配置一个安全的chroot DNS(转)-ccjsj1-ChinaUnix博客

滥笔头shell.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

ccjsj1

博客访问： 3495047
博文数量： 534
博客积分： 11595
博客等级：上将
技术积分： 5785
用户组：普通用户
注册时间： 2006-12-22 17:00

文章分类

全部博文（534）

ffmpeg（1）
字符编码（1）
rpm包制作（2）
http（3）
loganalyzer（1）
cacti（1）
asterisk（8）
nagios（3）
vmware（2）
heartbeat（0）
apue（5）
redhat（13）
fc红白机（0）
openssl（2）
系统变量（1）
bug（3）
监控和抓包（10）
unix（44）

ubuntu（6）

hpux（2）

aix（11）

slackware（6）

gentoo（2）

scoopenserver（0）

freebsd（2）

solaris（14）
wine（2）
rtorrent（4）
helix（1）
adobe fms3.5（1）
无线（6）
hdbits（2）
19宽屏（2）
N-Gage QD（1）
inflation（1）
windows（8）
adsl（3）
硬件（16）
eda（6）

Synopsys（0）

Cadence（2）
常用软件（24）
英语学习（1）
tcp/ip（2）
字符串命令（20）
网络解决方案（14）
娱乐（8）
路由交换（5）

常用命令（4）

华为（0）

思科（0）
c基础（36）
数据库（27）

mysql（10）

mssql（0）

pgsql（0）

oracle（17）
mplayer（8）
shell脚本（38）
系统常用命令（68）
系统服务（130）

rsync（2）

rsyslog（1）

sudoers（2）

svn（2）

logrotate（2）

quota（1）

ntp（4）

cluster（0）

cups（0）

nfs（1）

snmp（6）

bonding（1）

yum（4）

vnc（1）

X11（3）

selinux（5）

dhcp（2）

pam（2）

kernel（20）

squid（6）

lvm（2）

cron（0）

cvs（3）

syslog（3）

tomcat（4）

netfilter（25）

tc（2）

lvs（5）

samba（1）

ftp（7）

postfix（5）

sendmail（0）

mail（0）

bind（3）

apache（5）
未分配的博文（0）

文章存档

2015年（4）

2014年（27）

2013年（15）

2012年（38）

2011年（36）

2010年（85）

2009年（63）

2008年（142）

2007年（124）

我的朋友

相关博文

配置一个安全的chroot DNS(转)

分类： LINUX

2008-03-20 16:42:57

2004/07/25/10373.html

配置一个安全的chroot DNS(1)

2004年07月25日 Yesky

baidu

1、安装Bind 9

　　虽然我所用的Red Hat AS3 中有rpm包，但是为了方便其他的朋友，我们还是从源代码包方式安装。首先从ISC公司的主页()下Bind 9 软件包。

　　wget ftp://ftp.isc.org/isc/bind9/9.2.3/bind-9.2.3.tar.gz

　　(我没下最新的，下的是稳定版，您可以根据自己的需要选取)

　　接着开始解压缩（为描述简单，以下操作如无特殊声明，都是以root权限进行）
　　tar vzxf　bind-9.2.3.tar.gz

　　卸载Red Hat 中原有的Bind，一共有三个rpm包
　　rpm -e bind bind-utils caching-nameserver

　　进入该目录开始编译安装
　　./configure --prefix=/usr/local --disable-ipv6 --disable-threads

　　#因为ipv6和线程方式我用不到就去掉了，把Bind 9安装到/usr/local下
　　make;make install

　　到此Bind 9已经安装完成了，普通的 DNS Server 到此就安装结束了，而对我们的chroot 而言才刚开始呢。

　　2、构建chroot 目录环境

　　a.创建Bind 工作目录/chroot/named及下属工作目录

　　rm -rf /chroot/named #删除原来的旧目录，之所以加这句是我写shell的时候调试方便

　 mkdir -p /chroot/named
　 cd /chroot/named
　 mkdir dev （虚拟/dev）
　 mkdir etc （虚拟/etc）
　 mkdir logs （存放日志）
　 mkdir -p var/run （将来会在这下面放一个named.pid文件）

