Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1765171
  • 博文数量: 293
  • 博客积分: 10574
  • 博客等级: 上将
  • 技术积分: 5085
  • 用 户 组: 普通用户
  • 注册时间: 2006-12-22 17:00
文章分类

全部博文(293)

文章存档

2011年(27)

2010年(84)

2009年(62)

2008年(120)

我的朋友

分类: LINUX

2008-03-20 16:42:57

2004/07/25/10373.html

配置一个安全的chroot DNS(1)

2004年07月25 Yesky

 

 

 

 

 

 

 

baidu

 

 

1、安装Bind 9

  虽然我所用的Red Hat AS3 中有rpm包,但是为了方便其他的朋友,我们还是从源代码包方式安装。首先从ISC公司的主页()Bind 9 软件包。

  wget ftp://ftp.isc.org/isc/bind9/9.2.3/bind-9.2.3.tar.gz

  (我没下最新的,下的是稳定版,您可以根据自己的需要选取)

  接着开始解压缩(为描述简单,以下操作如无特殊声明,都是以root权限进行)
  tar vzxf bind-9.2.3.tar.gz

  卸载Red Hat 中原有的Bind,一共有三个rpm
  rpm -e bind bind-utils caching-nameserver

  进入该目录开始编译安装
  ./configure --prefix=/usr/local --disable-ipv6 --disable-threads

  #因为ipv6和线程方式我用不到就去掉了,把Bind 9安装到/usr/local
  make;make install

  到此Bind 9已经安装完成了,普通的 DNS Server 到此就安装结束了,而对我们的chroot 而言才刚开始呢。

  2、构建chroot 目录环境

  a.创建Bind 工作目录/chroot/named及下属工作目录

  rm -rf /chroot/named #删除原来的旧目录,之所以加这句是我写shell的时候调试方便

  mkdir -p /chroot/named
  cd /chroot/named
  mkdir dev (虚拟/dev
  mkdir etc (虚拟/etc
  mkdir logs (存放日志)
  mkdir -p var/run (将来会在这下面放一个named.pid文件)

  b.建立Bind的组和用户named

  groupadd named
  useradd -g named -d /chroot/named -s /bin/true named
  pASswd -l named #-l ,Lock,表示锁定用户

  c.创建虚拟设备(dev),日志记录的时候有的选项可能用到它们。在默认情况下,是使用/dev目录下的文件,但是由于我们需要把DNS限制到一个目录,所以必须完全把/dev下用到的文件(或者说设备)模拟过来才可以。

   ls -lL /dev/zero /dev/null /dev/random

  看到类似

  crw-rw-rw-  1 root   root    1,  3 2003-09-15 /dev/null
  crw-r--r--  1 root   root    1,  8 2003-09-15 /dev/random
  crw-rw-rw-  1 root   root    1,  5 2003-09-15 /dev/zero

  这样的,将其中的1,3这样的数字记录下来,这表示主设备号和次设备号(一般来说主设备号用来区分设备的种类;次设备号则是为了作唯一性区分,标明不同属性——注意,在unix系统中是把设备也当作文件来对待的),在redhat 9下,ls加不加-L参数都无所谓,但是在Solaris下则一定要加上才可以显示。

  mknod dev/null c 1 3
  mknod dev/zero c 1 5
  mknod dev/random c 1 8

  d.复制时钟文件到我们chrootetc下,Linux 的时钟设置文件为:/etc/localtime ,实际上这个文件是 /usr/share/zoneinfo 目录下对应文件的符号连接。(假设我们所处的地区位于上海,那么只要运行以下的命令就可以设置时区了。 ln -sf /usr/share/zoneinfo/ASia/Shanghai /etc/localtime;注意在天缘用的solaris 2.6中并没有此文件,而是该用/usr/share/lib/zoneinfo/GB

  cp /etc/localtime etc/

  3、创建和设置BIND 9配置文件

  默认情形下,bind/etc/named.conf文件为配置文件。但由于我们这里是要做chrootDNS,因此需要把named.conf放到/chroot/named/conf下去,然后再做一个符号连接到/etc/named.conf。首先创建并编辑named.conf文件(由于介绍DNS的文章大多对named.conf的配置解释得相当详细,因此我就不一句句解释了,大家结合注释,参考其他文章看看,很容易理解的)

