配置一个安全的chroot DNS(4)

2024-09-10 00:02:34

字体：大中小

来源：转载

供稿：网友

5、启动并运行bind 9

　　激动人心的时候到了，即将开始我们的处女bind 9运行了。

　　运行以下命令

/usr/local/sbin/named -t /chroot/named -u named -c /etc/named.conf
然后再ps fCnamed 看看？？如果出来类似
UID　　　　PID　PPID　C STIME TTY　　　　　TIME CMD
named　　14023　　 1　0 May27 ?　　　　00:00:00 /usr/local/sbin/named -t /chroot/named -u named -c /etc/named.conf

　　这样的结果，说明成功了，恭喜你！！！

　　每次都这样输入累不累？？所以还是一起来写个shell吧（其实shell真的粉好用，但是一般真要系统地讲解起来又没有意思，所以我尽量在每篇文章中都把shell用上，慢慢就领会到它的好处咯）

vi /chroot/named.start

#多cpu的记得加个 "-n " 参数，才能启用多CPU哦，我也是在别的地方看到的
#
# named命令格式: named [-c 配置文件] [-d 除错级别] [-f|-g] [-n CPU个数]
#　　　　　　　[-p 端口-默认是53] [-s] [-t chroot目录] [-u 执行该命令的用户身份]

cd /chroot/named
#确保除错的debug文件能够以named身份写入
touch named.run #建立该文件
chown named.named named.run #设置文件拥有者为named.named
chmod ug=rw,o=r　 named.run #权限为664
#以named身份，在chroot/named目录中以/etc/named.conf为配置文件执行named程序
#这里的/etc/named.conf是我们用ln s连过去的，参看前文
/usr/local/sbin/named　-t /chroot/named -u named -c /etc/named.conf

　　然后以sh /chroot/named.start 执行此命令就行了，之后在/etc/resolv.conf为自己的DNS地址就可以测试了，当然，也可以用dig命令来查（个人觉得dig命令比nslookup好用，但是Solaris 2.6上默认没有）。

　　6. 控制工具rndc的安装和使用

　　rndc=remote dnc,以前装过bind 8的朋友都知道有个ndc工具，而在bind 9中，更是连远程控制的功能都加上了。说“加上”其实不够恰当，因为rdnc并不是用ndc改的，而是重新写的一个通过tcp协议进行DNS控制的软件。(有什么用？问问做虚拟主机/系统管理的朋友就知道，DNS一般都是用独立主机，如果可以远程reload配置文件，可以方便很多的)。　

　　rndc 原本是应该读取/usr/local/etc/rndc.conf 作为配置文件的,但我们既然是安装chroot的DNS，所以有必要把rndc.conf转到/chroot/named/etc/rndc.conf。好，下面来看看我们的rndc.conf的写法。

options {
　　　　default-server　localhost; //先配置本地的
　　　　default-key　　 "rndckey"; //key的名字
};

server localhost {
　　　　key　　 "rndckey"; //key的名字
};
include "/chroot/named/etc/rndc.key"; //在这个文件中包含了rndckey的值，之所以这样，是因为在rndc.conf和named.conf中都用到这个值，用include方便写自动的shell一些

同样的道理，在/chroot/named/etc/named.conf的也加上需要的语句

controls {
　　　　inet 127.0.0.1 allow { localhost; } keys { rndckey; }; //允许localhost连接
};
include "/etc/rndc.key";

　　接下来，就是要生成/chroot/named/etc/rndc.key 文件了，它是一个采用bASe-64编码加密的长字符串key,我们用DNSsec-keygen命令来生成它:

　　cd /chroot/named/etc
　　/usr/local/sbin/DNSsec-keygen -a HMAC-MD5 -b 256 -n HOST rndc

　　得到一个类似Krndc.+157+30481这样的返回值，这说明已经在当前目录下成功建立了Krndc.+157+30481.key和Krndc.+157+30481.private两个文件。

cat Krndc.+157+30481.private 显示
Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: aoqaT1r9Oz29DIj3VPn6+teHcvBudGAc17qLM4nPOqA=

　在这里，Key后面的那串字符就是我们想要的key了，把它复制下来，然后删除临时文件

rm Krndc.+157+30481.*
vi /chroot/named/etc/rndc.key

key "rndckey" {
　　　　algorithm　　　 "hmac-md5";
　　　　secret　　　　　" aoqaT1r9Oz29DIj3VPn6+teHcvBudGAc17qLM4nPOqA=";
};

　　现在已经配置完成了，建立2个软连接

ln -s /chroot/named/etc/rndc.conf /usr/local/etc/rndc.conf
ln -s /chroot/named/etc/rndc.conf /etc/rndc.conf
Ok,接下来对目前运行的named飞起一腿，强迫让它重新读配置文件
　ps fCnamed
　UID　　　　PID　PPID　C STIME TTY　　　　　TIME CMD
　named　　14023　　 1　0 May27 ?　　　　00:00:00 /usr/local/sbin/named -t /chroot/named -u named -c /etc/named.conf

kill -1 14023　　　　#14023 是named的进程号，至于-1的作用，自己man kill吧
现在来看看我们的rndc是否工作正常
/usr/local/sbin/rndc status 如果现实类似下面的情形就恭喜你咯
number of zones: 2
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
server is up and running

　　如果出现的是rndc: send remote authenticator: permission denied 则肯定上面的步骤中存在问题，请一步步检查吧。

上一篇：个人服务器架设全攻略(56)

下一篇：个人服务器架设全攻略(72)