　　b.建立Bind的组和用户named

　　groupadd named
　　useradd -g named -d /chroot/named -s /bin/true named
　　pASswd -l named #-l ,Lock,表示锁定用户

　　c.创建虚拟设备（dev），日志记录的时候有的选项可能用到它们。在默认情况下，是使用/dev目录下的文件，但是由于我们需要把DNS限制到一个目录，所以必须完全把/dev下用到的文件（或者说设备）模拟过来才可以。

　　　ls -lL /dev/zero /dev/null /dev/random

　　看到类似

　　crw-rw-rw-　　1 root　　 root　　　 1,　 3 2003-09-15　/dev/null
　　crw-r--r--　　1 root　　 root　　　 1,　 8 2003-09-15　/dev/random
　　crw-rw-rw-　　1 root　　 root　　　 1,　 5 2003-09-15　/dev/zero

　　这样的，将其中的1,3这样的数字记录下来，这表示主设备号和次设备号（一般来说主设备号用来区分设备的种类；次设备号则是为了作唯一性区分，标明不同属性——注意，在unix系统中是把设备也当作文件来对待的），在redhat 9下，ls加不加-L参数都无所谓，但是在Solaris下则一定要加上才可以显示。

　　mknod dev/null c 1 3
　　mknod dev/zero c 1 5
　　mknod dev/random c 1 8

　　d.复制时钟文件到我们chroot的etc下，Linux 的时钟设置文件为：/etc/localtime ，实际上这个文件是 /usr/share/zoneinfo 目录下对应文件的符号连接。（假设我们所处的地区位于上海，那么只要运行以下的命令就可以设置时区了。 ln -sf /usr/share/zoneinfo/ASia/Shanghai /etc/localtime；注意在天缘用的solaris 2.6中并没有此文件，而是该用/usr/share/lib/zoneinfo/GB）

　　cp /etc/localtime etc/

　　3、创建和设置BIND 9配置文件

　　默认情形下，bind以/etc/named.conf文件为配置文件。但由于我们这里是要做chroot的DNS，因此需要把named.conf放到/chroot/named/conf下去，然后再做一个符号连接到/etc/named.conf。首先创建并编辑named.conf文件（由于介绍DNS的文章大多对named.conf的配置解释得相当详细，因此我就不一句句解释了，大家结合注释，参考其他文章看看，很容易理解的）

vi /chroot/named/etc/named.conf，输入以下内容(由于每个人的配置都不同，所以天缘在这里只列出一个做cache only的DNS的设置)

options {
　　　　 //注意，由于是chroot方式，所以以下的/conf、/var并不是系统中真正的/conf和/var目录，而是指/chroot/named下的同名目录，此配置文件中所有地方都如此
directory　　　 "/conf"; //配置文件所在目录
pid-file　　　　"/var/run/named.pid"; //进程守护文件
statistics-file "/var/run/named.stats"; //状态输出文件；在rndc中用到
dump-file　　　 "/var/run/named.db"; //输出数据库文件，在rndc中用到

//隐藏真实版本号,我这里写个4.0作刻意误导
version　　　　 "[4.0]";

　　　　　logging { //日志记录
　　　　　　　 channel LAMER_log {
　　　　　　　　 file "/logs/DNS-lamer.log" versions 3　size 10m;
　　　　　　　　 severity info;
　　　　　　　　 print-severity yes;　print-time yes;
　　　　　　　　 };

　　　　　　　 channel SEC_log {
　　　　　　　 file "/logs/DNS-sec.log" versions 3　 size 10m;
　　　　　　　 severity info;
　　　　　　　 print-severity yes;　print-time yes;
　　　　　　　　};

　　　　　　　 channel STAT_log {
　　　　　　　 file "/logs/DNS-stat.log" versions 3　size　10m;
　　　　　　　 severity info;
　　　　　　　 print-severity yes;　print-time yes;
　　　　　　　　 };

category cname { null; };
category lame-servers { LAMER_log; };
category security { SEC_log; };
category statistics { STAT_log; };
};