vi /chroot/named/etc/named.conf,输入以下内容(由于每个人的配置都不同,所以天缘在这里只列出一个做cache onlyDNS的设置)

options {
     //注意,由于是chroot方式,所以以下的/conf/var并不是系统中真正的/conf/var目录,而是指/chroot/named下的同名目录,此配置文件中所有地方都如此
directory
    "/conf"; //配置文件所在目录
pid-file
    "/var/run/named.pid"; //进程守护文件
statistics-file "/var/run/named.stats"; //
状态输出文件;在rndc中用到
dump-file
    "/var/run/named.db"; //输出数据库文件,在rndc中用到

//隐藏真实版本号,我这里写个4.0作刻意误导
version
     "[4.0]";

     logging { //日志记录
        channel LAMER_log {
         file "/logs/DNS-lamer.log" versions 3 size 10m;
         severity info;
         print-severity yes; print-time yes;
         };

        channel SEC_log {
        file "/logs/DNS-sec.log" versions 3  size 10m;
        severity info;
        print-severity yes; print-time yes;
        };

        channel STAT_log {
        file "/logs/DNS-stat.log" versions 3 size 10m;
        severity info;
        print-severity yes; print-time yes;
         };

category cname { null; };
category lame-servers { LAMER_log; };
category security { SEC_log; };
category statistics { STAT_log; };
};

//根解析
zone "." {
type
  hint;
file
  "named.root";
};

// localhost 解析
zone "localhost" {
type
  mASter;
file
  "named.localhost";
notify
 no;
};

// localhost 反向解析
zone
  "0.0.127.in-addr.arpa" {
type
  mASter;
file
  "named.127.0.0";
notify no;
};

  之后进行符号连接到/etc目录下
  ln -s /chroot/named/etc/named.conf /etc/named.conf

  好了,接下来,当然就是设置named.rootnamed.localnamed.127.0.0三个文件了,注意,这三个文件的真实位置是在/chroot/named/conf下哦。

 

配置一个安全的chroot DNS(3)

2004年07月25 Yesky

 

 

 

 

 

baidu

 

 

首先是named.root的建立

  dig @a.root-servers.net . ns > /chroot/named/conf/named.root #这是在redhat下的用法,因为天缘所用的solaris默认(我用的2.6)没有dig命令,所以在solaris下我们用

cd /chroot/named/conf
ftp ftp://ftp.rs.internic.net/domain/named.root
接着是named.local

;
;named.local
;
$TTL
  86400

@    IN SOA  @ root (
            42       ; 版本
            3H       ; 刷新时间3小时
            15M       ; 重试时间15分钟
            1W       ; 最大期限一周
            1D )      ; 最小TTL一天     IN NS    @
    IN A     127.0.0.1

接着是named.127.0.0

;
; named.127.0.0
;
$TTL
  86400
@
    IN   SOA   localhost. root.localhost. ( ;这里的root.localost其实是root@localhost,在DNS设置中,将@.代替
              1 ; 版本
              28800   ; 刷新,这里和下面的特意以分钟为单位,和上面的写法不同,就当多举个例子吧
              14400   ; 重试
              3600000  ; 最大期限
              86400 )  ; 最小TTL
    IN   NS   localhost.
1    IN
   PTR   localhost.

