В главе 3 вы узнаете, как управлять доменными именами для вашего сервера и для любых виртуальных доменов, размещенных в системе. Сейчас мы настроим минимальную конфигурацию для BIND — повсеместно используемого DNSсервера.
Debian предлагает в своем архиве стабильную версию BIND. Мы установим и настроим BIND, а также закрепим его в среде chroot, чтобы он не мог видеть файлы, находящиеся за пределами его собственного дерева каталогов, или получать доступ к ним. Это важная методика безопасности. Термин chroot относится к способу изменения корневой файловой системы (директории /) так, что для процесса действительно недоступна большая часть системы.
Мы также конфигурируем BIND для работы в режиме пользователя nonroot. Таким образом, если ктонибудь дает доступ к BIND, это не дает rootпривилегии или возможности контролировать другие процессы.
Чтобы установить BIND на свой сервер Debian, выполните следующую команду:
Debian загружает и конфигурирует этот файл как интернетсервис. Вы увидите в консоли следующее сообщение:
Setting up bind9 (9.2.41) Adding group "bind' (104) Done.
Adding system user "bind'
Adding new user "bind' (104) with group 'bind1.
Not creating home directory.
Starting domain name service: named.
—
Результат похож на тот, что выводится при установке или удалении других сервисов с поfa. мощью утилиты aptget.
Чтобы поместить BIND в защищенную среду, вы должны создать каталог, в котором эта служба сможет выполняться независимо от других процессов. Вы также запустите ее как непривилегированный пользователь, но только rootпользователь сможет иметь доступ к этому каталог}'.
Сначала остановите сервис, выполнив следующую команду:
Далее отредактируйте файл /etc/def aul t/bi nd9, чтобы демон работал как непривилегированный пользователь bind, изменив корневой каталог на /var/1 ib/named. Измените строку
0PTS="u bind"
на
0PTI0NS="u bind t /var/1ib/namea"
Для обеспечения полноценной среды для работы BIND создавайте необходимые директории в папке /var/1 lb:
Затем переместите каталог config из /etc в /var/1 ib/named/etc:
# mv /etc/bind /var/1ib/named/etcДалее создайте символьную ссылку к новому каталогу config со старого места во избежание проблем, если в будущем BIND будет перемещен:
# In s /var/1ib/named/etc/bind /etc/bindУстановите для использования в BIND нулевые и случайные устройства и зафиксируйте допуск к каталогам:
# mknod /var/1ib/named/dev/null с 1 3 # mknod /var/1ib/named/dev/random с 1 8Затем замените допуск и права собственности на файлы:
# chmod 666 /var/1ib/named/dev/null /var/1ib/named/dev/random # chown R bind:bind /var/1ib/named/var/* # chown R bind:bind /var/1ib/named/etc/bindВы также должны изменить стартовый сценарий /etc/init.d/sysklogd, чтобы попрежнему можно было видеть сообщения в системном журнале. Измените строку
SYSL0GD=""
на
SYSL0GD="a /var/1ib/named/dev/1og"
Теперь перезапустите процесс входа следующей командой:
Вы увидите такое сообщение: Restarting system log daemon: syslogd. Наконец, запустите BIND:
# /etc/init.d/bind9 startПроверьте /var/log/syslog на наличие ошибок. Вы можете просмотреть файл, используя следующую команду:
# less /var/log/syslogВы можете быть уверены, что BIND запущен успешно, если увидите такое сообщение:
Starting domain name service: named.
Теперь нужно проверить, работает ли named без ошибок. Выполнив эту команду, вы должны увидеть следующий результат:
serverl:/home/admin# rndc status
number of zones: 6
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
server is up and running
serverl:/home/admi n#
Если DNS работает неправильно, то вместо предыдущего кода увидите чтото вроде этого:
serverl:# rndc status
rndc: neither /etc/bind/rndc.conf nor /etc/bind/rndc.key was found serverl:# К счастью, наша система DNS работает правильно.
Хотя некоторых людей пугает важность этого процесса, овладение DNS имеет ключевое значение, поскольку от него зависят многие другие службы. Вы увидите, что DNS является критически важным компонентом практически любого интернетсервиса, используемого вашей системой.
На данный момент вы еще не настроили файлы первичной зоны и не сконфигурировали DNS системы для других целей, кроме работы с сервером кэша, который дополняет кэш всякий раз, когда ктонибудь заходит на вебстраницу. Как настраивать первичные и вторичные DNSсерверы, мы покажем вам в главе 3.
samp cleo