Centos / Redhat BINDは通常、非特権の名前付きユーザーが所有する名前付きプロセスとして実行されます。BINDは、 Linuxのchroot機能は、namedとしてnamedを実行するだけでなく、namedが表示できるファイルを制限します。
インストールすると、namedは、ディレクトリ/ var / named/chrootが実際にはルートまたは/ディレクトリであると誤解します。したがって、通常/etcディレクトリにある名前付きファイルは代わりに/var / named / chroot / etcディレクトリにあり、/ var/namedにあると予想されるファイルは実際には/var/ named / chroot/varにあります。 /named。
chroot機能の利点は、ハッカーがBINDエクスプロイトを介してシステムに侵入した場合、システムの残りの部分へのハッカーのアクセスがchrootディレクトリの下のファイルに分離されることです。このタイプのセキュリティは、chrootjailとも呼ばれます。
このコマンドを使用して、chrootアドオンRPMをインストールできます。
インストールするには、Yumリポジトリを構成する必要があります。
[root @ SRV01〜]# yum install bind bind-chroot
ロードされたプラグイン:fastestmirror
最速のミラーの決定
myrepo | 1.1 kB 00:00
primary.xml.gz | 878 kB 00:00
myrepo 2508/2508
インストールプロセスの設定
パッケージインストール引数の解析
依存関係の解決
未完了のトランザクションが残っています。最初にyum-complete-transactionを実行して、それらを終了することを検討してください。
–>トランザクションチェックの実行
—>パッケージbind-chroot.i386 30:9.3.4-10.P1.el5が更新されるように設定されています
—>パッケージbind.i386 30:9.3.4-10.P1.el5が更新されるように設定されています
–>依存関係の解決が完了しました
解決された依存関係
==================================================
パッケージアーチバージョンリポジトリサイズ
==================================================
インストール:
bind i386 30:9.3.4-10.P1.el5 myrepo 953 k
bind-chroot i386 30:9.3.4-10.P1.el5 myrepo 42 k
トランザクションの概要
==================================================
2つのパッケージをインストールする
0パッケージを更新
0個のパッケージを削除する
合計ダウンロードサイズ:995 k
これでよろしいですか[y/N]:y
パッケージのダウンロード:
(1/2):bind-chroot-9.3.4-10.P1.el5.i386.rpm | 42 kB 00:00
(2/2):bind-9.3.4-10.P1.el5.i386.rpm | 953 kB 00:00
——————————————————————————–
合計1.8MB/秒| 995 kB 00:00
rpm_check_debugの実行
トランザクションテストの実行
終了したトランザクションテスト
トランザクションテストが成功しました
実行中のトランザクション
インストール:バインド[1/2]
インストール:bind-chroot [2/2]
インストール済み:bind.i386 30:9.3.4-10.P1.el5 bind-chroot.i386 30:9.3.4-10.P1.el5
完了!
