Pass 1: Installazzjoni tal-pakketti meħtieġa
Qabel ma tibda tikkunsidra l-istruzzjonijiet li ġejjin, irridu ninnutaw li fuq is-sit tagħna diġà hemm gwida tal-konfigurazzjoni ġenerali għad-DNS standard fil-Linux. Nirrakkomandaw li nużaw eżattament il-materjal jekk għandek tissettja s-settings għaż-żjara tas-soltu lil siti tal-internet. Sussegwentement, se nuru kif is-server lokali tad-DNS lokali mal-parti tal-klijent huwa installat.Fl-aħħar ta 'dan il-proċess, inti tiġi nnotifikat li l-pakketti kollha ġew miżjuda b'suċċess mas-sistema. Wara dan, mur fil-pass li jmiss.
Pass 2: Setup Globali ta 'Server DNS
Issa rridu nuru kif il-fajl tal-konfigurazzjoni prinċipali jiġi editjat, kif ukoll liema ringieli huma miżjuda hemmhekk. Aħna mhux se nitkellem fuq kull linja separatament, peress li se tieħu ħafna ħin, barra minn hekk, l-informazzjoni kollha meħtieġa hija disponibbli fid-dokumentazzjoni uffiċjali.
- Tista 'tuża kwalunkwe editur tat-test biex teditja oġġetti ta' konfigurazzjoni. Noffru biex jinstallaw nano konvenjenti billi jidħlu fis-sudo yum installa nano fil-console.
- Il-pakketti kollha meħtieġa jitniżżlu, u jekk diġà huma preżenti fid-distribuzzjoni, inti tirċievi notifika "ma twettaq xejn."
- Aħna se nipproċedu biex neditjaw il-fajl innifsu. Iftaħha permezz ta 'sudo nano /etc/named.conf. Jekk meħtieġ, ibdel l-editur tat-test mixtieq, allura s-sekwenza tkun kif ġej: sudo VI /etc/named.conf.
- Hawn taħt aħna nippreżentaw il-kontenut li għandek bżonn tiddaħħal fil-fajl miftuħ jew tivverifikaha ma 'diġà eżistenti billi żżid linji nieqsa.
- Wara dan, agħfas Ctrl + o biex tirreġistra l-bidliet.
- M'hemmx għalfejn tibdel l-isem tal-fajl, ikklikkja fuq Enter.
- Ħalli Editur tat-Test Via Ctrl + X.
Peress li diġà ntqal qabel, il-fajl tal-konfigurazzjoni se jeħtieġu ċerti linji li jispeċifikaw ir-regoli ġenerali għall-imġiba tad-DNS Server.
//
// jismu.conf.
//
// ipprovdut minn pakkett aħmar tal-ponot tal-kpiepel biex jiġi kkonfigurat il-Bind ISC msemmija (8) DNS
Server bħala nameserver tal-caching biss (bħala Resolver LocalHost DNS biss).
//
// Ara / UNSR / Share / Dok / Bind * / Kampjun / Per eżempju emplokkati fajls ta 'konfigurazzjoni.
//
Għażliet {
Isma 'fuq il-port 53 {127.0.0.1; 192.168.1.101;}; ### kaptan dns ip ###
# Isma 'fuq-V6 Port 53 {:: 1; };
Direttorju "/ var / jismu";
Dump-File "/Var/named/data/cache_dumpum.db";
STATISTIKA-File "/Var/named/data/nanam_stats.txt";
Memstatistics-File "/Var/named/data/nannam_mem_stats.txt";
Ħalli mistoqsija {localhost; 192.168.1.0/24;}; ### medda IP ###
Ħalli t-trasferiment {localhost; 192.168.1.102; }; ### Skjavi DNS IP ###
/*
- Jekk qed tibni server tad-DNS awtorevoli, ma tippermettix ir-rikursjoni.
- jekk qed tibni server Recursive (Caching) DNS, għandek bżonn tippermetti
Rikursjoni.
