Centos/Redhat BIND normalmente se ejecuta como el proceso con nombre propiedad del usuario con nombre sin privilegios. A veces, BIND también se instala usando Función chroot de Linux no solo para ejecutar named como usuario named, sino también para limitar los archivos que named puede ver.
Cuando se instala, named es engañado pensando que el directorio /var/named/chroot es en realidad el directorio raíz o /. Por lo tanto, los archivos con nombre que normalmente se encuentran en el directorio /etc se encuentran en el directorio /var/named/chroot/etc, y los que esperaría encontrar en /var/named en realidad se encuentran en /var/named/chroot/var /nombrado.
La ventaja de la función chroot es que si un pirata informático ingresa a su sistema a través de un exploit BIND, el acceso del pirata informático al resto de su sistema está aislado a los archivos en el directorio chroot y nada más. Este tipo de seguridad también se conoce como chroot jail.
Puede instalar el complemento RPM chroot usando este comando.
Para instalar necesitamos configurar el Repositorio de Yum.
[root@SRV01 ~]# yum install bind bind-chroot
Complementos cargados:Fastmirror
Determinación de los espejos más rápidos
mirepo | 1,1 kB 00:00
primario.xml.gz | 878 kB 00:00
myrepo 2508/2508
Configuración del proceso de instalación
Análisis de los argumentos de instalación del paquete
Resolución de dependencias
Quedan transacciones pendientes. Podría considerar ejecutar yum-complete-transaction primero para finalizarlos.
–> Verificación de transacción en ejecución
—> Paquete bind-chroot.i386 30:9.3.4-10.P1.el5 configurado para ser actualizado
—> Paquete bind.i386 30:9.3.4-10.P1.el5 configurado para ser actualizado
–> Resolución de dependencia finalizada
Dependencias resueltas
=================================================
Tamaño del repositorio de la versión Arch del paquete
=================================================
Instalando:
enlazar i386 30:9.3.4-10.P1.el5 myrepo 953 k
bind-chroot i386 30:9.3.4-10.P1.el5 myrepo 42 k
Resumen de transacciones
=================================================
Instalar 2 paquetes
Actualizar 0 paquete(s)
Eliminar 0 paquete(s)
Tamaño total de descarga:995 k
¿Está bien? [s/n]:sí
Descarga de paquetes:
(1/2):bind-chroot-9.3.4-10.P1.el5.i386.rpm | 42 kB 00:00
(2/2):bind-9.3.4-10.P1.el5.i386.rpm | 953 kB 00:00
——————————————————————————–
Total de 1,8 MB/s | 995 kB 00:00
Ejecutando rpm_check_debug
Ejecutando prueba de transacción
Prueba de transacción finalizada
Prueba de transacción exitosa
Transacción en ejecución
Instalando:enlazar [1/2]
Instalando:bind-chroot [2/2]
Instalado:bind.i386 30:9.3.4-10.P1.el5 bind-chroot.i386 30:9.3.4-10.P1.el5
¡Completado!
Ahora la raíz DNS será /var/named/chroot solamente. Así que primero copie el archivo de configuración nombrado desde /var/named/chroot/etc/
[root@SRV01 nombrado]# cp /usr/share/doc/bind-9.3.4/sample/etc/* /var/named/chroot/etc/
A continuación, copie el archivo de zona de muestra del directorio /var/named/chroot/var/named.
[root@SRV01 named]# cp -a /usr/share/doc/bind-9.3.4/sample /var/named/* /var/named/chroot/var/named/
cp:sobrescribir `/var/named/chroot/var/named/slaves/my.ddns.internal.zone.db’? y
cp:¿sobrescribir `/var/named/chroot/var/named/slaves/my.slave.internal.zone.db’? y
Una vez que finaliza la copia de muestra, ahora tenemos que agregar el keygen dns al archivo de configuración, es decir, /var/named/chroot/etc/named.conf. para crear el keygen dns use el siguiente comando.
