Centos/Redhat BIND biasanya berjalan sebagai proses bernama yang dimiliki oleh pengguna bernama yang tidak memiliki hak istimewa. Terkadang BIND juga diinstal menggunakan Fitur chroot Linux untuk tidak hanya menjalankan bernama sebagai nama pengguna, tetapi juga untuk membatasi file bernama dapat melihat.
Saat diinstal, bernama tertipu dengan berpikir bahwa direktori /var/named/chroot sebenarnya adalah root atau direktori /. Oleh karena itu, file bernama yang biasanya ditemukan di direktori /etc ditemukan di direktori /var/named/chroot/etc sebagai gantinya, dan yang Anda harapkan untuk ditemukan di /var/named sebenarnya terletak di /var/named/chroot/var /bernama.
Keuntungan dari fitur chroot adalah jika seorang peretas memasuki sistem Anda melalui eksploitasi BIND, akses peretas ke seluruh sistem Anda diisolasi ke file di bawah direktori chroot dan tidak ada yang lain. Jenis keamanan ini juga dikenal sebagai chroot jail.
Anda dapat menginstal chroot add-on RPM dengan menggunakan perintah ini.
Untuk menginstal kita perlu mengkonfigurasi Repositori Yum.
[root@SRV01 ~]# yum install bind bind-chroot
Plugin yang dimuat:cermin tercepat
Menentukan mirror tercepat
myrepo | 1.1 kB 00:00
primer.xml.gz | 878 kB 00:00
myrepo 2508/2508
Menyiapkan Proses Pemasangan
Mengurai argumen pemasangan paket
Menyelesaikan Ketergantungan
Ada sisa transaksi yang belum selesai. Anda mungkin mempertimbangkan untuk menjalankan yum-complete-transaction terlebih dahulu untuk menyelesaikannya.
–> Menjalankan pemeriksaan transaksi
—> Paket bind-chroot.i386 30:9.3.4-10.P1.el5 diatur untuk diperbarui
—> Paket bind.i386 30:9.3.4-10.P1.el5 diatur untuk diperbarui
–> Penyelesaian Ketergantungan Selesai
Ketergantungan Terselesaikan
===================================================
Ukuran Repositori Versi Paket Arch
===================================================
Memasang:
bind i386 30:9.3.4-10.P1.el5 myrepo 953 k
bind-chroot i386 30:9.3.4-10.P1.el5 myrepo 42 k
Ringkasan Transaksi
===================================================
Instal 2 Paket
Perbarui 0 Paket
Hapus 0 Paket
Total ukuran unduhan:995 k
Apakah ini baik-baik saja [y/T]:y
Mengunduh Paket:
(1/2):bind-chroot-9.3.4-10.P1.el5.i386.rpm | 42 kB 00:00
(2/2):bind-9.3.4-10.P1.el5.i386.rpm | 953 kB 00:00
——————————————————————————–
Total 1,8 MB/dtk | 995 kB 00:00
Menjalankan rpm_check_debug
Menjalankan Uji Transaksi
Tes Transaksi Selesai
Tes Transaksi Berhasil
Transaksi Berjalan
Memasang :ikat [1/2]
Memasang :bind-chroot [2/2]
Dipasang:bind.i386 30:9.3.4-10.P1.el5 bind-chroot.i386 30:9.3.4-10.P1.el5
Selesai!
Sekarang root DNS akan menjadi /var/named/chroot saja. Jadi pertama-tama salin file konfigurasi bernama dari /var/named/chroot/etc/
[root@SRV01 bernama]# cp /usr/share/doc/bind-9.3.4/sample/etc/* /var/named/chroot/etc/
Selanjutnya salin file zona sampel dari direktori /var/named/chroot/var/named.
[root@SRV01 bernama]# cp -a /usr/share/doc/bind-9.3.4/sample /var/named/* /var/named/chroot/var/named/
cp:menimpa `/var/named/chroot/var/named/slaves/my.ddns.internal.zone.db'? y
cp:menimpa `/var/named/chroot/var/named/slaves/my.slave.internal.zone.db'? y
Setelah salinan sampel selesai, sekarang kita harus menambahkan dns keygen ke file konfigurasi yaitu /var/named/chroot/etc/named.conf. untuk membuat dns keygen gunakan perintah berikut.
