Bind的named.conf及各設定檔請教

wish

以下是我架設CentOS 5.5+Bind的named.conf設定檔，紅字是我改的地方，請問這樣改有什麼問題嗎？還是需要補強什麼？

//紅色為改動部分
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
directory     "/var/named";
dump-file     "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
query-source    port 53;   
query-source-v6 port 53;
allow-query     { any; };
};
logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};
view localhost_resolver {
match-clients         { any; };
match-destinations { any; };
recursion yes;
include "/etc/named.rfc1912.zones";
};


由於新版的CentOS 5.5+Bind的設定檔已經跟舊版有些不同，我照著原文說明檔修改如下︰
named.rfc1912.zones是記錄正、反解配置檔的檔案，紅色是我修改的部份。

在最後面增加以下內容：zone "bbs.com" IN {               //定義正解區域 bbs.com    type master;
    file "bbs.zone";              //定義正解區域檔名 bbs.zone
    allow-update { none; };
};
zone "10.168.192.in-addr.arpa" IN {   //定義反向域
type master;
      file "bbs.local";           //定義反解檔名 bbs.local
allow-update { none; };
};


以下是我用範例檔改寫的正解檔與反解檔，也麻煩較有經驗的朋友指點那裡需要補強或錯誤的地方。
bbs.zone

$TTL    86400
@                 IN    SOA    dns.pigoo.com.    root.pigoo.com.   (
                    42        ; serial (d. adams)
                    3H        ; refresh
                    15M        ; retry
                    1W        ; expiry
                    1D )        ; minimum

                           IN   NS   dns.pigoo.com.
dns.pigoo.com.   IN   A      192.168.10.200

pigoo.com.          IN   MX  10   ms.pigoo.com.
ms.pigoo.com.     IN   MX  10   ms.pigoo.com.

pigoo.com.          IN   A   192.168.10.200
ms.pigoo.com.     IN   A   192.168.10.210

bbs                     IN   A   192.168.10.206
www                   IN   A   192.168.10.220
dns                     IN   A   192.168.10.200

forum                  IN   CNAME   bbs
=============================================

pigoo.local

$TTL    86400
@       IN      SOA     dns.pigoo.com.    root.pigoo.com.   (
                                      1997022700 ; Serial
                                      28800      ; Refresh
                                      14400      ; Retry
                                      3600000    ; Expire
                                      86400 )    ; Minimum

              IN   NS         dns.pigoo.com.tw.

206        IN   PTR       bbs.pigoo.com.
210        IN   PTR       ms.pigoo.com.
200        IN   PTR       dns.pigoo.com.


另外我在網路看到舊版Bind有範例用到rndc.key，它的寫法是在named.conf檔的最後一句出現︰
include "/etc/rndc.key";
經我google查詢，它是說該行是定義當更新DNS資料時，使用rndc.key的金鑰加密。
這一行在我的Cent 5.5+Bind並沒有出現，請問有架DNS的朋友有加上這個rndc.key嗎？
請問有用CentOS 5.x + Bind的朋友，如果你的DNS有加rndc.key，那include "/etc/rndc.key";這行是加在named.conf這個檔案，還是加在named.rfc1912.zones這個檔案？
自己維護伺服器首重安全，DNS代管其實是我比較好的選擇，但是域名註冊商的DNS設定筆數太少，多加筆數又需付費，所以乾脆想改為自管，如果大家有對Bind安全性或架設經驗比較熟練，請儘量協助我好嗎？
謝謝！

ezchon

W大你的DNS設成這樣只有你自已連得到 192.168.10.X這段外面的人連不到
一定要設成真實的IP, 不可以是你們家內部的這樣你懂了嗎
反解你可以不用管他，反解要給ISP去反解，除非你有一個C (255個IP)
我DNS SERVER是win nt4.0和2003   
CentOS我沒用過但原理大都雷同，給你參考

wish

回復 2# ezchon

謝謝你的回覆，你說的問題我知道，目前我還在內部測試，並沒有正式上線，所以我才會使用虛擬IP，我要先知道我這樣設定有什麼問題？或有什麼需要補強的地方？如果經大家檢視後沒有問題了，我就會換成真實IP，不過這也要等換註冊商之後的事情了。

emc88888

freebsd 6.3的bind中, rndc.key 於 named.conf 內指定:

key "rndc-key" {
      algorithm hmac-md5;
      secret "bR3NwZI1VSciOwOmS3EfWA==";
};
controls {
      inet 127.0.0.1 port 953
              allow { 127.0.0.1; } keys { "rndc-key"; };
};

倒數第二行最後方 keys {} 裡的名稱即為 key 檔的名稱.