これで、DNSルートは/ var / named/chrootのみになります。したがって、最初に名前付き構成ファイルを/ var / named / chroot / etc /
からコピーします。[root @ SRV01名前付き]# cp /usr/share/doc/bind-9.3.4/sample/etc/* / var / named / chroot / etc /
次に、サンプルゾーンファイルを/ var / named / chroot / var/namedディレクトリからコピーします。
[root @ SRV01名前付き]# cp -a /usr/share/doc/bind-9.3.4/sample / var / named / * / var / named / chroot / var / named /
cp: `/var/named/chroot/var/named/slaves/my.ddns.internal.zone.db'を上書きしますか? y
cp: `/var/named/chroot/var/named/slaves/my.slave.internal.zone.db'を上書きしますか? y
サンプルコピーが終了したら、dnskeygenを構成ファイル(/var/named/chroot/etc/named.conf)に追加する必要があります。 dns keygenを作成するには、次のコマンドを使用します。
[root @ SRV01という名前]# dns-keygen
31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC
上記を/var/named/chtoot/etc/named.conf
に挿入します[root @ SRV01名前付き]# vi /etc/named.conf
キーddns_key
{
アルゴリズムhmac-md5;
シークレット31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC;
};
再度/var/named/chroot/etc/named.confを編集し、ドメイン要件に従ってゾーンの詳細を入力します。次のファイルは、DNSサーバーを実行するための最小限の構成です。コピーして環境に使用することもできます。
[root @ SRV01名前付き]#vi /var/named/chroot/etc/named.conf
オプション
{
ディレクトリ「/var/named」; //デフォルト
ダンプファイル「data/cache_dump.db」;
統計ファイル「data/named_stats.txt」;
memstatistics-ファイル「data/named_mem_stats.txt」;
};
ロギング
{
チャネルdefault_debug{
ファイル「data/named.run」;
動的な重大度;
};
};
ゾーン「geeksite.in」IN{->フォワードゾーンの名前
タイプマスター;
ファイル「geeksite.in.zone」; ->ゾーンが保存されたファイルの名前
allow-update{なし; };
};
ゾーン「4.65.10.in-addr.arpa」IN{->逆引きゾーンの名前
タイプマスター;
file“ 4.65.10.rev.zone”;->ゾーンが保存されたファイルの名前
allow-update{なし; };
};
キーddns_key
{
アルゴリズムhmac-md5;
シークレット31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC;
};
次に、/ var / named / chroot / var / named /ディレクトリにフォワードゾーンファイル(geeksite.in.zone)が必要です。
/var/named/chroot/var/namded/localhost.zoneを/var/named/chroot/var/named/geeksite.in.zoneとしてコピーします。
[root @ SRV01名前付き]# cp /var/named/chroot/var/named/localhost.zone /var/named/chroot/var/named/geeksite.in.zone
ゾーンファイルにはいくつかの特別なキーワードがあります
A-記録
NS-ネームサーバー
MX-Mail for Exchange
CN-正規名
ゾーンファイルを適切に編集します。ドメイン名全体がdot(。)で終わっていることを確認してください。
[root @ SRV01名前付き]# vi /var/named/chroot/var/named/geeksite.in.zone
$ TTL 86400 @ INSOAns1.geeksite.in。 [email protected]。 (
42;シリアル(d。アダムス)
3H;更新
15M;再試行
1W;有効期限
1D);最小
INNSns1.geeksite.in。
IN A 10.65.4.55
www IN A 10.65.4.55
メールIN10.65.4.55
ns1 IN A 10.65.4.55
サーバーINA10.65.4.55
geeksite.in。 IN MX10mail.geeksite.in。
次に、/ var / named / chroot / var / named /ディレクトリにリバースゾーンファイル(4.65.10.rev.zone)が必要です。
/var/named/chroot/var/namded/named.localを/var/named/chroot/var/named/4.65.10.rev.zone
としてコピーします[root @ SRV01名前付き]# cp /var/named/chroot/var/named/named.local /var/named/chroot/var/named/4.65.10.rev.zone
必要に応じて、これを適切に編集してください。
[root @ SRV01名前付き]# vi /var/named/chroot/var/named/4.65.10.rev.zone
$ TTL 86400 @ INSOAns1.geeksite.in。 [email protected]。 (
1997022700;シリアル
28800;更新
14400;再試行
3600000;有効期限
86400);最小
INNSns1.geeksite.in。
55 INPTRgeeksite.in。
55 INPTRmail.geeksite.in。
55 INPTRwww.geeksite.in。
55 INPTRserver.geeksite.in。
55 INPTRns1.geeksite.in。
次のコマンドを使用してサービスを再起動します
[root @ SRV01という名前]#restartという名前のサービス
コマンドを使用してサーバーをテストするだけで、転送ゾーンを確認できます。
[root @ SRV01という名前]# host geeksite.in
geeksite.inのアドレスは10.65.4.55
geeksite.inメールは10mail.geeksite.in
によって処理されますこれは逆引きゾーン用です。
[root @ SRV01という名前]#ホスト10.65.4.55
55.4.65.10.in.addr.arpaドメイン名ポインターgeeksite.in。
上記のコマンドは、DNSをチェックするのに十分です。 DNS解決の詳細について詳しく知るには、DigまたはNslookupを使用できます