  4、设置权限

  其实这一步,才是我们作任何chroot 服务真正精华的地方。如何把权限划分得准确,不至于无法执行服务,也不能大到会威胁到其他程序的安全,实在是一个需要仔细考虑的问题。

  a.由于我们的目的是达到让bind程序以named用户身份运行,所以必须让它具有读配置,无写配置文件的权限,而且最好其他程序也不能改变我们的配置文件,只有root能改,named用户能读。为了满足这个要求的,自然就想到把文件的拥有者改为root,组用户设置为named,然后再慢慢仔细划分权限。

  cd /chroot/named

  chown R root.named ./ #-R参数表示下属目录也依照此权限,-R参数在chownchmod中经常用到

  b.接下来想想各个文件、子目录的权限。Root组对 文件需要读写执行权限,named组对文件需要读取权限,而对下属子目录而言,则必须具有执行权限才能进入其中。因此作以下权限设置。

  # 对文件赋予root 读写权限,赋予组named读权限
  find . -type f -print | xargs chmod u=rw,og=r

  # 对目录赋予roo读写执行权限,赋予组named读执行权限(这里的执行是为了能进入到下级目录中)
  find . -type d -print | xargs chmod u=rwx,og=rx

  #etc目录下的配置文件,能不让其他用户读取当然是最好的,因此设置
  chmod o= etc/*.conf

  # "secondaries" 子目录是此作辅助,从主服务器更新消息的时候需要的,会在里面创建一些新文件。因此它的权限也需要特别设置,在这个目录下,named组、用户需要具有读权限,而不需要用到root用户,也不想让其他的用户身份访问。

  chown root.named conf/secondaries/ #设置secondaries目录用户为root,组为named

  chmod ug=rwx,o= conf/secondaries/ #给予rootnamed全部权限,以方便访问下面的文件

  touch conf/secondaries/.empty # 去掉旧有的该文件

  find conf/secondaries/ -type f -print | xargs chown named.named #将用户组、用户都设置为named

  find conf/secondaries/ -type f -print | xargs chmod ug=r,o= #只让named组和用户有读权限,而其他用户无任何权限

  接着是为var/目录设置权限(在这里会生成进程守护文件named.pid—我们在named.conf中设置了的)

  chown root.root var/ #这里可以把named抛弃,

  chmod u=rwx,og=x var/ #root可以读写设置,其他用户能执行就行,其实我们之所以做一个chroot DNS需要大费周折地单独设置目录,就是为了不让named具有访问真正的/var的权限。

  chown root.named var/run/ #因为在run下面的需要由named身份来写named.pid文件,所以需要将组改为named好限制权限

  chmod ug=rwx,o=rx var/run/ #用户/组具有读写执行权限,其他用户能读/执行就可以了,这样的设置,主要是为了方便我们后面写shell来判断DNS目前的状态。

  chown root.named logs/ #日志目录,设置成这样的原因不用解释了吧

  chmod ug=rwx,o=rx logs/ #日志允许其他人看比较好,方便以后挂第三方程序

 

 

 

配置一个安全的chroot DNS(4)

2004年07月25 Yesky

 

 

 

 

 

 

baidu

 

 

5、启动并运行bind 9

  激动人心的时候到了,即将开始我们的处女bind 9运行了。

  运行以下命令

/usr/local/sbin/named -t /chroot/named -u named -c /etc/named.conf
然后再ps fCnamed 看看??如果出来类似
UID
    PID PPID C STIME TTY     TIME CMD
named
  14023   1 0 May27 ?    00:00:00 /usr/local/sbin/named -t /chroot/named -u named -c /etc/named.conf

  这样的结果,说明成功了,恭喜你!!!

  每次都这样输入累不累??所以还是一起来写个shell吧(其实shell真的粉好用,但是一般真要系统地讲解起来又没有意思,所以我尽量在每篇文章中都把shell用上,慢慢就领会到它的好处咯)

vi /chroot/named.start

#
cpu的记得加个 "-n " 参数,才能启用多cpu哦,我也是在别的地方看到的
#
# named
命令格式: named [-c 配置文件] [-d 除错级别] [-f|-g] [-n cpu个数]
#
       [-p 端口-默认是53] [-s] [-t chroot目录] [-u 执行该命令的用户  身份]

cd /chroot/named
#
确保除错的debug文件能够以named身份写入
touch named.run #
建立该文件
chown named.named named.run #
设置文件拥有者为named.named
chmod ug=rw,o=r
  named.run #权限为664
#
named身份,在chroot/named目录中以/etc/named.conf为配置文件执行named程序
#
这里的/etc/named.conf是我们用ln s连过去的,参看前文
/usr/local/sbin/named
 -t /chroot/named -u named -c /etc/named.conf

