commande.
Pour installer, nous devons configurer le référentiel Yum.
[root@SRV01 ~]# yum install bind bind-chroot
Plug-ins chargés :miroir le plus rapide
Déterminer les miroirs les plus rapides
mondépôt | 1.1 Ko 00:00
primaire.xml.gz | 878 Ko 00:00
mon dépôt 2508/2508
Configuration du processus d'installation
Analyse des arguments d'installation du package
Résoudre les dépendances
Il reste des transactions inachevées. Vous pourriez envisager d'exécuter d'abord yum-complete-transaction pour les terminer.
–> Exécution de la vérification des transactions
—> Le paquet bind-chroot.i386 30:9.3.4-10.P1.el5 doit être mis à jour
—> Le package bind.i386 30:9.3.4-10.P1.el5 doit être mis à jour
–> Résolution des dépendances terminée
Dépendances résolues
=================================================
Taille du dépôt de la version de l'arche de packages
=================================================
Installation :
lier i386 30:9.3.4-10.P1.el5 mondépôt 953 k
bind-chroot i386 30:9.3.4-10.P1.el5 mondépôt 42 k
Récapitulatif des transactions
=================================================
Installer 2 paquet(s)
Mettre à jour 0 paquet(s)
Supprimer 0 paquet(s)
Taille totale du téléchargement :995 k
Est-ce que ça va [o/N] :o
Téléchargement de packages :
(1/2) :bind-chroot-9.3.4-10.P1.el5.i386.rpm | 42 Ko 00:00
(2/2) :bind-9.3.4-10.P1.el5.i386.rpm | 953 Ko 00:00
——————————————————————————–
Total 1,8 Mo/s | 995 Ko 00:00
Exécuter rpm_check_debug
Test de transaction en cours
Test de transaction terminé
Test de transaction réussi
Transaction en cours
Installation :lier [1/2]
Installation :bind-chroot [2/2]
Installé :bind.i386 30:9.3.4-10.P1.el5 bind-chroot.i386 30:9.3.4-10.P1.el5
Terminé !
Désormais, la racine DNS sera /var/named/chroot uniquement. Copiez donc d'abord le fichier de configuration nommé depuis /var/named/chroot/etc/
[root@SRV01 nommé]# cp /usr/share/doc/bind-9.3.4/sample/etc/* /var/named/chroot/etc/
Copiez ensuite l'exemple de fichier de zone depuis le répertoire /var/named/chroot/var/named.
[root@SRV01 nommé]# cp -a /usr/share/doc/bind-9.3.4/sample /var/named/* /var/named/chroot/var/named/
cp :écraser `/var/named/chroot/var/named/slaves/my.ddns.internal.zone.db' ? y
cp :écraser `/var/named/chroot/var/named/slaves/my.slave.internal.zone.db' ? y
Une fois la copie de l'échantillon terminée, nous devons maintenant ajouter le keygen DNS au fichier de configuration, c'est-à-dire /var/named/chroot/etc/named.conf. pour créer le keygen DNS, utilisez la commande suivante.
[root@SRV01 nommé]# dns-keygen
31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC
Insérez ci-dessus dans /var/named/chtoot/etc/named.conf
[root@SRV01 nommé]# vi /etc/named.conf
clé ddns_key
{
algorithme hmac-md5 ;
secret 31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC;
} ;
Modifiez à nouveau le /var/named/chroot/etc/named.conf, entrez les détails de la zone selon les exigences de votre domaine. Le fichier suivant est une configuration minimale pour exécuter le serveur DNS. vous pouvez également le copier et l'utiliser pour votre environnement.
[root@SRV01 nommé]# vi /var/named/chroot/etc/named.conf
choix
{
répertoire "/var/named" ; // la valeur par défaut
fichier de vidage "data/cache_dump.db" ;
fichier de statistiques "data/named_stats.txt" ;
memstatistics-fichier "data/named_mem_stats.txt" ;
} ;
journalisation
{
canal default_debug {
fichier "data/named.run" ;
gravité dynamique ;
} ;
} ;
zone "geeksite.in" IN { —–> Nom de la zone de transfert
tapez maître ;
fichier « geeksite.in.zone »; —–> Nom du fichier où la zone a été enregistrée
allow-update { aucun ; } ;
} ;
zone "4.65.10.in-addr.arpa" IN { —–> Nom de la Zone inverse
tapez maître ;
fichier "4.65.10.rev.zone" ; —–> Nom du fichier où la zone a été enregistrée
allow-update { aucun ; } ;
} ;
clé ddns_key
{
algorithme hmac-md5 ;
secret 31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC;
} ;
Ensuite, vous devez avoir le fichier de zone de transfert (geeksite.in.zone) dans le répertoire /var/named/chroot/var/named/.
Copiez /var/named/chroot/var/namded/localhost.zone en tant que /var/named/chroot/var/named/geeksite.in.zone.
[root@SRV01 named]# cp /var/named/chroot/var/named/localhost.zone /var/named/chroot/var/named/geeksite.in.zone
Il existe des mots clés spéciaux pour les fichiers de zone
Enregistrement A-A
NS - Serveur de noms
MX -Mail pour Exchange
CN -Nom canonique
Modifiez de manière appropriée le fichier de zone. Assurez-vous que le nom de domaine complet se termine par un point (.).
[root@SRV01 named]# vi /var/named/chroot/var/named/geeksite.in.zone
$TTL 86400 @ IN SOA ns1.geeksite.in. [email protected]. (
42; série (d. adams)
3H; rafraîchir
15M; réessayer
1W; expiration
1D ); minimum
DANS NS ns1.geeksite.in.
DANS A 10.65.4.55
www IN A 10.65.4.55
mail IN A 10.65.4.55
ns1 IN A 10.65.4.55
serveur DANS A 10.65.4.55
geeksite.in. IN MX 10 mail.geeksite.in.
Ensuite, vous devez avoir le fichier de zone inversée (4.65.10.rev.zone) dans le répertoire /var/named/chroot/var/named/.
Copiez /var/named/chroot/var/namded/named.local en tant que /var/named/chroot/var/named/4.65.10.rev.zone
[root@SRV01 named]# cp /var/named/chroot/var/named/named.local /var/named/chroot/var/named/4.65.10.rev.zone
Modifiez-le de manière appropriée selon votre demande.
[root@SRV01 named]# vi /var/named/chroot/var/named/4.65.10.rev.zone
$TTL 86400 @ IN SOA ns1.geeksite.in. [email protected]. (
1997022700 ; Numéro de série
28800 ; Actualiser
14400 ; Réessayer
3600000 ; Expire
86400 ); Minimum
IN NS ns1.geeksite.in.
55 IN PTR geeksite.in.
55 IN PTR mail.geeksite.in.
55 IN PTR www.geeksite.in.
55 IN PTR server.geeksite.in.
55 IN PTR ns1.geeksite.in.
Redémarrez le service à l'aide de la commande suivante
[root@SRV01 nommé]# service nommé redémarrage
Testez simplement le serveur à l'aide de la commande pour vérifier la zone de transfert.
[root@SRV01 nommé]# hôte geeksite.in
geeksite.in a pour adresse 10.65.4.55
le courrier geeksite.in est géré par 10 mail.geeksite.in
C'est pour la zone inverse.
[root@SRV01 nommé]# hôte 10.65.4.55
55.4.65.10.in.addr.arpa pointeur de nom de domaine geeksite.in.
Ces commandes ci-dessus sont suffisantes pour vérifier le DNS. Pour en savoir plus sur les détails de résolution DNS, nous pouvons utiliser Dig ou Nslookup