//根解析
zone "." {
type　 hint;
file　 "named.root";
};

// localhost 解析
zone "localhost" {
type　　mASter;
file　 "named.localhost";
notify　no;
};

// localhost 反向解析
zone　　"0.0.127.in-addr.arpa" {
type　 mASter;
file　 "named.127.0.0";
notify no;
};

　　之后进行符号连接到/etc目录下
　　ln -s /chroot/named/etc/named.conf /etc/named.conf

　　好了，接下来，当然就是设置named.root、named.local、named.127.0.0三个文件了，注意，这三个文件的真实位置是在/chroot/named/conf下哦。

配置一个安全的chroot DNS(3)

2004年07月25日 Yesky

baidu

首先是named.root的建立

　　dig @a.root-servers.net . ns > /chroot/named/conf/named.root #这是在redhat下的用法，因为天缘所用的solaris默认（我用的2.6）没有dig命令，所以在solaris下我们用

cd /chroot/named/conf
ftp ftp://ftp.rs.internic.net/domain/named.root
接着是named.local

;
;named.local
;
$TTL　　86400

@　　　 IN SOA　 @ root (
　　　　　　　　　　　　42　　　　　　　; 版本
　　　　　　　　　　　　3H　　　　　　　; 刷新时间3小时
　　　　　　　　　　　　15M　　　　　　 ; 重试时间15分钟
　　　　　　　　　　　　1W　　　　　　　; 最大期限一周
　　　　　　　　　　　　1D )　　　　　　; 最小TTL一天　　　　IN NS　　　　@
　　　　IN A　　　　 127.0.0.1

接着是named.127.0.0

;
; named.127.0.0
;
$TTL　　86400
@　　　 IN　　　SOA　　 localhost. root.localhost.　( ;这里的root.localost其实是root@localhost，在DNS设置中，将@用.代替
　　　　　　　　　　　　　　1 ; 版本
　　　　　　　　　　　　　　28800　　　; 刷新，这里和下面的特意以分钟为单位，和上面的写法不同，就当多举个例子吧
　　　　　　　　　　　　　　14400　　　; 重试
　　　　　　　　　　　　　　3600000　　; 最大期限
　　　　　　　　　　　　　　86400 )　　; 最小TTL
　　　　IN　　　NS　　　localhost.
1　　　 IN　　　PTR　　 localhost.

　　4、设置权限

　　其实这一步，才是我们作任何chroot 服务真正精华的地方。如何把权限划分得准确，不至于无法执行服务，也不能大到会威胁到其他程序的安全，实在是一个需要仔细考虑的问题。

　　a.由于我们的目的是达到让bind程序以named用户身份运行，所以必须让它具有读配置，无写配置文件的权限，而且最好其他程序也不能改变我们的配置文件，只有root能改，named用户能读。为了满足这个要求的，自然就想到把文件的拥有者改为root，组用户设置为named，然后再慢慢仔细划分权限。

　　cd /chroot/named

　　chown –R root.named ./ #-R参数表示下属目录也依照此权限，-R参数在chown和chmod中经常用到

　　b.接下来想想各个文件、子目录的权限。Root组对文件需要读写执行权限，named组对文件需要读取权限，而对下属子目录而言，则必须具有执行权限才能进入其中。因此作以下权限设置。