  然后以sh /chroot/named.start 执行此命令就行了,之后在/etc/resolv.conf为自己的DNS地址就可以测试  了,当然,也可以用dig命令来查(个人觉得dig命令比nslookup好用,但是Solaris 2.6上默认没有)。

  6. 控制工具rndc的安装和使用

  rndc=remote dnc,以前装过bind 8的朋友都知道有个ndc工具,而在bind 9中,更是连的功能都加上了。说“加上”其实不够恰当,因为rdnc并不是用ndc改的,而是重新写的一个通过tcp协议进行DNS控制的软件。(有什么用?问问做虚拟主机/系统管理的朋友就知道,DNS一般都是用独立主机,如果可以远程reload配置文件,可以方便很多的)。 

  rndc 原本是应该读取/usr/local/etc/rndc.conf 作为配置文件的,但我们既然是安装chrootDNS,所以有必要把rndc.conf转到/chroot/named/etc/rndc.conf。好,下面来看看我们的rndc.conf的写法。

options {
    default-server localhost; //先配置本地的
    default-key   "rndckey"; //key的名字
};

server localhost {
    key   "rndckey"; //key的名字
};
include "/chroot/named/etc/rndc.key"; //
在这个文件中包含了rndckey的值,之所以这样,是因为在rndc.confnamed.conf中都用到这个值,用include方便写自动的shell一些

同样的道理,在/chroot/named/etc/named.conf的也加上需要的语句

controls {
    inet 127.0.0.1 allow { localhost; } keys { rndckey; }; //允许localhost连接
};
include "/etc/rndc.key";

  接下来,就是要生成/chroot/named/etc/rndc.key 文件了,它是一个采用bASe-64编码加密的长字符串key,我们用DNSsec-keygen命令来生成它:

  cd /chroot/named/etc
  /usr/local/sbin/DNSsec-keygen -a HMAC-MD5 -b 256 -n HOST rndc

  得到一个类似Krndc.+157+30481这样的返回值,这说明已经在当前目录下成功建立了Krndc.+157+30481.keyKrndc.+157+30481.private两个文件。

cat Krndc.+157+30481.private 显示
Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: aoqaT1r9Oz29DIj3VPn6+teHcvBudGAc17qLM4nPOqA=

 在这里,Key后面的那串字符就是我们想要的key了,把它复制下来,然后删除临时文件

rm Krndc.+157+30481.*
vi /chroot/named/etc/rndc.key

key "rndckey" {
    algorithm    "hmac-md5";
    secret     " aoqaT1r9Oz29DIj3VPn6+teHcvBudGAc17qLM4nPOqA=";
};

  现在已经配置完成了,建立2个软连接

ln -s /chroot/named/etc/rndc.conf /usr/local/etc/rndc.conf
ln -s /chroot/named/etc/rndc.conf /etc/rndc.conf
Ok,
接下来对目前运行的named飞起一腿,强迫让它重新读配置文件
 ps fCnamed
 UID    PID PPID C STIME TTY     TIME CMD
 named  14023   1 0 May27 ?    00:00:00 /usr/local/sbin/named -t /chroot/named -u named -c /etc/named.conf

kill -1 14023    #14023 named的进程号,至于-1的作用,自己man kill
现在来看看我们的rndc是否工作正常
/usr/local/sbin/rndc status
如果现实类似下面的情形就恭喜你咯
number of zones: 2
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
server is up and running

  如果出现的是rndc: send remote authenticator: permission denied 则肯定上面的步骤中存在问题,请一步步检查吧。

 

 

 

配置一个安全的chroot DNS(5)

2004年07月25 Yesky

 

 

 

 

 

 

baidu

 

 

