![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif) GB | BIG5
|
| 首頁 > 系統管理 > Linux > 正文 |
 |
| 如何在Redhat 7.1下設置chroot DNS |
| 本文出自:http://www.linuxforum.net 作者: 吳阿亭 ( Jephe Wu) (2002-01-16 08:10:00) |
一 本文目的
本文主要是介紹在Redhat 7.1下使用最近的BIND版本9.1.3來設置一個在chroot
環境下運行的BIND服務程序,進一步加強BIND的安全。
何謂chroot? chroot就象匿名FTP,如果我們把bind chroot到/chnamed目錄運行,
則named在運行時將認為/chnamed是實際的根目錄,即使named有某種安全漏洞
被人攻破,也只能存取到該目錄而已。
二 操作環境
Redhat Linux 7.1 ,BIND 9.1.3(從www.isc.org)下載,公司域名為domain.com,
專線接入internet,在防火牆上運行BIND為公司域名domain.com進行DNS解析。
三 操作步驟
1. 編譯bind 9.1.3
下載最新的版本從www.isc.org,當前版本是9.1.3
cd /tmp
tar xvfz bind-9.1.3.tar.gz
cd bind-9.1.3
./configure
make
make install
經過上面的步驟,bind的各種台程序默認被安裝到/usr/local/bin
和/usr/local/sbin 。
2. 準備chroot環境
登錄作為root, 創建下面的目錄結構
/chnamed
+-- dev
+-- etc
| +-- named
+-- var
+-- run
# mknod /chnamed/dev/null c 1 3
# cp -a /etc/localtime /chnamed/etc
修改/etc/rc.d/init.d/syslog 中的 start部分改daemon為下面的行
daemon syslogd $SYSLOGD_OPTIONS -a /chnamed/dev/log
然用/etc/rc.d/init.d/syslog restart重啟syslogd台。
3. 準備rndc 配置文件
rndc是BIND的管理程序,可以用來啟動,停止和重新裝入配置文件等等。我們用
下面的命令生成hmac-md5鍵。
# /usr/local/sbin/dnssec-keygen -a hmac-md5 -b 128 -n user rndc
這將生成兩個包括密碼的文件,把密鑰串放入文件rndc.conf和named.conf中。
然修改/etc/rndc.conf中相應部分成下面的
options {
default-server localhost;
default-key rndc_key;
};
server localhost {
key "rndc_key";
};
key rndc_key {
algorithm "hmac-md5";
secret
"c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";
};
4. 準備named.conf配置文件
用下面的配置文件,假如你的內部網絡使用192.168.1.0/24。
acl ournets { 127.0.0.1;192.168.1.0/24 };
options {
directory "/etc/named";
pid-file "/var/run/named.pid";
statistics-file "/var/run/named.stats";
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
allow-recursion { ournets; };
};
controls {
inet 127.0.0.1 allow { localhost; } keys { rndc_key; };
};
//
zone "." IN {
type hint;
file "named.ca";
};
zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
allow-update { none; };
};
key "rndc_key" {
algorithm hmac-md5;
secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";
};
zone "1.168.192.IN-ADDR.ARPA" {
type master;
file "192.168.1";
};
zone "domain.com" {
type master;
file "named.domain";
};
5. 準備啟動named
放named.conf到/chnamed/etc/named.conf
放相應的數據文件到/chnamed/etc/named/
這意味著拷貝系統自身的幾個文件/etc/named.conf,/var/named/* 和自己編輯的
兩個文件到192.168.1和named.domain到上面的目錄中。
運行命令/usr/sbin/ntsysv去掉自動啟動的named前面的標記,然放下面的行
到/etc/rc.d/rc.local
# /usr/local/sbin/named -u named -t /chnamed -c /etc/named.conf
6. 目錄的屬性和所有者權限
# chown named:named /chnamed/var/run
named台需要寫pid到上面的目錄,所有需要設置目錄權限給用戶named.
# chown named:named /chnamed
# chmod 700 /chnamed
讓其它用戶不可以進入該目錄。
7. 啟動named
運行下面的命令啟動named
# /usr/local/sbin/named -u named -t /chnamed -c /etc/named.conf
且你能用下面的各種管理命令
#/usr/local/sbin/rndc -s localhost reload #重裝配置文件
#/usr/local/sbin/rndc -s localhost stop #停止named台
#/usr/local/sbin/rndc -s localhost stats #傾倒統計文件
最用ps ax和/usr/sbin/tcpdump port 53 -n檢查你的named已處服務狀態中。
吳阿亭 (Jephe Wu)
(http://www.fanqiang.com)
進入【UNIX論壇】
|
|
| 相關文章 |
如何在Redhat 7.1下設置chroot DNS (2002-01-16 08:10:00)
什是CHROOT? (2001-04-16 13:51:59)
|
|
|
|
|
★ 樊強制作 歡迎分享 ★ |