KZoli: Új oldal, tartalma: „Ez a leírás egy ''cache-only'' BIND-9 DNS kiszolgáló telepítését írja le ''chroot'' fogdába zárva. A ''cache-only'' névszerver később tetszés szerint bőv…”

2018-05-29T21:31:09Z

Új oldal, tartalma: „Ez a leírás egy ''cache-only'' BIND-9 DNS kiszolgáló telepítését írja le ''chroot'' fogdába zárva. A ''cache-only'' névszerver később tetszés szerint bőv…”

Új lap

Ez a leírás egy ''cache-only'' BIND-9 DNS kiszolgáló telepítését írja le ''chroot'' fogdába zárva. A ''cache-only'' névszerver később tetszés szerint bővíthető.

A ''cache-only'' névszerver szolgáltatást rutinszerűen telepíthetjük minden publikus levelező szerverre, webkiszolgálóra, stb. Jogos kérdés, hogy ere a feladatra a monolitikus és terjedelmes BIND-9 kell-e (sokak szerint nem). Más DNS szerverek megismerése, leírása: '''TODO!'''.
==Telepítés==
Debian csomagból történik. Teszteléshez és az adminisztráció megkönnyítésére az alapvető klienseket tartalmazó ''dnsutils'' csomagot is telepítsük:
<pre>apt-get install bind9 dnsutils # Plusz függőség könyvtárak</pre>
A telepítés elindítja a konfigurálatlan névszervert, ezt állítsuk le:
<pre>/etc/init.d/bind9 stop</pre>
===A chroot fogda beállítása===
A jail-t egy írható és futtatható partícióra kell tenni, ez célszerűen külön lehet mount-olva, pl. a ''/srv/chroot/bind'' mountpoint-ra. '''TODO:''' bind-mount illetve a chroot-on belüli szigorítások meggondolása!

Rendezzük be a fogdát:
<pre>mkdir -p -m 755 /srv/chroot/bind
# etc
mkdir /srv/chroot/bind/etc
mv /etc/bind /srv/chroot/bind/etc
chown -R bind:bind /srv/chroot/bind/etc/bind
cp /etc/localtime /srv/chroot/bind/etc/localtime
ln -s /srv/chroot/bind/etc/bind /etc/bind # Security, stb. update-ek miatt
# dev
mkdir /srv/chroot/bind/dev
mknod /srv/chroot/bind/dev/null c 1 3
mknod /srv/chroot/bind/dev/random c 1 8
chmod 666 /srv/chroot/bind/dev/null /srv/chroot/bind/dev/random
# var
mkdir -p /srv/chroot/bind/var/cache/bind
mkdir -p /srv/chroot/bind/var/run/bind/run
chown -R bind:bind /srv/chroot/bind/var/*</pre>
A ''syslog-ng'' használata esetén a chroot-olt bind képes a syslog-ba írni, erre vonatkozó külön beállítás nem szükséges.

A fogda elkészítése után adjuk meg annak útvonalát a bind konfigurációs állományában:
<pre>-rw-r--r-- root root /etc/default/bind9

# BIND chrooted!
OPTIONS="-u bind -t /srv/chroot/bind"</pre>
és indítsuk el a démont:
<pre>/etc/init.d/bind9 start; tail -f /var/log/syslog</pre>
A syslog-ban ellenőrizhető a démon indulása.

===BIND bejegyzése a Tiger által ismert démonok közé===
A DNS szerver a bind Linux felhasználó nevében állandóan fut, így a biztonsági figyelmeztetések elkerülése érdekében be kell azt jegyezni a tigerrc állományba:
<pre>-rw-r--r-- root root /etc/tiger/tigerrc

[...]
Tiger_Listening_ValidUsers='[...]|bind|[...]'
[...]
Tiger_Listening_ValidProcs='[...]|named|[...]'
[...]
Tiger_Running_Procs='[...] /usr/sbin/named [...]'
[...]</pre>

===Kérések és biztonsági riasztások naplózása===
A DNS kérések naplózása azért célszerű, mert ennek alapján lehet a ''Munin'' segítségével monitorozni a szerver tevékenységét, illetve visszautasított kérések naplója a ''fail2ban'' számára szükséges. Ehhez a Bind számára írjuk elő a fentiek syslogon keresztüli logolását (ez alapértelmezésben nincs beállítva):
<pre>-rw-r--r-- root bind /etc/bind/named.conf.options

options {
[...]
};

logging {
channel b_query {
syslog daemon;
print-time yes;
severity info;
};

category default { default_syslog; default_debug; };
category queries { b_query; };
category unmatched { null; };
// Disable some annoying log entries
category lame-servers {null; };
category edns-disabled { null; };
};</pre>
és módosítsuk a syslog beállítását, hogy külön file-ba menjen a napló. A házirendben szereplő ''syslog-ng'' esetében a ''destinations'' rész végére szúrjuk be az alábbiakat:
<pre>-rw-r--r-- root root /etc/syslog-ng/syslog-ng.conf

[...]
# Bind 9 separate logging
destination d_bind9_queries
{
file ("/var/log/bind9/query.log"
owner(root)
group(adm)
);
};
destination d_bind9
{
file ("/var/log/bind9/bind9.log"
owner(root)
group(adm)
);
};
[...]</pre>
A ''filters'' rész végére írjuk be az alábbiakat:
<pre>-rw-r--r-- root root /etc/syslog-ng/syslog-ng.conf

