7.2 普通用户身份运行named
7.3 chroot环境
7.4 TSIG技术
7.5 DNSSEC技术
dns建立了主机名和IP地址之间的映射关系。
dns是一个分布式数据库。
bind是使用最广泛的一种DNS实现。
dns工作原理:(以www.example.com举例说明)
所有的域名服务器都知道根服务器(.),根服务器知道com、net、org、cn等顶级域,
而顶级域com又知道example.com子域,子域example.com知道主机www.example.com的IP。
dns采取层层授权的形式建立起一种分布式的域名管理机制,授权是单向的,只能从父域到子域,
每个子域都必须向父域注册。
用户查询主机过程:
文件/etc/nsswitch.conf(hosts: files dns)说明查询主机信息顺序先从/etc/hosts开始,
先查看本地/etc/hosts文件,找不到主机名对应的IP,再进行dns查询,
到/etc/resolv.conf文件指定的本地域名服务器查询,如果有对应域example.com,则直接返回www.example.com主机的IP(或没有对应主机的消息)
如果本地域名服务器不知道example.com这个域,也不知道com域的信息,不过它知道根域的信息(在named.ca中),
如果允许递归查询的话(recursion yes),它就发送一个查询到根域,根域返回一个com域服务器的IP,
然后再到com域查询example.com子域的信息,返回一个example.com域服务器的IP,
最后在example.com域的域名服务器上得到主机www.example.com的IP,
本地域名服务器把查询结果返回给用户,并缓存查询结果。
tar -zxvf bind-9.7.0-p1.tar.gz
cd bind-9.7.0-p1
./configure --prefix=/usr/local/named \
--enable-threads \
--enable-largefile \
--disable-openssl-version-check
make && make install
可执行文件路径:
echo "export PATH=$PATH:/usr/local/named/bin:/usr/local/named/sbin" >>~/.bash-profile
. ~/.bash_profile
帮助文档:
echo "MANPATH /usr/local/named/share/man" >>/etc/man.config
cd /usr/local/named
vi etc/named.conf
options {
directory "/var/named";
pid-file "/var/named/named.pid';
dump-file "/var/named/named_dump.db";
statistics-file "/var/named/named.stats';
};
zone "." {
type hint;
file "named.ca";
};
zone "localhost" {
type master;
file "localhost.zone";
};
zone "0.0.127.in-addr.arpa" {
type master;
file 127.0.0.rev";
};
zone "example.com" {
type master;
file "example.com.zone";
};
zone "10.10.in-addr.arpa" {
type master;
file "10.10.rev";
};
说明:
named.conf文件中的单行注释//或#,多行注释 /* */
options语句用于设置服务器全局参数
directory 指定程序运行基准文件存放目录
pid-file 指定named服务运行时pid存放文件
dump-file 指定缓存文件
statistics-file 指定服务器运行状态统计文件
2.2 创建数据存放目录:
mkdir /var/named
2.3 创建named.ca根线索文件
dig @61.139.2.69 -t NS .
dig @198.41.0.4 -t NS . >/var/named/named.ca
2.4 创建正向区文件localhost.zone和example.com.zone
;localhost
$TTL 1d
@ IN SOA localhost. root (
2010050101 ;serials
1h ;refresh
15m ;retry
1w ;expire
1d ) ;ttl
IN NS localhost.
IN A 127.0.0.1
;example.com
$TTL 1d
@ IN SOA log.example.com. root.log (
2010050101 1h 15m 1w 1d )
IN ns1.example.com.
IN ns2
IN MX 10 mail
IN A 10.10.0.10
ns1 IN A 10.10.0.2
ns2 IN A 10.10.0.3
mail IN A 10.10.0.11
log IN A 10.10.0.10
www IN A 10.10.1.1
ftp IN A 10.10.1.10
web IN CNAME www
2.5 创建反向区文件127.0.0.rev和10.10.rev
;127.0.0.rev
$TTL 1d
@ IN SOA localhost. root.localhost. (
2010050101 1h 15m 1w 1d )
IN NS localhost.
1 IN PTR localhost.
;10.10.rev
$TTL 1d
@ IN SOA log.example.com. root.log.example.com. (
2010050101 1h 15m 1w 1d )
IN NS ns1.example.com.
IN NS ns2.example.com.