　　# 对文件赋予root 读写权限，赋予组named读权限
　　find . -type f -print | xargs chmod u=rw,og=r

　　# 对目录赋予roo读写执行权限，赋予组named读执行权限（这里的执行是为了能进入到下级目录中）
　　find . -type d -print | xargs chmod u=rwx,og=rx

　　#对etc目录下的配置文件，能不让其他用户读取当然是最好的，因此设置
　　chmod o= etc/*.conf

　　# "secondaries" 子目录是此作辅助，从主服务器更新消息的时候需要的，会在里面创建一些新文件。因此它的权限也需要特别设置，在这个目录下，named组、用户需要具有读权限，而不需要用到root用户，也不想让其他的用户身份访问。

　　chown root.named conf/secondaries/ #设置secondaries目录用户为root,组为named

　　chmod ug=rwx,o=　conf/secondaries/ #给予root和named全部权限，以方便访问下面的文件

　　touch conf/secondaries/.empty　# 去掉旧有的该文件

　　find conf/secondaries/ -type f -print | xargs chown named.named #将用户组、用户都设置为named

　　find conf/secondaries/ -type f -print | xargs chmod ug=r,o= #只让named组和用户有读权限，而其他用户无任何权限

　　接着是为var/目录设置权限（在这里会生成进程守护文件named.pid—我们在named.conf中设置了的）

　　chown root.root　var/ #这里可以把named抛弃，

　　chmod u=rwx,og=x var/ #root可以读写设置，其他用户能执行就行，其实我们之所以做一个chroot DNS需要大费周折地单独设置目录，就是为了不让named具有访问真正的/var的权限。

　　chown root.named　var/run/ #因为在run下面的需要由named身份来写named.pid文件，所以需要将组改为named好限制权限

　　chmod ug=rwx,o=rx var/run/ #用户/组具有读写执行权限，其他用户能读/执行就可以了，这样的设置，主要是为了方便我们后面写shell来判断DNS目前的状态。

　　chown root.named　logs/ #日志目录，设置成这样的原因不用解释了吧

　　chmod ug=rwx,o=rx logs/ #日志允许其他人看比较好，方便以后挂第三方程序

配置一个安全的chroot DNS(4)

2004年07月25日 Yesky

baidu

5、启动并运行bind 9

　　激动人心的时候到了，即将开始我们的处女bind 9运行了。

　　运行以下命令

/usr/local/sbin/named -t /chroot/named -u named -c /etc/named.conf
然后再ps –fCnamed 看看？？如果出来类似
UID　　　　PID　PPID　C STIME TTY　　　　　TIME CMD
named　　14023　　 1　0 May27 ?　　　　00:00:00 /usr/local/sbin/named -t /chroot/named -u named -c /etc/named.conf

　　这样的结果，说明成功了，恭喜你！！！

　　每次都这样输入累不累？？所以还是一起来写个shell吧（其实shell真的粉好用，但是一般真要系统地讲解起来又没有意思，所以我尽量在每篇文章中都把shell用上，慢慢就领会到它的好处咯）

vi /chroot/named.start

#多cpu的记得加个 "-n " 参数，才能启用多cpu哦，我也是在别的地方看到的
#
# named命令格式: named [-c 配置文件] [-d 除错级别] [-f|-g] [-n cpu个数]
#　　　　　　　[-p 端口-默认是53] [-s] [-t chroot目录] [-u 执行该命令的用户身份]

cd /chroot/named
#确保除错的debug文件能够以named身份写入
touch named.run #建立该文件
chown named.named named.run #设置文件拥有者为named.named
chmod ug=rw,o=r　 named.run #权限为664
#以named身份，在chroot/named目录中以/etc/named.conf为配置文件执行named程序
#这里的/etc/named.conf是我们用ln –s连过去的，参看前文
/usr/local/sbin/named　-t /chroot/named -u named -c /etc/named.conf

　　然后以sh /chroot/named.start 执行此命令就行了，之后在/etc/resolv.conf为自己的DNS地址就可以测试了，当然，也可以用dig命令来查（个人觉得dig命令比nslookup好用，但是Solaris 2.6上默认没有）。

