如何在Redhat 7.1下设置chroot DNS

王朝other·作者佚名  2006-11-24
窄屏简体版  字體: |||超大  

一 本文目的

本文主要是介绍在Redhat 7.1下使用最近的BIND版本9.1.3来设置一个在chroot 环境下运行的BIND服务程序,进一步加强BIND的安全。

何谓chroot? chroot就象匿名FTP,如果我们把bind chroot到/chnamed目录运行, 则named在运行时将认为/chnamed是实际的根目录,即使named有某种安全漏洞 被人攻破,也只能存取到该目录而已。

二 操作环境

Redhat Linux 7.1 ,BIND 9.1.3(从www.isc.org)下载,公司域名为domain.com, 专线接入internet,在防火墙上运行BIND为公司域名domain.com进行DNS解析。

三 操作步骤

1. 编译bind 9.1.3

下载最新的版本从www.isc.org,当前版本是9.1.3

cd /tmp

tar xvfz bind-9.1.3.tar.gz

cd bind-9.1.3

./configure

make

make install

经过上面的步骤,bind的各种后台程序默认被安装到/usr/local/bin 和/usr/local/sbin 。

2. 准备chroot环境

登录作为root, 创建下面的目录结构

/chnamed

+-- dev

+-- etc

| +-- named

+-- var

+-- run

# mknod /chnamed/dev/null c 1 3

# cp -a /etc/localtime /chnamed/etc

修改/etc/rc.d/init.d/syslog 中的 start部分改daemon为下面的行 daemon syslogd $SYSLOGD_OPTIONS -a /chnamed/dev/log

然后用/etc/rc.d/init.d/syslog restart重启syslogd后台。

3. 准备rndc 配置文件

rndc是BIND的管理程序,可以用来启动,停止和重新装入配置文件等等。我们用 下面的命令生成hmac-md5键。

# /usr/local/sbin/dnssec-keygen -a hmac-md5 -b 128 -n user rndc

这将生成两个包括密码的文件,把密钥串放入文件rndc.conf和named.conf中。

然后修改/etc/rndc.conf中相应部分成下面的

options {

default-server localhost;

default-key rndc_key;

};

server localhost {

key "rndc_key";

};

key rndc_key {

algorithm "hmac-md5";

secret

"c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";

};

4. 准备named.conf配置文件

用下面的配置文件,假如你的内部网络使用192.168.1.0/24。

acl ournets { 127.0.0.1;192.168.1.0/24 };

options {

directory "/etc/named";

pid-file "/var/run/named.pid";

statistics-file "/var/run/named.stats";

/*

* If there is a firewall between you and nameservers you want

* to talk to, you might need to uncomment the query-source

* directive below. Previous versions of BIND always asked

* questions using port 53, but BIND 8.1 uses an unprivileged

* port by default.

*/

// query-source address * port 53;

allow-recursion { ournets; };

};

controls {

inet 127.0.0.1 allow { localhost; } keys { rndc_key; };

};

//

zone "." IN {

type hint;

file "named.ca";

};

zone "localhost" IN {

type master;

file "localhost.zone";

allow-update { none; };

};

zone "0.0.127.in-addr.arpa" IN {

type master;

file "named.local";

allow-update { none; };

};

key "rndc_key" {

algorithm hmac-md5;

secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";

};

zone "1.168.192.IN-ADDR.ARPA" {

type master;

file "192.168.1";

};

zone "domain.com" {

type master;

file "named.domain";

};

5. 准备启动named

放named.conf到/chnamed/etc/named.conf

放相应的数据文件到/chnamed/etc/named/

这意味着拷贝系统自身的几个文件/etc/named.conf,/var/named/* 和自己编辑的 两个文件到192.168.1和named.domain到上面的目录中。

运行命令/usr/sbin/ntsysv去掉自动启动的named前面的标记,然后放下面的行 到/etc/rc.d/rc.local

# /usr/local/sbin/named -u named -t /chnamed -c /etc/named.conf

6. 目录的属性和所有者权限

# chown named:named /chnamed/var/run

named后台需要写pid到上面的目录,所有需要设置目录权限给用户named.

# chown named:named /chnamed

# chmod 700 /chnamed

让其它用户不可以进入该目录。

7. 启动named

运行下面的命令启动named

# /usr/local/sbin/named -u named -t /chnamed -c /etc/named.conf 且你能用下面的各种管理命令

#/usr/local/sbin/rndc -s localhost reload #重装配置文件

#/usr/local/sbin/rndc -s localhost stop #停止named后台

#/usr/local/sbin/rndc -s localhost stats #倾倒统计文件

最后用ps ax和/usr/sbin/tcpdump port 53 -n检查你的named已处于服务状态中。

作者:吴阿亭 (Jephe Wu)

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航