[root@SRV01 llamado]# dns-keygen
31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC
Inserte arriba en /var/named/chtoot/etc/named.conf
[root@SRV01 named]# vi /etc/named.conf
clave ddns_clave
{
algoritmo hmac-md5;
secreto 31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC;
};
Nuevamente edite /var/named/chroot/etc/named.conf, ingrese los detalles de la zona según los requisitos de su dominio. El siguiente archivo es una configuración mínima para ejecutar el servidor DNS. también puede copiarlo y usarlo para su entorno.
[root@SRV01 named]# vi /var/named/chroot/etc/named.conf
opciones
{
directorio “/var/named”; // el predeterminado
archivo de volcado “data/cache_dump.db”;
archivo de estadísticas “data/named_stats.txt”;
archivo de estadísticas mem "data/named_mem_stats.txt";
};
registro
{
canal default_debug {
archivo “data/named.run”;
dinámica de gravedad;
};
};
zone “geeksite.in” IN { —–> Nombre de la Zona de reenvío
tipo maestro;
archivo “geeksite.in.zone”; —–> Nombre del archivo donde se guardó la zona
permitir-actualizar { ninguno; };
};
zone “4.65.10.in-addr.arpa” IN { —–> Nombre de la Zona inversa
tipo maestro;
archivo “4.65.10.rev.zone”; —–> Nombre del archivo donde se guardó la zona
permitir-actualizar { ninguno; };
};
clave ddns_clave
{
algoritmo hmac-md5;
secreto 31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC;
};
A continuación, debe tener un archivo de zona de reenvío (geeksite.in.zone) en el directorio /var/named/chroot/var/named/.
Copie /var/named/chroot/var/namded/localhost.zone como /var/named/chroot/var/named/geeksite.in.zone.
[root@SRV01 named]# cp /var/named/chroot/var/named/localhost.zone /var/named/chroot/var/named/geeksite.in.zone
Hay algunas palabras clave especiales para archivos de zona
Récord AA
NS -Servidor de nombres
MX -Correo para Exchange
CN -Nombre canónico
Edite adecuadamente el archivo de zona. Asegúrese de que todo el nombre de dominio termine con un punto (.).
[root@SRV01 named]# vi /var/named/chroot/var/named/geeksite.in.zone
$TTL 86400 @ EN SOA ns1.geeksite.in. [email protected]. (
42; serie (d. adams)
3H; refrescar
15 millones; reintentar
1W; vencimiento
1D); mínimo
EN NS ns1.geeksite.in.
EN A 10.65.4.55
www EN A 10.65.4.55
correo EN A 10.65.4.55
ns1 EN A 10.65.4.55
servidor EN A 10.65.4.55
geeksite.in. EN MX 10 mail.geeksite.in.
A continuación, debe tener un archivo de zona inversa (4.65.10.rev.zone) en el directorio /var/named/chroot/var/named/.
Copie /var/named/chroot/var/namded/named.local como /var/named/chroot/var/named/4.65.10.rev.zone
[root@SRV01 named]# cp /var/named/chroot/var/named/named.local /var/named/chroot/var/named/4.65.10.rev.zone
Edite esto apropiadamente según sus requisitos.
[root@SRV01 named]# vi /var/named/chroot/var/named/4.65.10.rev.zone
$TTL 86400 @ EN SOA ns1.geeksite.in. [email protected]. (
1997022700; Serie
28800; Actualizar
14400; Reintentar
3600000; Caducar
86400); Mínimo
EN NS ns1.geeksite.in.
55 EN PTR geeksite.in.
55 EN PTR mail.geeksite.in.
55 EN PTR www.geeksite.in.
55 EN PTR server.geeksite.in.
55 EN PTR ns1.geeksite.in.
Reinicie el servicio usando el siguiente comando
[root@SRV01 named]# servicio llamado reiniciar
Simplemente pruebe el servidor usando el comando para verificar la zona de reenvío.
[root@SRV01 named]# host geeksite.in
geeksite.in tiene la dirección 10.65.4.55
El correo de geeksite.in es manejado por 10 mail.geeksite.in
Esto es para la zona inversa.
[root@SRV01 named]# host 10.65.4.55
55.4.65.10.in.addr.arpa puntero de nombre de dominio geeksite.in.
Estos comandos anteriores son lo suficientemente buenos para verificar el DNS. Para saber más sobre los detalles de resolución de DNS, podemos usar Dig o Nslookup