- Jekk is-server tad-DNS rikursivi tiegħek għandu indirizz IP pubbliku, trid tippermetti l-aċċess
Kontroll għall-mistoqsijiet tal-utenti leġittimi tiegħek. Fin-nuqqas li tagħmel hekk
Kawża lis-server tiegħek biex isir parti minn Amplifikazzjoni ta 'DNS fuq skala kbira
Attakki. L-implimentazzjoni tal-BCP38 fin-netwerk tiegħek kieku ħafna
Tnaqqas il-wiċċ ta 'attakk bħal dan
*/
Rikursion Iva;
DNSSEC-Enable Iva;
Validazzjoni tad-DNSSEC Iva;
DNSSEC-LooSaside Auto;
/ * Mogħdija għall-ISC DLV Ewlenin * /
Bindkeys-File "/etc/named.iscdlv.key";
Direttorju tal-Keys Immexxi "/ VAR / imsemmi / dinamiku";
Pid-File "/Ranamed/named.pid";
sessjoni-keyfile "/ur/named/session.key";
};
Qtugħ {
Kanal default_debug {
Fajl "Data / TMAMED.RUN";
Severità dinamika;
};
};
żona "." F '{
Tip ħjiel;
Fajl "Named.ca";
};
Żona "Unixmen.local" f '{
Tip Master;
Fajl "forward.unixmen";
Ippermettu-aġġornament {Xejn; };
};
Żona "1.168.192.in-addr.arpa" f '{
Tip Master;
Fajl "reverse.unixmen";
Ippermettu-aġġornament {Xejn; };
};
Inkludi "/etc/named.rfc1912.zones";
Inkludi "/etc/named.root.key";
Kun żgur li kollox huwa espost eżattament kif muri hawn fuq, u mbagħad mur fil-pass li jmiss.
Pass 3: Il-ħolqien ta 'żona diretta u b'lura
Għal informazzjoni dwar is-sors, is-server DNS juża żoni diretti u inversi. L-dirett jippermettilek tirċievi indirizz IP bl-isem ospitanti, u r-ritorn permezz tal-IP jagħti isem ta 'dominju. L-operazzjoni korretta ta 'kull żona għandha tingħata regoli speċjali, li l-ħolqien tagħhom noffru aktar.
- Għal żona diretta, aħna noħolqu fajl separat mill-istess editur tat-test. Imbagħad il-sekwenza se look like dan: sudo nano / ivar/named/forward.unixmen.
- Inti tiġi nnotifikat li hija oġġett vojt. Paste il-kontenut li ġej hemm:
$ TTL 86400.
@ F'SOA MasterDns.UnixMen.local. root.unixmen.local. (
2011071001; Serial.
3600; Riffriskar.
1800; Retry.
604800; Skappi
86400; TTL minimu
)
@ Fil NS Masterdns.UnixMen.local.
@ Fil Sekondarji NS Sekondarji .local.
@ Fl-192.168.1.101
@ Fl-192.168.1.102
@ Fl-192.168.1.103
MasterDns fl 192.168.1.101
Sekondarji fl-192.168.1.102
Klijent f '192.168.1.103
- Ħlief il-bidliet u għalaq l-editur tat-test.
- Aħna issa nduru għaż-żona ta 'wara. Hija teħtieġ fajl /VAR/named/reverse.unixmen.
- Dan se jkun ukoll fajl vojt ġdid. Daħħal hemm:
$ TTL 86400.
@ F'SOA MasterDns.UnixMen.local. root.unixmen.local. (
2011071001; Serial.
3600; Riffriskar.
1800; Retry.
604800; Skappi
86400; TTL minimu
)
@ Fil NS Masterdns.UnixMen.local.
@ Fil Sekondarji NS Sekondarji .local.
@ FIL PTR UNIXMEN.Local.
MasterDns fl 192.168.1.101
Sekondarji fl-192.168.1.102
Klijent f '192.168.1.103
101 Fil PTR Masterdns.unixmen.local.
102 FIL-PTR SEKONDARIRDNS.ONIXMEN.LOCAL.
103 Fil PTR client.unixmen.local.
- Meta l-iffrankar, tbiddilx l-isem tal-oġġett, imma sempliċement agħfas iċ-ċavetta Enter.