10.0 IN PTR log.example.com.
11.0 IN PTR mail.example.com.
1.1 IN PTR www.example.com.
10.1 IN PTR ftp.example.com.
2.6 使用rndc来控制dns服务器
a)产生rndc控制文件
rndc-confgen -a
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
b)测试rndc和域名解析效果
启动前检查配置文件和区文件的语法:
named-chechkconf etc/named.conf
named-checkzone "example.com" /var/named/example.com.zone
启动域名服务:/usr/local/named/sbin/named
用rndc查看域名服务器状态:rndc status
测试域名解析:
echo "nameserver 127.0.0.1" >/etc/resolv.conf
host www.example.com
echo "search example.com" >> /etc/resolv.conf
host www
2.7 有关区文件的一些说明
区文件(zone file)包含2个部分:分析器命令和资源记录(Resource Records)
分析器命令有:
$TTL 存活时间(time to live)
$ORIGIN 默认域,区文件中不完整(不以.结尾)的任何域名自动在其后添加默认域,
没有设置此命令时,以named.conf文件中zone语句多指定的域名作为初始域。
$INCLUDE 引入外部文件,注意引入文件的格式要匹配
$GENERATER 创建一系列不同的资源记录
例如:
$ORIGIN 0.10.10.in-addr.arpa.
$GENERATOR 1-3 IN PTR www.example.org.
等同于:
$ORIGIN 0.10.10.in-addr.arpa.
1 IN PTR www.example.org.
2 IN PTR www.example.org.
3 IN PTR www.example.org.
区文件格式:
[name] [ttl] [class] type data
RR中的特殊符号:
; 注释(半角分号)
@ 代表当前域名,named.conf文件中zone语句指定的初始域,或$ORIGIN 指定的默认域
() 括号允许跨行
* 通配符(仅由name字段使用)
[name] 字段表示记录的实体(通常是一个主机或域),连续相同的[name],可以省略除第一个外的[name]字段,例如:
www IN 10.10.0.1
IN 10.10.0.10
IN 10.10.0.11
后面记录的时间跟前面一条记录相同时,或区文件开头使用了$TTL命令设置了默认的值,可以省略[ttl]字段。例:
www 3600 IN 10.10.0.1
ftp IN 10.10.0.10
mail 1d IN 10.10.0.11
SOA 定义一个DNS区
NS 标识区的服务器,授权子域
MX 控制邮件的投递
A 名字到地址的转换
PTR 地址到名字的转换
CNAME 主机的别名
AAAA 名字到IPv6地址的转换
data字段的类容取决于记录类型(type)。例如:类型为A,data字段就是IP地址;SOA记录,data字段就包括区主名字服务器,联系人邮箱等;而MX记录,则包括优先级和邮件主机
举例:
chinaunix.net. 86400 IN SOA ns1.chinaunix.net. postmaster.chinaunix.net. (2010050101 1h 15m 1w 1d)
;上面第一个chinaunix.net.可用@替代,后面的联系人邮件地址postmaster.chinaunix.net.也可缩写为postmaster
IN NS ns1.chinaunix.net.
IN MX 10 mail
IN A 10.10.0.10
ns1 IN A 10.10.0.1
mail IN A 10.10.0.10
区文件SOA记录中的序列号不必连续,但必须单调递增。
3.分离式DNS和view语句
分离式DNS(split dns)实现了不同用户查询域名,返回不同的查询结果,
view语句控制哪些用户能看到哪个view的访问列表、用于view中所有区的一些选项和区本身。
如果启用了view,那么named.conf文件中所有的zone语句都必须在view中出现。
view "internal" {
match-clients { 10.10.0.0/16;};
recursion yes;
zone "example.com" {
type master;
file "internal/example.com.in.zone";
};
};
view "external" {
match-clients { any; };
recursion no;
zone "example.com" {
type master;
file "external/example.com.ex.zone";
};
};
注意:view是按顺序来处理的,所以要先加上限制最严格的view,
如果view次序反了,所有查询都首先匹配any,而不会匹配到10.10.0.0/16,从而造成谁都无法看到内部view了。
4.辅助域名服务器
主配置文件:/etc/named.conf
zone "chinaunix.net" {
type slave;
file "chinaunix.net.zone";
};
为了让辅助域名服务器自动根据主域名服务器自动建立区文件,
需要让运行named服务的用户在相应目录具有写权限
chgrp -R named /var/named
chmod g+w /var/named
主、辅域名服务器同步前需要同步时间:
ntpdate 0.cn.pool.ntp.org && hwclock -w
然后重新启动服务:
killall named && named
5. 单纯的Cacha-Only 域名服务器
仅用于帮助client端向外部dns主机请求查询,没有自己的域名解析数据库。