[root@SRV01 bernama]# dns-keygen
31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC
Sisipkan di atas di /var/named/chtoot/etc/named.conf
[root@SRV01 bernama]# vi /etc/named.conf
kunci ddns_key
algoritma hmac-md5;
rahasia 31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC;
};
Sekali lagi edit /var/named/chroot/etc/named.conf, masukkan detail zona sesuai kebutuhan domain Anda. File berikut adalah konfigurasi minimal untuk menjalankan server DNS. Anda juga dapat menyalin dan menggunakannya untuk lingkungan Anda.
[root@SRV01 bernama]# vi /var/named/chroot/etc/named.conf
pilihan
direktori “/var/bernama”; // default
dump-file “data/cache_dump.db”;
statistik-file “data/named_stats.txt”;
memstatistics-file “data/named_mem_stats.txt”;
};
masuk
saluran default_debug {
file “data/named.run”;
dinamis keparahan;
};
};
zona “geeksite.in” IN { —–> Nama Zona depan
ketik master;
file “geeksite.in.zone”; —–> Nama file tempat Zona Disimpan
izinkan-perbarui { tidak ada; };
};
zona “4.65.10.in-addr.arpa” DI { —–> Nama Zona terbalik
ketik master;
file “4.65.10.rev.zone”; —–> Nama file tempat Zona Disimpan
izinkan-perbarui { tidak ada; };
};
kunci ddns_key
algoritma hmac-md5;
rahasia 31LAA52EawiHZBOsTR1qeuMa36IU11i80zCgmTWOUL6DJ8vGcC;
};
Selanjutnya Anda perlu memiliki file forward zone (geeksite.in.zone) di direktori /var/named/chroot/var/named/.
Salin /var/named/chroot/var/namded/localhost.zone sebagai /var/named/chroot/var/named/geeksite.in.zone.
[root@SRV01 bernama]# cp /var/named/chroot/var/named/localhost.zone /var/named/chroot/var/named/geeksite.in.zone
Ada beberapa kata kunci khusus untuk File Zona
Catatan A-A
NS -Nama Server
MX -Mail for Exchange
CN -Nama Kanonik
Edit file zona dengan benar. Pastikan seluruh nama domain diakhiri dengan titik (.).
[root@SRV01 bernama]# vi /var/named/chroot/var/named/geeksite.in.zone
$TTL 86400 @ IN SOA ns1.geeksite.in. [email protected]. (
42; serial (d. adams)
3 jam; menyegarkan
15M; coba lagi
1W; kedaluwarsa
1D); minimal
IN NS ns1.geeksite.in.
DI A 10.65.4.55
www IN A 10.65.4.55
mail IN A 10.65.4.55
ns1 IN A 10.65.4.55
server DI A 10.65.4.55
geeksite.in. DI MX 10 mail.geeksite.in.
Selanjutnya Anda perlu memiliki file zona terbalik (4.65.10.rev.zone) di direktori /var/named/chroot/var/named/.
Salin /var/named/chroot/var/namded/named.local sebagai /var/named/chroot/var/named/4.65.10.rev.zone
[root@SRV01 bernama]# cp /var/named/chroot/var/named/named.local /var/named/chroot/var/named/4.65.10.rev.zone
Edit ini dengan benar sesuai permintaan Anda.
[root@SRV01 bernama]# vi /var/named/chroot/var/named/4.65.10.rev.zone
$TTL 86400 @ DI SOA ns1.geeksite.in. [email protected]. (
1997022700; Serial
28800; Segarkan
14400; Coba lagi
3600000; Kedaluwarsa
86400); Minimal
IN NS ns1.geeksite.in.
55 DI PTR geeksite.in.
55 IN PTR mail.geeksite.in.
55 DI PTR www.geeksite.in.
55 IN PTR server.geeksite.in.
55 IN PTR ns1.geeksite.in.
Mulai ulang layanan menggunakan perintah berikut
[root@SRV01 bernama]# layanan bernama restart
Cukup uji server menggunakan perintah untuk memeriksa zona maju.
[root@SRV01 bernama]# host geeksite.in
geeksite.in memiliki alamat 10.65.4.55
geeksite.in mail ditangani oleh 10 mail.geeksite.in
Ini untuk zona sebaliknya.
[root@SRV01 bernama]# host 10.65.4.55
55.4.65.10.in.addr.arpa penunjuk nama domain geeksite.in.
Perintah di atas cukup baik untuk memeriksa DNS. Untuk mengetahui lebih lanjut tentang detail penyelesaian DNS, kita dapat menggunakan Dig atau Nslookup