　　6. 控制工具rndc的安装和使用

　　rndc=remote dnc,以前装过bind 8的朋友都知道有个ndc工具，而在bind 9中，更是连的功能都加上了。说“加上”其实不够恰当，因为rdnc并不是用ndc改的，而是重新写的一个通过tcp协议进行DNS控制的软件。(有什么用？问问做虚拟主机/系统管理的朋友就知道，DNS一般都是用独立主机，如果可以远程reload配置文件，可以方便很多的)。　

　　rndc 原本是应该读取/usr/local/etc/rndc.conf 作为配置文件的,但我们既然是安装chroot的DNS，所以有必要把rndc.conf转到/chroot/named/etc/rndc.conf。好，下面来看看我们的rndc.conf的写法。

options {
　　　　default-server　localhost; //先配置本地的
　　　　default-key　　 "rndckey"; //key的名字
};

server localhost {
　　　　key　　 "rndckey"; //key的名字
};
include "/chroot/named/etc/rndc.key"; //在这个文件中包含了rndckey的值，之所以这样，是因为在rndc.conf和named.conf中都用到这个值，用include方便写自动的shell一些

同样的道理，在/chroot/named/etc/named.conf的也加上需要的语句

controls {
　　　　inet 127.0.0.1 allow { localhost; } keys { rndckey; }; //允许localhost连接
};
include "/etc/rndc.key";

　　接下来，就是要生成/chroot/named/etc/rndc.key 文件了，它是一个采用bASe-64编码加密的长字符串key,我们用DNSsec-keygen命令来生成它:

　　cd /chroot/named/etc
　　/usr/local/sbin/DNSsec-keygen -a HMAC-MD5 -b 256 -n HOST rndc

　　得到一个类似Krndc.+157+30481这样的返回值，这说明已经在当前目录下成功建立了Krndc.+157+30481.key和Krndc.+157+30481.private两个文件。

cat Krndc.+157+30481.private 显示
Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: aoqaT1r9Oz29DIj3VPn6+teHcvBudGAc17qLM4nPOqA=

　在这里，Key后面的那串字符就是我们想要的key了，把它复制下来，然后删除临时文件

rm Krndc.+157+30481.*
vi /chroot/named/etc/rndc.key

key "rndckey" {
　　　　algorithm　　　 "hmac-md5";
　　　　secret　　　　　" aoqaT1r9Oz29DIj3VPn6+teHcvBudGAc17qLM4nPOqA=";
};

　　现在已经配置完成了，建立2个软连接

ln -s /chroot/named/etc/rndc.conf /usr/local/etc/rndc.conf
ln -s /chroot/named/etc/rndc.conf /etc/rndc.conf
Ok,接下来对目前运行的named飞起一腿，强迫让它重新读配置文件
　ps –fCnamed
　UID　　　　PID　PPID　C STIME TTY　　　　　TIME CMD
　named　　14023　　 1　0 May27 ?　　　　00:00:00 /usr/local/sbin/named -t /chroot/named -u named -c /etc/named.conf

kill -1 14023　　　　#14023 是named的进程号，至于-1的作用，自己man kill吧
现在来看看我们的rndc是否工作正常
/usr/local/sbin/rndc status 如果现实类似下面的情形就恭喜你咯
number of zones: 2
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
server is up and running

　　如果出现的是rndc: send remote authenticator: permission denied 则肯定上面的步骤中存在问题，请一步步检查吧。

配置一个安全的chroot DNS(5)

2004年07月25日 Yesky

baidu

7、开机执行脚本

　　每次输入很长的命令来进行重新启动，停止DNS实在不是明智的做法，写个shell脚本来帮助我们吧。

vi /etc/init.d/named

#!/bin/sh
#
export PATH=/usr/local/sbin:$PATH　　　 # 把路径加进去，就不用每次输入全路径了

cASe "$1" in
　start)
　　　　# 运行Bind
　　　　echo -n "Starting named: "
　　　　sh /chroot/named.start
　　　　echo "done"
　　　　;;
　stop)
　　　　# 停止 Bind
　　　　echo -n "Shutting down named: "
　　　　rndc stop
　　　　echo "done"
　　　　;;
　reload)
　　　　# 重新载入配置
　　　　echo -n "Reload named: "
　　　　rndc reload
　　　　echo "done"
　　　　;;
status)
　　　　# 显示当前状态
　　　　rndc status
　　　　;;
　*)
　　　 echo "/etc/init.d/named {start|stop|status|reload}"
　　　 exit 1
esac