vi etc/named.conf
options {
directory "/var/named";
pid-file "/var/named/named.pid";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/named_stats.txt";
forward only;
forwarders {
61.139.2.69;
};
};
include "/etc/rndc.key";
6.域名服务器的日志配置
logging {
channel <string>; {
file <logfile>;;
syslog <optional_facility>;;
null;
stderr;
severity <logseverity>;
print-time <boolean>;
print-severity <boolean>;
print-category <boolean>;
};
category <string>; { <string>;; ... };
};
日志中主要有2个概念:channel(通道)和category(类别)。
channel规定了日志应该发往哪里(file、syslog、null、stderr)
category指定了特定类别的日志通个哪个channel来发送。
syslog指定的facility(设备)主要有:kern, user, mail, daemon, auth, syslog, lpr, news, uucp, cron, authpriv, ftp, local0 - local7
severity(严重性):定义消息的等级,critical |error|warning|notice|info|debug[level]|dynamic
print-category yes|no 定义是否输出消息类别
print-severity yes|no 定义是否输出严重级别
print-time yes|no 定义是否输出消息的时间
bind中预定义的日志通道:
default_syslog 发送到syslog、设备为daemon,严重性为info
default_debug 日志记录到文件named.run中,严重性为dynamic
default_stderr 发送到named进程的标准出错设备(stderr),严重性为info
null 丢弃所有消息
client 客户机请求
config 配置文件分析和处理
database 有关数据库操作的信息
default 没有明确分配通道的类别
delegation-only 按delegation-only区对NXDOMAIN的查询
dispatch 把传入的包分发给多个服务器模块
dnssec DNSSEC消息
general 未分类的消息
lame-servers 残缺服务器的错误消息
network 网络操作
notify 有关“区已更改”通知协议的消息
queries 服务器接受到的每个查询的简短日志消息
resolver DNS解析,如客户机的递归查询
security 批准/未批准的请求
unmatched named不能对查询进行分类(错误的类,没有view)
update 有关动态更新的消息
xfer-in 服务器正在接受的区传送
xfer-out 服务器正在发送的区传送
举例:把所有的dns查询日志单独写入一个文件,把lame-servers消息丢掉
logging {
channel queries_log {
file "/var/named/log/queries.log" version 3 size 50m;
severity info;
print-severity yes;
print-category yes;
print-time yes;
};
category queries {
queries_log;
};
7.域名服务器的安全相关
7.1 acl控制语句
acl "inside" {
10.10.0.0/16;
};
zone "example.org" {
type master;
file "example.org.zone";
allow-query { inside; };
};
acl定义的地址匹配列表可以出现在allow-query、allow-transfer、allow-update、allow-recursion、backhole、match-clients等语句中
acl有4个预定义的地址匹配:
any 匹配所有
none 所有都不匹配
localhost 匹配系统上所有本地网络接口地址(环回地址和接口地址)
localnets 匹配所有与本地网络接口地址在同一段的地址块
7.2 以普通用户身份运行named程序
创建用户和组
groupadd named
useradd -g named -s /sbin/nologin -d /var/named -M named
修改目录权限:
chown -R named.named /var/named
chmod -R 700 /var/named
修改named.conf文件:
options {
directory "/var/named";
pid-file "/var/named.named.pid";
statistics-file "/var/named/named.stats";
};
以普通用户权限运行服务:
/usr/local/named/sbin/named -u named
7.3 chroot环境限制named
创建必要的目录:
mkdir -p /var/named/{etc,dev,var/{run,named}}
创建必要的设备文件:
cd /var/named
file /dev/{null,zero,random}
mknod dev/null c 1 3
mknod dev/zero c 1 5
mknod dev/random c 1 8
复制本地时区文件:
cp /etc/localtime etc/
创建bind的配置文件named.conf和zone区文件,并放入相应etc、var/named目录
文件和目录权限修改:
chown -R root.named /var/named
