Предположим у нас есть уже работающий и настроенный Bind сервер. Но для повышения его безопасности требуется запустить его в окружении chroot. Дополнительных пакетов в систему устанавливать не потребуется, можно просто переделать уже установленный в системе bind сервер для запуска в chroot.
Подготовка директорий chroot
Для запуска из chroot я создал директорию по пути /var/named/chroot. Внутри директории chroot я создал каталоги и соответствующие права (сервер bind будет запускаться от пользователя nobody)
/etc – сюда скопировать файлы из корневого /etc, – passwd, group, localtime, а также положить сюда файлы named.conf, rndc.key (файлы group, passwd можно урезать только до пользователей root и nobody)
/dev – права на каталог 755 nobody:nobody, а на файлы в нем 666 root:root – но это не принципиально (какие тут файлы читайте ниже)
/usr – сюда скопировать каталоги и файлы из пакета bind вашей системы, все что предназначалось для корневого /usr уже установленного bind пакета.
Еще один важный момент. Если ваш пакет bind собран с поддержкой openssl, то в каталог /var/named/chroot/usr необходимо положить библиотеку libgost.so по пути в котором эта библиотека лежит в системе. Например у меня эта библиотека находилась по пути /usr/lib/engines/libgost.so, а ее надо скопировать уже по пути /var/named/chroot/usr/lib/engines/libgost.so. Перед копированием библиотеки рекомендую проверить, что ваш openssl пакет уже обновлен до версии openssl-1.0.1g или выше.
/var – внутри /var создал директории ./log ./named ./run ./stat. Все каталоги принадлежат пользователю nobody
Настройка
Генерим новый файл ключа, который хранится в rndc.key
# dnssec-keygen -a HMAC-MD5 -b 128 -n USER rndckey
Эта команда создаст два файла в текущем каталоге. В файле *.private в третьей строке будет находится ключ вида:
PBpLBGUy6QRdCnUMwv9dxw==
Вот этот ключик и вставляем в файлик rndc.key, в каталог /var/named/chroot/etc. Также не забудьте положить в этот каталог все файлы, которые я перечисли выше.
Пример файла rndc.key, лучше на файл выставить права 600 nobody:nobody т.к. bind будет запускаться от этого пользователя
key "rndc-key" {
algorithm hmac-md5;
secret "PBpLBGUy6QRdCnUMwv9dxw==";
};
Теперь создаем файлы в каталоге /var/named/chroot/dev
#mknod /var/named/chroot/dev/null c 1 3
#mknod /var/named/chroot/dev/random c 1 8
В принципе почти все готово. Напоследок кладем в каталог /var/named/chroot/var/named файлы зон (localhost.zone named.local named.root)
Еще раз не забываем проверить права на каталоги для пользователя и группы nobody. На весь каталог в ./chroot/dev, ./chroot./var и на файлик rndc.key+права на этот файл 600.
Пишем или изменяем свой главный конфиг named.conf. Для данных каталогов, он выглядит так.
options {
directory "/var/named";
dump-file "/var/stat/cache_dump.db";
memstatistics-file "/var/stat/named.mem";
statistics-file "/var/stat/named_stats.txt";
pid-file "/var/run/named.pid";
#listen-on { 127.0.0.1; };
version "unknown";
allow-transfer { none; };
allow-recursion { trusted; };
allow-query { any; };
};
acl "trusted" {
localhost;
192.168.0.0/16;
};
logging {
channel default_ch {
file "/var/log/named.log" versions 3 size 100k;
severity info;
print-time yes;
print-category yes;
};
channel security_ch {
file "/var/log/security.log" versions 3 size 100k;
severity info;
print-time yes;
print-category yes;
};
category default { default_ch; };
category security { security_ch; };
};
Не забываем, что пути в named.conf уже ведутся от каталога chroot!
Запуск
Запуск выполняем командой:
/var/named/chroot/usr/sbin/named -u nobody -t /var/named/chroot -c /etc/named.conf
Лучше первый раз выполнить команду с опцией -g, тогда сразу станет ясно где ошибки..
Например, ошибка при отсутствии библиотеки libgost.so из пакета openssl-1.0.1g.
ENGINE_by_id failed (crypto failure)
error:25070067:DSO support routines:DSO_load:could not load the shared library:dso_lib.c:244:
error:260B6084:engine routines:DYNAMIC_LOAD:dso not found:eng_dyn.c:450:
error:2606A074:engine routines:ENGINE_by_id:no such engine:eng_list.c:418:id=gost
initializing DST: crypto failure
exiting (due to fatal error)
А вот нормальный запуск пакета..
показать
Логи и прочюю статистику смотреть в каталоге chroot /var.
Теперь немного меняем скрипты запуска при старте ОС. Я приведу пример переделанного файла /etc/rc.d/rc.bind для запуска из chroot от Slackware 13.1 показать
Управление BIND-ом
Управлять нашим bind сервером можно с помощью команды rndc [command]. Т.к. мы создали ключик сервера, то этот ключик надо каждый раз подсовывать команде rndc
root@gw:/# rndc -k /var/named/chroot/etc/rndc.key status
number of zones: 11
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/0/1000
tcp clients: 0/100
server is up and running
Все команды rndc можно узнать выполнив команду
root@gw:/# rndc -k /var/named/chroot/etc/rndc.key
Usage: rndc [-c config] [-s server] [-p port]
[-k key-file ] [-y key] [-V] command
command is one of the following:
reload Reload configuration file and zones.
reload zone [class [view]]
Reload a single zone.
refresh zone [class [view]]
Schedule immediate maintenance for a zone.
retransfer zone [class [view]]
Retransfer a single zone without checking serial number.
freeze Suspend updates to all dynamic zones.
freeze zone [class [view]]
Suspend updates to a dynamic zone.
thaw Enable updates to all dynamic zones and reload them.
thaw zone [class [view]]
Enable updates to a frozen dynamic zone and reload it.
notify zone [class [view]]
Resend NOTIFY messages for the zone.
reconfig Reload configuration file and new zones only.
stats Write server statistics to the statistics file.
querylog Toggle query logging.
dumpdb [-all|-cache|-zones] [view ...]
Dump cache(s) to the dump file (named_dump.db).
stop Save pending updates to master files and stop the server.
stop -p Save pending updates to master files and stop the server
reporting process id.
halt Stop the server without saving pending updates.
halt -p Stop the server without saving pending updates reporting
process id.
trace Increment debugging level by one.
trace level Change the debugging level.
notrace Set debugging level to 0.
flush Flushes all of the server's caches.
flush [view] Flushes the server's cache for a view.
flushname name [view]
Flush the given name from the server's cache(s)
status Display status of the server.
recursing Dump the queries that are currently recursing (named.recursing)
validation newstate [view]
Enable / disable DNSSEC validation.
*restart Restart the server.
* == not yet implemented
Version: 9.7.1
Последние штрихи
Заметаем присутствие bind в основной системе, чтобы не вносить путаницы:
- Снимаем исполнение с файлика /usr/sbin/named
- Удаляем /etc/named.conf и файлы зон из путей, которые были до перемещения сервера в chroot
