Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 71
Текст из файла (страница 71)
ISC BIND – программное обеспечение для организации службы DSN301Установите права доступа к файлу и назначьте владельцем файла пользователя named из группыnamed:[root@drwalbr /]# chmod 644 /var/named/76.24.213.in-addr.arpa[root@drwalbr /]# chown named.named /var/named/76.24.213.in-addr.arpaКонфигурирование ISC BIND в режиме вторичного DNS-сервераВторичный DNS-сервер используется для повышения надежности службы DNS и снижения загрузкипервичного DNS-сервера.
Вторичный DNS-сервер периодически загружает файлы зон и обратных зон с первичного или других вторичных DNS-серверов. Этот процесс называют переносом. Настройку вторичногоDNS-сервера рассмотрим на примере вторичного DNS сервера отвечающего за зону contora.ru.Шаг 1Создайте файл /etc/named.conf, руководствуясь своими потребностями и ниже приведеннымирекомендациями:// Authorized source addresses.acl "trusted" {localhost;192.168.1.0/24;213.24.76.0/24;// Known fake source addresses shouldn't be replied to.acl "bogon" {0.0.0.0/8;1.0.0.0/8;2.0.0.0/8;192.0.2.0/24;224.0.0.0/3;169.254.0.0/16;// Enterprise networks may or may not be bogus.10.0.0.0/8;172.16.0.0/12;192.168.0.0/16;};options {directory "/var/named";allow-transfer { none; };allow-query { trusted; };allow-recursion { trusted; };blackhole { bogon; };tcp-clients 1024;forwarders { none; };version "Hangry Bambr DNS v.
0.01";};logging {category lame-servers { null; };};// Root server hintszone "." { type hint; file "db.cache"; };// Provide a reverse mapping for the loopback address 127.0.0.1/24zone "localhost" {type master;file "db.localhost";notify no;};zone "0.0.127.in-addr.arpa" {type master;file "0.0.127.in-addr.arpa";302Часть 5. Служба DSNnotify no;};// We are the slave server for contora.ruzone "contora.ru" {type slave;file "db.contora";masters { 213.24.76.2; };allow-query { any; };};// Provide a reverse mapping for domains network 213.24.76.0/24zone "76.24.213.in-addr.arpa" {type slave;file "76.24.213.in-addr.arpa";masters { 213.24.76.2; };allow-query { any; };};Предлагаемый пример конфигурационного файла аналогичен файлу, используемому при конфигурировании первичного DNS-сервера.
Отличием является определение в строках:type slave;конфигурируемого сервера в качестве вторичного для зоны и обратной зоны;и в строках:masters { 213.24.76.2; };указывающих на IP-адрес первичного DNS-сервера.Шаг 2Установите права доступа к файлу и назначьте владельцем файла пользователя named из группыnamed:[root@drwalbr /]# chmod 600 /etc/named.conf[root@drwalbr /]# chown named.named /etc/named.confКонфигурационные файлы /var/named/db.cache, /var/named/db.localhost,/var/named/0.0.127.in-addr.arpa, /etc/sysconfig/named и /etc/init.d/named/var/named/db.cache,/var/named/db.localhost,Конфигурацияфайлов/var/named/0.0.127.in-addr.arpa, /etc/sysconfig/named и /etc/init.d/named идентична описанной выше конфигурации файлов для кэширующего и первичного DNS-серверов.Обеспечение безопасности транзакций для ISC BIND с использованием TSIGМеханизм подписи транзакций (Transaction Signature, TSIG), используемый в ISC BIND версии 9, позволяет проверять подлинность транзакций.
Например, установить, что запрос на перенос зоны поступаетдействительно от вторичного сервера, а не злоумышленника, пытающегося путем переноса файла зоныDNS-сервера получить информацию, необходимую для подготовки атаки на вашу сеть. Если вы хотите повысить безопасность службы DNS с использованием механизма TSIG, установите на первичном и вторичном DNS-серверах поддержку механизма подписи транзакций.Для включения поддержки TSIG необходимо выполнить следующие операции.Шаг 1На одном из серверов сгенерируйте ключ для первичного и вторичного DNS-серверов:[root@drwalbr /]# dnssec-keygen -a hmac-md5 -b 128 -n HOST ns1-ns2Kns1-ns2.+157+40221В результате выполнения следующей команды будет сгенерирован и сохранен в файле Kns1ns2.+157+40221.private 128-битный HMAC-MD5 ключ:[root@drwalbr /]# cat Kns1-ns2.+157+40221.privatePrivate-key-format: v1.2Algorithm: 157 (HMAC_MD5)Key: 2rhwwM2En/n5KScRtssAbA==Глава 23.
ISC BIND – программное обеспечение для организации службы DSN303Ключ, в рассматриваемом примере выделенный жирным шрифтом, впоследствии используется вконфигурационных файлах /etc/named.conf на первичном и вторичном DNS-серверах. На паре взаимодействующих серверов используется один и тот же ключ.Шаг 2Внесите изменения в файл /etc/named.conf в соответствии с вашими потребностями и приводимыми ниже рекомендациями.Для первичного DNS-сервера:// Authorized source addresses.acl "trusted" {localhost;192.168.1.0/24;213.24.76.0/24;};// Known fake source addresses shouldn't be replied to.acl "bogon" {0.0.0.0/8;1.0.0.0/8;2.0.0.0/8;192.0.2.0/24;224.0.0.0/3;169.254.0.0/16;// Enterprise networks may or may not be bogus.10.0.0.0/8;172.16.0.0/12;192.168.0.0/16;};key "ns1-ns2" {algorithm hmac-md5;secret "2rhwwM2En/n5KScRtssAbA==";};server 194.226.76.0 {keys {"ns1-ns2";}};options {directory "/var/named";allow-transfer { key ns1-ns2; };allow-query { trusted; };allow-recursion { trusted; };blackhole { bogon; };tcp-clients 1024;forwarders { none; };version "Hangry Bambr DNS v.