find /var/named -type f -print | xargs chmod u=rw,og=r
find /var/named -type d -print | xargs chmod u=rwx,og=rx
chmod -R ug=rwx,o=rx /var/named/var
启动服务:
/usr/local/named/sbin/named -u named -t /var/named
7.4 TSIG技术
通过使用“事务签名(transaction signature)”来保障服务器之间的通信安全。TSIG能保护主、从服务器之间区传送的安全,并能实现安全的动态更新。
7.4.1使用dnssec-keygen产生加密密钥:
dnssec-keygen -a hmac-md5 -b 512 -n HOST chinaunix
产生公钥:Kchinaunix.+157+56132.key
私钥:Kchinaunix.+157+56132.private
文件内容一般包括以下内容:
Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: hSPUdopy1pDYfu1ZEfTg3GhCWrR4uDB8R9RoQiQ+9x7JNdA97DfWjqe6je8nBe3i855hax3JlVS3yWAvTi4VpQ==
用scp复制密钥到主、从服务器: scp Kchinaunix.+157+56132.key root@10.10.0.253:/root
7.4.2 使用TSIG密钥分别对主、从服务器的named.conf设定:
key "chinaunix" {
Algorithm HMAC_MD5;
secret "hSPUdopy1pDYfu1ZEfTg3GhCWrR4uDB8R9RoQiQ+9x7JNdA97DfWjqe6je8nBe3i855hax3JlVS3yWAvTi4VpQ==";
};
7.4.3 在主服务器named.conf添加:
server 10.10.0.253 { #发往从服务器10.10.0.253的消息用key加密
keys ( chinaunix; };
};
zone "chinaunix.net" {
type master;
file "chinaunix.net.zone";
allow-transfer { key chinaunix; }; //本区传送只允许key
};
7.4.4 在辅助域名服务器named.conf添加:
server 10.10.0.254 { #发往主服务器10.10.0.254的消息用key加密
keys { chinaunix; };
};
7.4.5 验证TSIG技术是否生效:
删除辅助域名服务器的区文件chinaunix.net.zone
同步一下主、从域名服务器的时间
重新启动辅助域名服务器
检查辅助域名服务器的区文件是否自动建立。
7.5 DNSSEC技术
DNSSEC是一套对DNS的扩展,它使用公钥加密,对区数据的来源进行身份验证,并验证其完整性。
私钥用来加密,公钥用来解密。下面以chinaunix.net域来建立DNSSEC配置:
7.5.1 创建密钥对:
ZSK密钥对:dnssec-keygen -a DSA -b 768 -n ZONE chinaunix.net
产生公钥 Kchinaunix.net.+003+49219.key
私钥 Kchinaunix.net.+003+49219.private
密钥文件名包括:key name(chinaunix.net.)、algorithm(001表示RSAMD5,003表示DSA,005表示RSASHA1等)、key tag(此处是49219)
KSK密钥对: dnssec-keygen -a DSA -b 768 -f KSK -n ZONE chinaunix.net
产生的密钥文件为:Kchinaunix.net.+003+03483.key 和 Kchinaunix.net.+003+03483.private
7.5.2 对区文件签名
先在原区文件(chinaunix.net.zone)中引入密钥文件:
$TTL 1d
;chinaunix.net.
@ IN SOA localhost. root.localhost. (
2010050101 1h 15m 1w 1d )
IN NS ns1.chinaunix.net.
IN NS ns2
IN MX 10 mail
IN A 10.10.0.10
ns1 IN A 10.10.0.1
ns2 IN A 10.10.0.2
mail IN A 10.10.0.10
www IN A 10.10.0.11
web IN CNAME www
$INCLUDE Kchinaunix.net.+003+03483.key ;KSK
dnssec-signzone -o chinaunix.net chinaunix.net.zone Kchinaunix.net.+003+49219.key Kchinaunix.net.+003+03483.key
生成区文件的签名后版本:chinaunix.net.zone.signed
同时生成了密钥集文件: dsset-chinaunix.net.
dsset-chinaunix.net.文件内容:
chinaunix.net. IN DS 3483 3 1 5D46B000BC003AF35A9541B57F79923C71036185
chinaunix.net. IN DS 3483 3 2 36EC5EAD7E5C00917E294089EDB01FC64106F1D6C17E8BA749A02C00 E2AF4D61
此密钥集文件用于对密钥做签名
7.5.3 修改named.conf配置文件:
options {
directory "/var/named";
dnssec-enable yes;
dnssec-validation yes;
};
zone "chinaunix.net" {
type master;
file "chinaunix.net.zone.signed";
};
7.5.4 在DNSSEC中,什么是KSK和ZSK ?