Issa l-fajls speċifikati se jintużaw għaż-żona diretta u b'lura. Jekk meħtieġ, għandek teditjahom sabiex tbiddel xi parametri. Tista 'wkoll taqra dwarha fid-dokumentazzjoni uffiċjali.
Pass 4: Bidu Server DNS
Wara li tlesti l-istruzzjonijiet preċedenti kollha, diġà tista 'tibda s-server DNS sabiex fil-futur huwa faċli li tivverifika l-prestazzjoni tagħha u tkompli twaqqaf parametri importanti. Il-kompitu jitwettaq kif ġej:
- Fil-console, Daħħal Sudo SystemLL Enable msemmija li żid server DNS biex Autoload għall-bidu awtomatiku meta tibda s-sistema operattiva.
- Ikkonferma din l-azzjoni billi ddaħħal il-password tas-superuser.
- Inti ser tkun notifikata bil-ħolqien ta 'referenza simbolika, li jfisser li l-azzjoni kienet ta' suċċess.
- Mexxi l-utilità permezz SystemTL Start imsemmi. Tista 'twaqqafha bl-istess mod, tissostitwixxi biss l-għażla tal-bidu.
- Meta tintwera t-tieqa pop-up tal-awtentikazzjoni, ikteb il-password mill-għerq.
Kif tistgħu taraw, il-ġestjoni tas-servizz speċifikat titwettaq skond l-istess prinċipju bħall-utilitajiet standard l-oħra kollha, għalhekk, m'għandu jkun hemm l-ebda problema b'dan anke fl-utenti novizzi.
Pass 5: Nibdlu l-parametri tal-firewall
Għall-operazzjoni korretta tas-server DNS, ser ikollok bżonn li tiftaħ Port 53, li jitwettaq permezz tal-firewall standard Firewalld. Fit-terminal, ser ikollok bżonn tintroduċi biss tliet kmandi sempliċi:
- L-ewwel karatteristiċi fehma tal-firewall-cmd -Permanent --Dd-port = 53 / TCP u huwa responsabbli għall-ftuħ tal-Port tal-Protokoll TCP. Daħħalha fil-console u kklikkja fuq Enter.
- Int trid tirċievi n-notifika "Suċċess", li tindika l-applikazzjoni b'suċċess tar-regola. Wara dan, daħħal il-firewall-CMD -Permanent --DD-Port = 53 / UDP String biex tiftaħ il-Port tal-Protokoll UDP.
- Il-bidliet kollha se jiġu applikati biss wara li jerġgħu jibdlu l-firewall, li jitwettaq permezz tal-kmand firewall-CMD-RELLOAD.
M'hemmx iktar tibdil fil-firewall biex jipproduċi. Żommha kontinwament fl-istat fuq, sabiex ma jkunx hemm problemi ta 'aċċess.
Pass 6: Aġġusta d-drittijiet ta 'aċċess
Issa se jkun meħtieġ li jiġu stabbiliti l-permessi prinċipali u d-drittijiet ta 'aċċess biex jipproteġu l-funzjoni tas-server tad-DNS u tipproteġi lill-utenti tas-soltu mill-abbiltà li jibdlu l-parametri. Aħna se nagħmluha b'mod standard permezz ta 'Selinux.
- Il-kmandi sussegwenti kollha għandhom jiġu attivati f'isem is-superuser. Biex kontinwament ma jidħlux il-password, aħna jagħtik parir biex jippermettu aċċess għall-għeruq permanenti għas-sessjoni terminali attwali. Biex tagħmel dan, ikteb SU fil-console.
- Speċifika l-password tal-aċċess.
- Wara dan, ikteb alternattivament il-kmandi li ġejjin biex toħloq konfigurazzjoni ta 'aċċess ottimali:
CHGGP jismu -r / var / jismu
Hown -V Root: Imsemmi /etc/named.conf
RESTORECON -RV / VAR / jismu
Restorecon /etc/named.conf.
Fuq dan, il-konfigurazzjoni ġenerali tas-server DNS prinċipali titlesta. Jibqa 'biss li jeditjaw diversi fajls ta' konfigurazzjoni u żbalji tat-test. Noffru dan kollu biex insemmu l-pass li jmiss.