7、开机执行脚本

  每次输入很长的命令来进行重新启动,停止DNS实在不是明智的做法,写个shell脚本来帮助我们吧。

vi /etc/init.d/named

#!/bin/sh
#
export PATH=/usr/local/sbin:$PATH
    # 把路径加进去,就不用每次输入全路径了

cASe "$1" in
 start)
    # 运行Bind
    echo -n "Starting named: "
    sh /chroot/named.start
    echo "done"
    ;;
 stop)
    # 停止 Bind
    echo -n "Shutting down named: "
    rndc stop
    echo "done"
    ;;
 reload)
    # 重新载入配置
    echo -n "Reload named: "
    rndc reload
    echo "done"
    ;;
status)
    # 显示当前状态
    rndc status
    ;;
 *)
    echo "/etc/init.d/named {start|stop|status|reload}"
    exit 1
esac

exit 0

  然后当然是 chmod a+x /etc/init.d/named

  接下来就是对各个启动模式做符号连接了Red Hat 下:

ln -s /etc/init.d/named /etc/rc2.d/S45named
 ln -s /etc/init.d/named /etc/rc3.d/S45named
ln -s /etc/init.d/named /etc/rc5.d/S45named

Solaris 2.6 下:
 ln -s /etc/init.d/named /etc/rc3.d/S45named
 ln -s /etc/init.d/named /etc/rcS.d/S45named

  到这里,我们的chroot bind 9 可以说真正正式完工!!

  在最后,我付上一个在Red Hat AS3 上调试通过的自动  安装chroot bind 9的安装包(已内含bind 9.2.3),如要在Solaris 上安装,可能需要自行修改一些地方,我在shell中注明了在Solaris下可能有错的地方。希望这个安装包可以方便各位和我自己在某些紧急情形下的时候用最短的时间搞定一个chroot DNS

 

 

 

 

 

开始配置bind

 

/usr/local/named/etc/named.conf   //DNS主配置文件, 需自己创建并且配置

/etc/resolv.conf                  //转换程序配置文件,系统自带需配置

/usr/local/named/etcv/rndc.conf    //远程名称守护进程配置文件,需自己创建并且配置

/usr/local/named /var/named/named.root // 根域名服务器指向文件,需自己创建并且配置

/usr/local/named /var/named/localhost.zone //正向区文件, 需自己创建并且配置

/usr/local/named /var/named/named.local //反向区文件,需自己创建并且配置

/usr/local/named /var/named/cerc.local.zone //用户配置正向区文件,需自己创建并且配置

/usr/local/named /var/named/10.226.159.zone //用户配置反向区文件,需自己创建并且配置

 

 

1、编辑named.conf

# vi /usr/localnamed/etc/named.conf

写入以下内容:

Option {

     Directory "/usr/local/named/v ar/ named";         设置named要读写文件的路径

dump-file "/usr/local/named/v ar/named/data/cache_dump.db";     设置服务器存放数据库的路径

     Pid-file "/usr/local/named /var /run/named.pid";

     Allow-query ( any ;);

     };

Zone "." in {                             容器指令zone的作用是定义一个DNS区域

     Type hint;                         设置区域的类型为“hint

     File "named.root";                  设置根服务器列表文件名

     }

Zone "localhost" in {

     Type master;

     File "localhost.zone";

     };

Zone "0.0.127.in-addr.arpa" in {

      Type master;

      File "named.local";

      };

include "/etc/rndc.key";                           设置共享密匙文件

退出,保存。

 

2、创建 rndc.conf文件

bind自带程序生成

# cd /usr/local/named/

# sbin/rndc-confgen > /usr/local/named/etcv/rndc.conf

通过rndc.conf 中的key信息创建rndc.key文件。将rndc.conf文件中注释部分拷贝生成如下文件:

   # vi /usr/local/named/etc/rndc.key

       key "rndc-key" {                                     

             algorithm hmac-md5;                              

             secret "y9xvvfQjdWv9f/Fo7wquBg==";               

       };                                                     

                                                               

       controls {                                               

             inet 127.0.0.1 port 953                           

                     allow { 127.0.0.1; } keys { "rndc-key"; };

       }; 

 

 

 

3、匿名登录到ftp站点FTP.RS.INTERNIC.NET,获取/domain目录下的named.root文件,

将该文件置于/usr/local/named /var/named目录下

阅读(1132) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~