ZSK 表示区域签名密钥 (Zone Signing Key) (一种短期密钥)。
如果有足够的时间和数据,加密密钥最终都会被破解。对于 DNSSECv 中使用的非对称密钥或公钥密码系统而言,
这意味着攻击者可通过强力攻击方法或其他方法确定公钥 – 私钥对的私钥部分(该部分用于创建对 DNS 记录的有效性进行验证的签名),从而使 DNSSEC 提供的保护失效。
DNSSEC 使用短期密钥(即区域签名密钥 (ZSK) ) 来定期计算 DNS 记录的签名,同时使用长期密钥(即密钥签名密钥 (KSK) ) 来计算 ZSK 上的签名,以使其可以得到验证,从而挫败了这些破解企图。
ZSK 被频繁更改或滚动,以使攻击者难以“猜测”,而期限较长的 KSK 则经过一个长得多的时段之后才更改(当前的最佳做法是以年为单位设置此时段)。
由于 KSK 对 ZSK 进行签名而 ZSK 对 DNS 记录进行签名,因此只需具有 KSK 即可对区域中的 DNS 记录进行验证。
它是以 授权签名者 (Delegation Signer, DS) 记录形式传递到“父”区域的一个 KSK 示例 。父区域(例如,根区域)使用其自己的、由其自己的 KSK 签名的 ZSK 对子区域(例如, .org )的 DS 记录进行签名
标记和校验DNS数据会产生额外的开销,从而影响网络和服务器的性能
8. 动态更新DNS
下面主要以通过dhcp服务器来动态更新dns的A记录为例:
8.1 创建密钥对:
dnssec-keygen -a hmac-md5 -b 128 -n user dhcp_update
生成了两个密钥文件:Kdhcp_update.+157+53578.key 和 Kdhcp_update.+157+53578.private
公钥密钥文件Kdhcp_update.+157+53578.key的内容如下:
dhcp_update. IN KEY 0 3 157 Vb289/ZfG85RfrP8YTVCGg==
8.2 修改dhcpd.conf文件:
ddns-update-style interim;
ignore client-updates;
key dhcp_update { #更新dns的key,必须的
algorithm hmac-md5;
secret Vb289/ZfG85RfrP8YTVCGg==;
};
zone chinaunix.net. { #要更新的zone区
primary 127.0.0.1; #dns服务器的IP,此处为本机
key dhcp_update;
};
subnet 10.10.1.0 netmask 255.255.255.0 {
rang 10.10.1.10 10.10.1.254;
option routers 10.10.1.1;
option subnet-mask 255.255.255.0;
option domain-name-servers 10.10.0.10 10.10.0.11;
option domain-name "chinaunix.net";
default-lease-time 86400; # 1 day
max-lease-time 259200; #3 days
};
8.3 修改named.conf文件:
options {
directory "/var/named";
};
include "/etc/rndc.key";
controls {
inet 127.0.0.1 allow { 127.0.0.1; } keys { rndc-key: };
key "dhcp_update" {
algorithm hmac-md5;
secret "Vb289/ZfG85RfrP8YTVCGg==";
};
zone "chinaunix.net" {
type master;
file "chinaunix.net.zone";
update-policy {
grant dhcp_update subdomain chinaunix.net. A;
};
};
上面的update-policy语句可以直接用allow-update { key dhcp_update; }; 替代
update-policy语句比allow-update语句能实现更精细的控制,二者不能同时存在。
update-policy语句的规则:
( grant | deny ) identity nametype name [types]
每个规则都说明是允许还是拒绝,一个信息如果与一条规则成功匹配,允许或拒绝立即执行,不再向下检查。
一个匹配是签名与inentity字段匹配,名字与name字段匹配,类型与type字段匹配。
identity 字段指授权更新需要的密钥名
nametype 字段有4个值: name, subdomain, wildcard, 和 self
name 名称:当更新名与name字段中的名字相同时匹配。
subdomain 子域:当更新名是name字段值的子域或name字段本身时匹配。
wildcard 通配名称:当更新名是name字段值的通配名称时匹配。
self 自已:当更新名是信息签名者自身时匹配,name字段被忽略