歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

在Redhat7.1下設置chrootDNS

  一 本文目的 本文主要是介紹在Redhat 7.1下使用最近的BIND版本9.1.3來設置一個在chroot 環境下運行的BIND服務程序,進一步加強BIND的安全。 何謂chroot? chroot就象匿名FTP,如果我們把bind chroot到/chnamed目錄運行, 則named在運行時將認為/chnamed是實際的根目錄,即使named有某種安全漏洞 被人攻破,也只能存取到該目錄而已。 二 操作環境 Redhat Linux 7.1 ,BIND 9.1.3(從www.isc.org)下載,公司域名為domain.com, 專線接入internet,在防火牆上運行BIND為公司域名domain.com進行DNS解析。 三 操作步驟 1. 編譯bind 9.1.3 下載最新的版本從www.isc.org,當前版本是9.1.3 cd /tmp tar xvfz bind-9.1.3.tar.gz cd bind-9.1.3 ./configure make make install 經過上面的步驟,bind的各種後台程序默認被安裝到/usr/local/bin 和/usr/local/sbin 。 2. 准備chroot環境 登錄作為root, 創建下面的目錄結構 /chnamed +-- dev +-- etc +-- named +-- var +-- run # mknod /chnamed/dev/null c 1 3 # cp -a /etc/localtime /chnamed/etc 修改/etc/rc.d/init.d/syslog 中的 start部分改daemon為下面的行 daemon syslogd $SYSLOGD_OPTIONS -a /chnamed/dev/log 然後用/etc/rc.d/init.d/syslog restart重啟syslogd後台。 3. 准備rndc 配置文件 rndc是BIND的管理程序,可以用來啟動,停止和重新裝入配置文件等等。我們用 下面的命令生成hmac-md5鍵。 # /usr/local/sbin/dnssec-keygen -a hmac-md5 -b 128 -n user rndc 這將生成兩個包括密碼的文件,把密鑰串放入文件rndc.conf和named.conf中。 然後修改/etc/rndc.conf中相應部分成下面的 options { default-server localhost; default-key rndc_key; }; server localhost { key "rndc_key"; }; key rndc_key { algorithm "hmac-md5"; secret "c3Ryb25nIGVub3VnaCBmb3IgYSBTYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K"; }; 4. 准備named.conf配置文件 用下面的配置文件,假如你的內部網絡使用192.168.1.0/24。 acl ournets { 127.0.0.1;192.168.1.0/24 }; options { Directory "/etc/named"; pid-file "/var/run/named.pid"; statistics-file "/var/run/named.stats"; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source


* directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default. */ // query-source address * port 53; allow-recursion { ournets; }; }; controls { inet 127.0.0.1 allow { localhost; } keys { rndc_key; }; }; // zone "." IN { type hint; file "named.ca"; }; zone "localhost" IN { type master; file "localhost.zone"; allow-update { none; }; }; zone "0.0.127.in-addr.arpa" IN { type master; file "named.local"; allow-update { none; }; }; key "rndc_key" { algorithm hmac-md5; secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K"; }; zone "1.168.192.IN-ADDR.ARPA" { type master; file "192.168.1"; }; zone "domain.com" { type master; file "named.domain"; }; 5. 准備啟動named 放named.conf到/chnamed/etc/named.conf 放相應的數據文件到/chnamed/etc/named/ 這意味著拷貝系統自身的幾個文件/etc/named.conf,/var/named/* 和自己編輯的 兩個文件到192.168.1和named.domain到上面的目錄中。 運行命令/usr/sbin/ntsysv去掉自動啟動的named前面的標記,然後放下面的行 到/etc/rc.d/rc.local # /usr/local/sbin/named -u named -t /chnamed -c /etc/named.conf 6. 目錄的屬性和所有者權限 # chown named:named /chnamed/var/run named後台需要寫pid到上面的目錄,所有需要設置目錄權限給用戶named. # chown named:named /chnamed # chmod 700 /chnamed 讓其它用戶不可以進入該目錄。 7. 啟動named 運行下面的命令啟動named # /usr/local/sbin/named -u named -t /chnamed -c /etc/named.conf 且你能用下面的各種管理命令 #/usr/local/sbin/rndc -s localhost reload #重裝配置文件 #/usr/local/sbin/rndc -s localhost stop #停止named後台 #/usr/local/sbin/rndc -s localhost stats #傾倒統計文件 最後用ps ax和/usr/sbin/tcpdump port 53 -n檢查你的named已處於服務狀態中。



#/usr/local/sbin/rndc -s localhost reload #重裝配置文件 #/usr/local/sbin/rndc -s localhost stop #停止named後台 #/usr/local/sbin/rndc -s localhost stats #傾倒統計文件 最後用ps ax和/usr/sbin/tcpdump port 53 -n檢查你的named已處於服務狀態中。



Copyright © Linux教程網 All Rights Reserved