Bind的named.conf及各設定檔請教

wish · 發表於 2010-11-27 13:48:35

以下是我架設CentOS 5.5+Bind的named.conf設定檔，紅字是我改的地方，請問這樣改有什麼問題嗎？還是需要補強什麼？

//紅色為改動部分
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
directory    "/var/named";
dump-file    "/var/named/data/cache_dump.db";
      statistics-file "/var/named/data/named_stats.txt";
      memstatistics-file "/var/named/data/named_mem_stats.txt";
query-source port 53;
query-source-v6 port 53;
allow-query    { any; };
};
logging {
      channel default_debug {
            file "data/named.run";
            severity dynamic;
      };
};
view localhost_resolver {
match-clients       { any; };
match-destinations { any; };
recursion yes;
include "/etc/named.rfc1912.zones";
};

由於新版的CentOS 5.5+Bind的設定檔已經跟舊版有些不同，我照著原文說明檔修改如下︰
named.rfc1912.zones是記錄正、反解配置檔的檔案，紅色是我修改的部份。

在最後面增加以下內容：zone "bbs.com" IN {             //定義正解區域 bbs.com type master;
file "bbs.zone";             //定義正解區域檔名 bbs.zone
allow-update { none; };
};
zone "10.168.192.in-addr.arpa" IN { //定義反向域
type master;
   file "bbs.local";          //定義反解檔名 bbs.local
allow-update { none; };
};

以下是我用範例檔改寫的正解檔與反解檔，也麻煩較有經驗的朋友指點那裡需要補強或錯誤的地方。
bbs.zone

$TTL 86400
@                IN SOA dns.pigoo.com. root.pigoo.com. (
                  42       ; serial (d. adams)
                  3H       ; refresh
                  15M       ; retry
                  1W       ; expiry
                  1D )       ; minimum

                        IN NS dns.pigoo.com.
dns.pigoo.com. IN A    192.168.10.200

pigoo.com.       IN MX  10 ms.pigoo.com.
ms.pigoo.com.    IN MX  10 ms.pigoo.com.

pigoo.com.       IN A 192.168.10.200
ms.pigoo.com.    IN A 192.168.10.210

bbs                   IN A 192.168.10.206
www                IN A 192.168.10.220
dns                   IN A 192.168.10.200

forum                IN CNAME bbs
=============================================

pigoo.local

$TTL 86400
@    IN    SOA    dns.pigoo.com. root.pigoo.com. (
                                    1997022700 ; Serial
                                    28800    ; Refresh
                                    14400    ; Retry
                                    3600000 ; Expire
                                    86400 ) ; Minimum

            IN NS       dns.pigoo.com.tw.

206       IN PTR    bbs.pigoo.com.
210       IN PTR    ms.pigoo.com.
200       IN PTR    dns.pigoo.com.

另外我在網路看到舊版Bind有範例用到rndc.key，它的寫法是在named.conf檔的最後一句出現︰
include "/etc/rndc.key";
經我google查詢，它是說該行是定義當更新DNS資料時，使用rndc.key的金鑰加密。
這一行在我的Cent 5.5+Bind並沒有出現，請問有架DNS的朋友有加上這個rndc.key嗎？
請問有用CentOS 5.x + Bind的朋友，如果你的DNS有加rndc.key，那include "/etc/rndc.key";這行是加在named.conf這個檔案，還是加在named.rfc1912.zones這個檔案？
自己維護伺服器首重安全，DNS代管其實是我比較好的選擇，但是域名註冊商的DNS設定筆數太少，多加筆數又需付費，所以乾脆想改為自管，如果大家有對Bind安全性或架設經驗比較熟練，請儘量協助我好嗎？
謝謝！

ezchon · 發表於 2010-11-27 15:55:30

本帖最後由 ezchon 於 2010-11-27 03:57 PM 編輯

W大你的DNS設成這樣只有你自已連得到 192.168.10.X這段外面的人連不到
一定要設成真實的IP, 不可以是你們家內部的這樣你懂了嗎
反解你可以不用管他，反解要給ISP去反解，除非你有一個C (255個IP)
我DNS SERVER是win nt4.0和2003
CentOS我沒用過但原理大都雷同，給你參考

wish · 發表於 2010-11-27 17:11:48

回復 2# ezchon

謝謝你的回覆，你說的問題我知道，目前我還在內部測試，並沒有正式上線，所以我才會使用虛擬IP，我要先知道我這樣設定有什麼問題？或有什麼需要補強的地方？如果經大家檢視後沒有問題了，我就會換成真實IP，不過這也要等換註冊商之後的事情了。

emc88888 · 發表於 2010-11-27 21:21:40

freebsd 6.3的bind中, rndc.key 於 named.conf 內指定:

key "rndc-key" {
   algorithm hmac-md5;
   secret "bR3NwZI1VSciOwOmS3EfWA==";
};
controls {
   inet 127.0.0.1 port 953
            allow { 127.0.0.1; } keys { "rndc-key"; };
};

倒數第二行最後方 keys {} 裡的名稱即為 key 檔的名稱.