Pass 7: Ittestjar għal żbalji u tlesti l-issettjar
Nirrakkomandaw li tibda bil-kontrolli tal-iżbalji sabiex fil-futur ma għandhiex għalfejn tibdel il-fajls tal-konfigurazzjoni li fadal. Huwa għalhekk li aħna se nikkunsidrawha kollha fi stadju wieħed, kif ukoll nagħtu kampjuni ta 'produzzjoni xierqa ta' kmandi għall-ittestjar.
- Daħħal l-imsejjaħ-checkconf /etc/named.conf fit-terminal. Dan jippermettilek tiċċekkja l-parametri globali. Jekk, bħala riżultat, l-ebda produzzjoni segwita, dan ifisser li kollox huwa kkonfigurat b'mod korrett. Inkella, titgħallem il-messaġġ u, imbuttar minnha, issolvi l-problema.
- Sussegwentement ikollok bżonn tiċċekkja ż-żona diretta billi ddaħħal l-isem ta 'checkalzone
- Kampjun tal-ħruġ huwa kif ġej: Żona Unixmen.Local / In: Serial Mgħobbi 2011071001 OK.
- Bejn wieħed u ieħor l-istess u biż-żona ta 'wara permezz tal-imsemmija-chectalzone unixmen.local /var/named/reverse.unixmen.
- L-output korrett għandu jkun: Żona Unixmen.Local / In: Serial Mgħobbi 2011071001 OK.
- Aħna issa nimxu fuq is-settings tal-interface tan-netwerk prinċipali. Se jeħtieġ li żżid id-data tas-server DNS attwali. Biex tagħmel dan, iftaħ il- / eċċ / sysconfig / network-skripts / IFCFG-ENP0S3 fajl.
- Iċċekkja li l-kontenut huwa kif muri hawn taħt. Jekk meħtieġ, daħħal il-parametri tad-DNS.
Tip = "Ethernet"
Bootproto = "Xejn"
Defroute = "Iva"
Ipv4_failure_fatal = "le"
Ipv6init = "iva"
Ipv6_autoconf = "iva"
Ipv6_defroute = "iva"
Ipv6_failure_fatal = "le"
Isem = "ENP0S3"
UUID = "5D0428B3-6AF2-4F6B-9FE3-4250CD839EFA"
Onboot = "iva"
HWADDR = "08: 00: 27: 19: 68: 73"
IPadDr0 = "192.168.1.101"
Prefix0 = "24"
Gateway0 = "192.168.1.1"
DNS = "192.168.1.101"
Ipv6_peerdns = "iva"
Ipv6_peerroutes = "iva"
- Wara li tiffranka l-bidliet, mur fil-fajl /etc/resolv.conf.
- Hawnhekk għandek bżonn iżżid linja waħda biss: Nameserver 192.168.1.101.
- Mat-tlestija, tibqa 'biss li terġa' tibda n-netwerk jew il-kompjuter biex taġġorna l-konfigurazzjoni. In-netwerk jerġa 'jinbeda mill-kmand tan-Netwerk SystemTt.
Pass 8: Kontroll tas-server DNS installat
Fl-aħħar tal-konfigurazzjoni, tibqa 'biss tivverifika l-operazzjoni tas-server DNS disponibbli wara li tiżdied mas-servizz globali tan-netwerk. Din l-operazzjoni hija mwettqa wkoll bl-użu kmandi speċjali. L-ewwel wieħed minnhom għandu l-forma ta 'ħaffer masterdns.unixmen.local.
Bħala riżultat, produzzjoni għandha tidher fuq l-iskrin, li għandha rappreżentazzjoni simili bil-kontenut speċifikat hawn taħt.
; Ħaffer 9.9.4-Redhat-9.9.4-14.L7 Masterdns.UnixMen.local
;; Għażliet Globali: + CMD
;; Ghandek Tweġiba:
;; - >> Header.
;; Bnadar: QR AA RD RD; Mistoqsija: 1, Tweġiba: 1, Awtorità: 2, Addizzjonali: 2
;; Opt Pseudosection:
; EDNS: Verżjoni: 0, Bnadar:; UDP: 4096.