exit 0

　　然后当然是 chmod a+x /etc/init.d/named

　　接下来就是对各个启动模式做符号连接了Red Hat 下：

ln -s /etc/init.d/named /etc/rc2.d/S45named
　ln -s /etc/init.d/named /etc/rc3.d/S45named
ln -s /etc/init.d/named /etc/rc5.d/S45named

Solaris 2.6 下：
　ln -s /etc/init.d/named /etc/rc3.d/S45named
　ln -s /etc/init.d/named /etc/rcS.d/S45named

　　到这里，我们的chroot bind 9 可以说真正正式完工！！

　　在最后，我付上一个在Red Hat AS3 上调试通过的自动安装chroot bind 9的安装包（已内含bind 9.2.3），如要在Solaris 上安装，可能需要自行修改一些地方，我在shell中注明了在Solaris下可能有错的地方。希望这个安装包可以方便各位和我自己在某些紧急情形下的时候用最短的时间搞定一个chroot DNS！

开始配置bind：

/usr/local/named/etc/named.conf //DNS主配置文件, 需自己创建并且配置

/etc/resolv.conf //转换程序配置文件，系统自带需配置

/usr/local/named/etcv/rndc.conf //远程名称守护进程配置文件，需自己创建并且配置

/usr/local/named /var/named/named.root // 根域名服务器指向文件，需自己创建并且配置

/usr/local/named /var/named/localhost.zone //正向区文件, 需自己创建并且配置

/usr/local/named /var/named/named.local //反向区文件，需自己创建并且配置

/usr/local/named /var/named/cerc.local.zone //用户配置正向区文件，需自己创建并且配置

/usr/local/named /var/named/10.226.159.zone //用户配置反向区文件，需自己创建并且配置

1、编辑named.conf

# vi /usr/localnamed/etc/named.conf

写入以下内容：

Option {

Directory "/usr/local/named/v ar/ named"; 设置named要读写文件的路径

dump-file "/usr/local/named/v ar/named/data/cache_dump.db"; 设置服务器存放数据库的路径

Pid-file "/usr/local/named /var /run/named.pid";

Allow-query ( any ;);

};

Zone "." in { 容器指令zone的作用是定义一个DNS区域

Type hint; 设置区域的类型为“hint

File "named.root"; 设置根服务器列表文件名

}；

Zone "localhost" in {

Type master;

File "localhost.zone";

};

Zone "0.0.127.in-addr.arpa" in {

Type master;

File "named.local";

};

include "/etc/rndc.key"; 设置共享密匙文件

退出，保存。

2、创建 rndc.conf文件

用bind自带程序生成

# cd /usr/local/named/

# sbin/rndc-confgen > /usr/local/named/etcv/rndc.conf

通过rndc.conf 中的key信息创建rndc.key文件。将rndc.conf文件中注释部分拷贝生成如下文件：

# vi /usr/local/named/etc/rndc.key

key "rndc-key" {

algorithm hmac-md5;

secret "y9xvvfQjdWv9f/Fo7wquBg==";

};

controls {

inet 127.0.0.1 port 953

allow { 127.0.0.1; } keys { "rndc-key"; };

};

3、匿名登录到ftp站点FTP.RS.INTERNIC.NET，获取/domain目录下的named.root文件，

将该文件置于/usr/local/named /var/named目录下

阅读(1917) | 评论(0) | 转发(0) |

上一篇：vsftp设置(转)

下一篇：Linux 下开启和关闭IPv6的方法

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6