以上給w大參考.

wst2080 · 發表於 2010-11-28 13:39:40

本帖最後由 wst2080 於 2010-11-28 01:41 PM 編輯

另外我在網路看到舊版Bind有範例用到rndc.key，它的寫法是在named.conf檔的最後一句出現︰
include "/etc/rndc.key";
經我google查詢，它是說該行是定義當更新DNS資料時，使用rndc.key的金鑰加密。
這一行在我的Cent 5.5+Bind並沒有出現，請問有架DNS的朋友有加上這個rndc.key嗎？
請問有用CentOS 5.x + Bind的朋友，如果你的DNS有加rndc.key，那include "/etc/rndc.key";這行是加在named.conf這個檔案，還是加在named.rfc1912.zones這個檔案？
wish 發表於 2010-11-27 01:48 PM http://bbs.pigoo.com/images/common/back.gif

rndc.key的部分在於單一台DNS的服務是不需要的~~~ 畢竟你可以直接連線進主機直接透過編輯zone File的方式來進行管理!!!

wst2080 · 發表於 2010-11-28 13:43:17

回復 ezchon

謝謝你的回覆，你說的問題我知道，目前我還在內部測試，並沒有正式上線，所以我才會使用虛 ...
wish 發表於 2010-11-27 05:11 PM http://bbs.pigoo.com/images/common/back.gif

問題應該是沒有~~~
不過可能要針對提供服務主機上的Port做管制會比較好~~
例如: iptables 去管制連線進來的Port、流量 ...等等~~~

若真的怕~ 就把SELinux開起來吧~~~~

wish · 發表於 2010-11-28 18:53:00

回復 6# wst2080

你好︰
我這樣設定真的沒什麼問題嗎？
請問你所謂針對主機上的Port做管制，是指除了必要的Port打開，其它的Port都要關閉的意思嗎？
SELinux我需要研究一下！因為我本身有硬體防火牆，所有的主機都是接在硬體防火牆後面，Linux上的軟體防火牆及SELinux功能我都是關閉。

frank5965 · 發表於 2010-11-28 19:35:05

單管一個網域應該不難
DNS 設定時我只是看,Bind Service 有起來....用nslookup 看正解,反解,
OK的話,就沒有再去想太多,應該不太會有問題的

大大可以先將server 設定好, 再用nslookup來這台伺服器查IP,及反查
如果都沒問題的話,再將pigoo.com的DNS改來這台主機
IP都一樣的話,應該是沒有空窗期,即使有,也是很短

至於硬體防火牆和iptables....我會選硬體防火牆,先將所有的連線阻檔,再開要使用的Port
iptables 將一些synfoold之類的功能打開(純粹各人意見)

Selinux 對我而言有點像天書

emc88888 · 發表於 2010-11-28 20:16:10

認同 frank 大的看法.

對外服務的主機除了必要的服務與port外, 其他最好都不要開啟.
SELINUX如果沒十分把握, 先不要啟動, 個人以前的經驗是如果打開設定要改很久, 才能改得出你想要的.

wst2080 · 發表於 2010-11-29 10:24:24

回復 wst2080
你好︰
我這樣設定真的沒什麼問題嗎？
請問你所謂針對主機上的Port做管制，是指除了必要的 ...
wish 發表於 2010-11-28 06:53 PM http://bbs.pigoo.com/images/common/back.gif

目前看上來是沒有甚麼問題~ 關鍵點已經有相當程度的安全性了!
至於我說的就是不僅仰賴著硬體防火牆的防護之外~ 自身提供服務的主機也要有相當程度的防禦能力!
可以建議wish大可以去研究 iptables 玩玩看~ 也有不少的軟路由以及嵌入式Linux網通設備也適用iptables套件當作防火牆來使用~~~

wst2080 · 發表於 2010-11-29 10:25:51

認同 frank 大的看法.

對外服務的主機除了必要的服務與port外, 其他最好都不要開啟.
SELINUX如果沒十分把 ...
emc88888 發表於 2010-11-28 08:16 PM http://bbs.pigoo.com/images/common/back.gif

嗯嗯~
不過SELinux的確可以提高很多安全性(但是也對服務的阻礙有著不小的問題存在)

PS: 這也就是RHCE在於RHEL5課程當中會加以講解並且在以RHCE考試當中要求開啟SELinux

		自動登錄	找回密碼
密碼			立即註冊