以上給w大參考.

wst2080

另外我在網路看到舊版Bind有範例用到rndc.key，它的寫法是在named.conf檔的最後一句出現︰
include "/etc/rndc.key";
經我google查詢，它是說該行是定義當更新DNS資料時，使用rndc.key的金鑰加密。
這一行在我的Cent 5.5+Bind並沒有出現，請問有架DNS的朋友有加上這個rndc.key嗎？
請問有用CentOS 5.x + Bind的朋友，如果你的DNS有加rndc.key，那include "/etc/rndc.key";這行是加在named.conf這個檔案，還是加在named.rfc1912.zones這個檔案？
wish 發表於 2010-11-27 01:48 PM http://bbs.pigoo.com/images/common/back.gif

rndc.key的部分在於單一台DNS的服務是不需要的~~~ 畢竟你可以直接連線進主機 直接透過編輯zone File的方式來進行管理!!!

wst2080

回復  ezchon

謝謝你的回覆，你說的問題我知道，目前我還在內部測試，並沒有正式上線，所以我才會使用虛 ...
wish 發表於 2010-11-27 05:11 PM http://bbs.pigoo.com/images/common/back.gif

   
問題應該是沒有~~~
不過可能要針對提供服務主機上的Port做管制會比較好~~
例如: iptables 去管制連線進來的Port、 流量 ...等等~~~

若真的怕~ 就把SELinux開起來吧~~~~

wish

回復 6# wst2080

你好︰
我這樣設定真的沒什麼問題嗎？
請問你所謂針對主機上的Port做管制，是指除了必要的Port打開，其它的Port都要關閉的意思嗎？
SELinux我需要研究一下！因為我本身有硬體防火牆，所有的主機都是接在硬體防火牆後面，Linux上的軟體防火牆及SELinux功能我都是關閉。

frank5965

單管一個網域應該不難
DNS 設定時我只是看,Bind Service 有起來....用nslookup 看正解,反解,
OK的話,就沒有再去想太多,應該不太會有問題的

大大可以先將server 設定好, 再用nslookup來這台伺服器查IP,及反查
如果都沒問題的話,再將pigoo.com的DNS改來這台主機
IP都一樣的話,應該是沒有空窗期,即使有,也是很短

至於硬體防火牆和iptables....我會選硬體防火牆,先將所有的連線阻檔,再開要使用的Port
iptables 將一些synfoold之類的功能打開(純粹各人意見)

Selinux 對我而言有點像天書

emc88888

認同 frank 大的看法.

對外服務的主機除了必要的服務與port外, 其他最好都不要開啟.
SELINUX如果沒十分把握, 先不要啟動, 個人以前的經驗是如果打開設定要改很久, 才能改得出你想要的.

wst2080

回復  wst2080
你好︰
我這樣設定真的沒什麼問題嗎？
請問你所謂針對主機上的Port做管制，是指除了必要的 ...
wish 發表於 2010-11-28 06:53 PM http://bbs.pigoo.com/images/common/back.gif

目前看上來是沒有甚麼問題~ 關鍵點已經有相當程度的安全性了!
至於我說的就是不僅仰賴著硬體防火牆的防護之外~ 自身提供服務的主機也要有相當程度的防禦能力!
可以建議wish大可以去研究 iptables 玩玩看~ 也有不少的軟路由以及嵌入式Linux網通設備也適用iptables套件當作防火牆來使用~~~

wst2080

認同 frank 大的看法.

對外服務的主機除了必要的服務與port外, 其他最好都不要開啟.
SELINUX如果沒十分把 ...
emc88888 發表於 2010-11-28 08:16 PM http://bbs.pigoo.com/images/common/back.gif

嗯嗯~
不過SELinux的確可以提高很多安全性(但是也對服務的阻礙有著不小的問題存在)

PS: 這也就是RHCE在於RHEL5課程當中會加以講解 並且在以RHCE考試當中要求開啟SELinux