;; Taqsima tal-Mistoqsijiet:
; Masterdns.unixmen.local. Ġo.
;; Taqsima tat-Tweġiba:
Masterdns.unixmen.local. 86400 fl-192.168.1.101
;; Taqsima tal-Awtorità:
Unixmen.local. 86400 fin-ns Sekondarjidns.unixmen.local.
Unixmen.local. 86400 f'ner masterdns.unixmen.local.
;; Taqsima Addizzjonali:
Sekondarydns.unixmen.local. 86400 fi 192.168.1.102
;; Mistoqsija Ħin: 0 msec
;; Server: 192.168.1.101 # 53 (192.168.1.101)
;; Meta: Wed Awissu 20 16:20:46 IST 2014
;; MSG Daqs RCVD: 125
Kmand addizzjonali jippermettilek titgħallem dwar l-istatus tas-server lokali tad-DNS. Biex tagħmel dan, daħħal nsookup unixmen.local mal-console u kklikkja fuq Enter.
Bħala riżultat, tliet rappreżentazzjonijiet differenti tal-indirizzi IP u l-ismijiet tad-dominju għandhom jintwerew.
Server: 192.168.1.101.
Indirizz: 192.168.1.101 # 53
Isem: Unixmen.local.
Indirizz: 192.168.1.103.
Isem: Unixmen.local.
Indirizz: 192.168.1.101.
Isem: Unixmen.local.
Indirizz: 192.168.1.102.
Jekk il-ħruġ jaqbel mal-wieħed li aħna indikat, dan ifisser li l-konfigurazzjoni titlesta b'suċċess u tista 'tmur taħdem mal-parti tal-klijent tas-server DNS.
Twaqqif tal-parti klijent tas-server DNS
Aħna mhux se nisseparaw din il-proċedura dwar passi individwali, peress li hija mwettqa mill-editjar wieħed biss fajl konfigurazzjoni. Huwa meħtieġ li tiżdied informazzjoni dwar il-klijenti kollha li se jkunu konnessi mas-server, u l-eżempju ta 'tali setup qisu dan:
- Iftaħ il-fajl /etc/resolv.conf permezz ta 'kwalunkwe editur tat-test konvenjenti.
- Żid spag biex tfittex Unixmen.Local Nameserver 192.168.1.101 u NameServer 192.168.1012, li tissostitwixxi l-indirizzi tal-klijenti meħtieġa.
- Meta l-iffrankar, tbiddilx l-isem tal-fajl, imma sempliċement agħfas il-buttuna Enter.
- Wara li tħalli l-editur tat-test, erġa ibda n-netwerk globali permezz tal-kmand tan-Netwerk SystemTt Restart.
Dawn kienu l-punti ewlenin tal-komponent tal-klijent tas-server DNS, li ridna ngħidu. L-isfumaturi l-oħra kollha huma offruti biex jistudjaw billi jaqraw id-dokumentazzjoni uffiċjali jekk meħtieġ.
Testing tas-Server DNS
L-aħħar stadju tal-materjal tal-lum tagħna huwa l-ittestjar finali tas-server DNS. Hawn taħt għandek tara diversi kmandi, li jippermettilek tlaħħaq mal-kompitu. Uża waħda minnhom billi attivazzjoni permezz tal- "terminal". Jekk ma jiġux osservati l-ebda żbalji fir-riżultat, għalhekk, il-proċess kollu jsir b'mod korrett.
Ħaffer masterdns.unixmen.local.
Ħaffer Sekondarydns.unixmen.local.
Ħaffer client.unixmen.local.
nsookup unixmen.local.
Illum tgħallimt dwar it-twaqqif tas-server DNS prinċipali fid-distribuzzjoni ta 'Centos. Kif tistgħu taraw, l-operazzjoni kollha hija ffokata fuq li jidħlu kmandi terminali u fajls ta 'konfigurazzjoni tal-editjar, li jistgħu jikkawżaw ċerti diffikultajiet mill-utenti novizzi. Madankollu, għandek bżonn biss issegwi b'mod preċiż dawn l-istruzzjonijiet u aqra r-riżultati tal-kontrolli sabiex kollox imur mingħajr ebda żbalji.