0.01";};logging {category lame-servers { null; };};// Root server hintszone "." { type hint; file "db.cache"; };// Provide a reverse mapping for the loopback address 127.0.0.1/24zone "localhost" {type master;file "db.localhost";notify no;};zone "0.0.127.in-addr.arpa" {304Часть 5. Служба DSNtype master;file "0.0.127.in-addr.arpa";notify no;};// We are the master server for contora.ruzone "contora.ru" {type master;file "db.contora";allow-query { any; };};// Provide a reverse mapping for domains network 213.24.76.0/24zone "76.24.213.in-addr.arpa" {type master;file "76.24.213.in-addr.arpa";allow-query { any; };};Для вторичного DNS-сервера:// Authorized source addresses.acl "trusted" {localhost;192.168.1.0/24;213.24.76.0/24;// Known fake source addresses shouldn't be replied to.acl "bogon" {0.0.0.0/8;1.0.0.0/8;2.0.0.0/8;192.0.2.0/24;224.0.0.0/3;169.254.0.0/16;// Enterprise networks may or may not be bogus.10.0.0.0/8;172.16.0.0/12;192.168.0.0/16;};key "ns1-ns2" {algorithm hmac-md5;secret "2rhwwM2En/n5KScRtssAbA==";};server 213.24.76.2 {keys {"ns1-ns2";}};options {directory "/var/named";allow-transfer { none; };allow-query { trusted; };allow-recursion { trusted; };blackhole { bogon; };tcp-clients 1024;forwarders { none; };version "Hangry Bambr DNS v.
0.01";};logging {category lame-servers { null; };};Глава 23. ISC BIND – программное обеспечение для организации службы DSN305// Root server hintszone "." { type hint; file "db.cache"; };// Provide a reverse mapping for the loopback address 127.0.0.1/24zone "localhost" {type master;file "db.localhost";notify no;};zone "0.0.127.in-addr.arpa" {type master;file "0.0.127.in-addr.arpa";notify no;};// We are the slave server for contora.ruzone "contora.ru" {type slave;file "db.contora";masters { 213.24.76.2; };allow-query { any; };};// Provide a reverse mapping for domains network 213.24.76.0/24zone "76.24.213.in-addr.arpa" {type slave;file "76.24.213.in-addr.arpa";masters { 213.24.76.2; };allow-query { any; };};Шаг 3Удалите файлы Kns1-ns2.+157+40221.key и Kns1-ns2.+157+40221.private, созданныепри генерации ключа:[root@drwalbr /]# rm -f Kns1-ns2.+157+40221.key[root@drwalbr /]# rm -f Kns1-ns2.+157+40221.private.privateИспользование TSIG для безопасного администрирования ISC BIND с использованием утилиты rndcУтилита rndc предназначена для управления сервером ISC BIND.
Если вы хотите использовать этуутилиту для администрирования DNS-сервера с поддержкой TSIG, вам необходимо внести соответствующие изменения в конфигурационный файл утилиты rndc – /etc/rndc.conf и главный конфигурационный файл DNS-сервера – /etc/named.conf. Для этого необходимо выполнить следующие операции.Шаг 1Сгенерируйте ключ:[root@drwalbr /]# dnssec-keygen -a hmac-md5 -b 128 -n user rndcKrndc.+157+45611В результате выполнения следующей команды будет сгенерирован и сохранен в файлеKrndc.+157+45611.private 128-битный HMAC-MD5 ключ:[root@drwalbr /]# cat Krndc.+157+45611.privatePrivate-key-format: v1.2Algorithm: 157 (HMAC_MD5)Key: erNkIU6wLgAfd7XZdfKiO==Ключ, в рассматриваемом примере выделенный жирным шрифтом, используется утилитой rndc идолжен быть добавлен в конфигурационные файлы /etc/rndc.conf и /etc/named.conf.Шаг 2306Часть 5.
Служба DSNВставьте в файл /etc/rndc.conf ключ, сгенерированный на предыдущем шаге:options {default-server localhost;default-key"key";};server localhost {key"key";};key "key" {algorithmhmac-md5;secret "erNkIU6wLgAfd7XZdfKiO==";};Шаг 3Отредактируйте файл /etc/named.conf в соответствии с вашими требованиями и ниже приведенными рекомендациями (в рассматриваемом примере в качестве исходного используется файл для первичного DNS-сервера):// Authorized source addresses.acl "trusted" {localhost;192.168.1.0/24;213.24.76.0/24;};// Known fake source addresses shouldn't be replied to.acl "bogon" {0.0.0.0/8;1.0.0.0/8;2.0.0.0/8;192.0.2.0/24;224.0.0.0/3;169.254.0.0/16;// Enterprise networks may or may not be bogus.10.0.0.0/8;172.16.0.0/12;192.168.0.0/16;};key "key" {algorithm hmac-md5;secret "erNkIU6wLgAfd7XZdfKiO==";};controls {inet 127.0.0.1 allow { localhost; } keys { "key"; };};key "ns1-ns2" {algorithm hmac-md5;secret "2rhwwM2En/n5KScRtssAbA==";};server 194.226.76.0 {keys {"ns1-ns2";}};options {directory "/var/named";allow-transfer { key ns1-ns2; };allow-query { trusted; };allow-recursion { trusted; };blackhole { bogon; };tcp-clients 1024;forwarders { none; };Глава 23.