在CentOS上搭建Chroot 的Bind DNS服務器的方法

2020-06-21 13:02:05

字體：大中小

來源：轉載

供稿：網友

BIND（Berkeley internet Name Daemon)也叫做NAMED，是現今互聯網上使用最為廣泛的DNS 服務器程序。這篇文章將要講述如何在 chroot 監牢中運行 BIND，這樣它就無法訪問文件系統中除“監牢”以外的其它部分。

例如，在這篇文章中，我會將BIND的運行根目錄改為 /var/named/chroot/。當然，對于BIND來說，這個目錄就是 /（根目錄）。 “jail”（監牢，下同）是一個軟件機制，其功能是使得某個程序無法訪問規定區域之外的資源，同樣也為了增強安全性（LCTT 譯注：chroot “監牢”，所謂“監牢”就是指通過chroot機制來更改某個進程所能看到的根目錄，即將某進程限制在指定目錄中，保證該進程只能對該目錄及其子目錄的文件進行操作，從而保證整個服務器的安全）。Bind Chroot DNS 服務器的默認“監牢”為 /var/named/chroot。

你可以按照下列步驟，在CentOS 7.0 上部署 Bind Chroot DNS 服務器。
1、安裝Bind Chroot DNS 服務器

復制代碼

代碼如下:

[root@centos7 ~]# yum install bind-chroot bind -y

2、拷貝bind相關文件,準備bind chroot 環境

復制代碼

代碼如下:

[root@centos7 ~]# cp -R /usr/share/doc/bind-*/sample/var/named/* /var/named/chroot/var/named/

3、在bind chroot 的目錄中創建相關文件

復制代碼

代碼如下:

[root@centos7 ~]# touch /var/named/chroot/var/named/data/cache_dump.db
[root@centos7 ~]# touch /var/named/chroot/var/named/data/named_stats.txt
[root@centos7 ~]# touch /var/named/chroot/var/named/data/named_mem_stats.txt
[root@centos7 ~]# touch /var/named/chroot/var/named/data/named.run
[root@centos7 ~]# mkdir /var/named/chroot/var/named/dynamic
[root@centos7 ~]# touch /var/named/chroot/var/named/dynamic/managed-keys.bind

4、將 Bind 鎖定文件設置為可寫

復制代碼

代碼如下:

[root@centos7 ~]# chmod -R 777 /var/named/chroot/var/named/data
[root@centos7 ~]# chmod -R 777 /var/named/chroot/var/named/dynamic

5、將 /etc/named.conf 拷貝到 bind chroot目錄

復制代碼

代碼如下:

[root@centos7 ~]# cp -p /etc/named.conf /var/named/chroot/etc/named.conf

6、在/etc/named.conf中對 bind 進行配置。

在 named.conf 文件尾添加 example.local 域信息，創建轉發域（Forward Zone）與反向域（Reverse Zone）（LCTT 譯注：這里example.local 并非一個真實有效的互聯網域名，而是通常用于本地測試的一個域名；如果你需要做權威 DNS 解析，你可以將你擁有的域名如這里所示配置解析。）：

復制代碼

代碼如下:

[root@centos7 ~]# vi /var/named/chroot/etc/named.conf - ..
..
zone "example.local" {
type master;
file "example.local.zone";
};

zone "0.168.192.in-addr.arpa" IN {
type master;
file "192.168.0.zone";
};
..
.. named.conf 完全配置如下： //
// named.conf
//
// 由Red Hat提供，將 ISC BIND named(8) DNS服務器
// 配置為暫存域名服務器 (用來做本地DNS解析).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };

/*
- 如果你要建立一個授權域名服務器服務器, 那么不要開啟 recursion（遞歸）功能。
- 如果你要建立一個遞歸 DNS 服務器, 那么需要開啟recursion 功能。
- 如果你的遞歸DNS服務器有公網IP地址, 你必須開啟訪問控制功能，
只有那些合法用戶才可以發詢問. 如果不這么做的話，那么你的服
服務就會受到DNS 放大攻擊。實現BCP38將有效抵御這類攻擊。
*/
recursion yes;

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";

pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};

zone "example.local" {
type master;
file "example.local.zone";
};

zone "0.168.192.in-addr.arpa" IN {
type master;
file "192.168.0.zone";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

7、為 example.local 域名創建轉發域與反向域文件
a)創建轉發域

復制代碼

代碼如下:

[root@centos7 ~]# vi /var/named/chroot/var/named/example.local.zone

添加如下內容并保存：

復制代碼

代碼如下:

;
; Addresses and other host information.
;
$TTL 86400
@ IN SOA example.local. hostmaster.example.local. (
2014101901 ; Serial
43200 ; Refresh
3600 ; Retry
3600000 ; Expire
2592000 ) ; Minimum

; Define the nameservers and the mail servers

IN NS ns1.example.local.
IN NS ns2.example.local.
IN A 192.168.0.70
IN MX 10 mx.example.local.

centos7 IN A 192.168.0.70
mx IN A 192.168.0.50
ns1 IN A 192.168.0.70
ns2 IN A 192.168.0.80

b)創建反向域

復制代碼

代碼如下:

[root@centos7 ~]# vi /var/named/chroot/var/named/192.168.0.zone - ;
; Addresses and other host information.
;
$TTL 86400
@ IN SOA example.local. hostmaster.example.local. (
2014101901 ; Serial
43200 ; Refresh
3600 ; Retry
3600000 ; Expire
2592000 ) ; Minimum

0.168.192.in-addr.arpa. IN NS centos7.example.local.

70.0.168.192.in-addr.arpa. IN PTR mx.example.local.
70.0.168.192.in-addr.arpa. IN PTR ns1.example.local.
80.0.168.192.in-addr.arpa. IN PTR ns2.example.local.

。

8、開機自啟動 bind-chroot 服務

復制代碼

代碼如下:

[root@centos7 ~]# /usr/libexec/setup-named-chroot.sh /var/named/chroot on
[root@centos7 ~]# systemctl stop named
[root@centos7 ~]# systemctl disable named
[root@centos7 ~]# systemctl start named-chroot
[root@centos7 ~]# systemctl enable named-chroot
ln -s '/usr/lib/systemd/system/named-chroot.service' '/etc/systemd/system/multi-user.target.wants/named-chroot.service'

上一篇：CentOS桌面版切換登錄root賬戶圖文教程

下一篇：使用Xshell連接Centos 6.6服務器操作圖文教程