[...]
# Bind 9 separate logging
filter f_bind9_queries
{
level (info) and match ("query:" value ("MESSAGE")) and facility(daemon);
};
filter f_bind9
{
level (info..emerg) and match ("named" value ("PROGRAM")) and facility(daemon);
};
[...]</pre>
Végül a ''logs'' rész elejére (így a ''final'' flag miatt csak az új ''query.log'' logban jelennek meg a normális lekérések, azaz nem zavarják a logcheck-et, stb.) szúrjuk be az alábbiakat:
<pre>-rw-r--r-- root root /etc/syslog-ng/syslog-ng.conf

[...]
# Bind 9 separate logging
log
{
source (s_src);
filter (f_bind9_queries);
destination (d_bind9_queries);
flags(final);
};
log
{
source (s_src);
filter (f_bind9);
destination (d_bind9);
};
[...]</pre>
A változtatásokat a ''syslog-ng'' és a ''bind9'' újraindításával érvényesíthetjük:
<pre>/etc/init.d/syslog-ng restart; /etc/init.d/bind9 restart; tail -f /var/log/syslog</pre>
'''Bug:''' jelenleg a ''syslog-ng'' nem hozza létre a ''/var/log/bind9'' könyvtárat, így azt manuálisan kell elkészíteni.
<pre># Ha a fenti parancs sikertelen volt:
mkdir -m 755 /var/log/bind9
/etc/init.d/syslog-ng restart; /etc/init.d/bind9 restart; tail -f /var/log/syslog</pre>
Remélem, ezt kijavítják.''

Gyorstesztként indítsunk egy lekérést, és nézzük meg, hogy bekerül-e a logba:
<pre>dig @localhost www.debian.org; tail -f /var/log/bind9/query.log</pre>
Gondoskodjunk az új logok rotálásáról:
<pre>-rw-r--r-- root root /etc/logrotate.d/bind9

/var/log/bind9/*.log {
daily
rotate 7
compress
missingok
create 0640 root adm
}</pre>
Végül vegyünk fel egy ''logcheck'' szabályt a (kevéssé releváns) visszautasított kérések kiszűrésére:
<pre>touch /etc/logcheck/ignore.d.server/bind-query-denied
chown root:logcheck /etc/logcheck/ignore.d.server/bind-query-denied
chmod 640 /etc/logcheck/ignore.d.server/bind-query-denied
mcedit /etc/logcheck/ignore.d.server/bind-query-denied</pre>
<pre>-rw-r----- root logcheck /etc/logcheck/ignore.d.server/bind-query-denied

^\w{3} [ :0-9]{11} [-._[:alnum:]]+ named\[[0-9]+\]: client [.:[:xdigit:]]+#[[:digit:]]+: query ($cache$)? '[^']*' denied$
^\w{3} [ :0-9]{11} [-._[:alnum:]]+ named\[[0-9]+\]: client [.:[:xdigit:]]+#[[:digit:]]+: update '[^']*' denied$
</pre>

===Belső hálózati zóna kezelése===
Előfordulhat, hogy adott zónák adatait nem az alapértelmezett nameserverekről szeretnénk megkapni - pl. egy két hálózati interface-szel rendelkező szervergépnél a belhálózati neveket illetve reverse-eket a helyi DNS szerver(ek)ről szeretnénk megkapni (máshonnét nem is lehetne), de az általános DNS feloldásokat nem - azokat "saját hatáskörben" intéznénk. Ilyenkor a belső zónák és a belhálózati IP tartomány reverse-e számára forwarder bejegyzéseket érdemes definiálni a ''/etc/bind/named.conf.local'' állományban:
<pre>-rw-r--r-- bind bind /etc/bind/named.conf.local

[...]
// local domain
zone "OFFICE.MYDOMAIN.COM" {
type forward;
forward only;
forwarders {IP.IP.IP.IP; IP.IP.IP.IP;};
};

// RFC-1918 non-routable IP range (reverse)
zone "10.in-addr.arpa" {
type forward;
forward only;
forwarders {IP.IP.IP.IP; IP.IP.IP.IP;};
};</pre>
ahol ''IP.IP.IP.IP'' a belső hálózati DNS szerver(ek) IP címei (a belhálózati domain nevet és az - RFC-1918 szerinti - IP tartományt módosítsuk az általunk használtra!).

A beállítás arra utasítja a ''named''-et, hogy a megnevezett zóna illetve reverse IP tartomány feloldásait csak a felsorolt nameserver(ek)től kérje.

===Kérések monitorozása a Muninnal===
Amennyiben telepítve van a ''munin-addons'' csomag, a monitorozás az alábbi parancsokkal vehető használatba:
<pre>cp -p /usr/local/share/munin/plugin-conf.d/bind9 /etc/munin/plugin-conf.d/bind9
ln -s /usr/local/share/munin/plugins/bind9 /etc/munin/plugins/bind9
touch /var/lib/munin/plugin-state/bind9.state; chown root:munin /var/lib/munin/plugin-state/bind9.state # Bug lehet...
/etc/init.d/munin-node restart</pre>
Gyorsteszt:
<pre>dig @localhost www.debian.org
telnet localhost 4949
[...]
fetch bind9
> query_A.value 1
> query_other.value 0
> .
quit</pre>

==A cache only DNS használatba vétele==
'''TODO:''' pontosítani!

A Debian telepítés utáni BIND azonnal használható cache-only névszerverként, ha névkiszolgálóként történő használatát előírjuk a ''/etc/resolv.conf'' állományban:
<pre>-rw-r--r-- root root /etc/resolv.conf

[...]
nameserver 127.0.0.1
[...]</pre>
Amennyiben a telepítés alatt álló gép DHCP-n keresztül kap IP-címet, érdemes előírni a DHCP kliensnek, hogy ezt a beállítást hagyja meg elsőként használatos nameservernek (ellenkező esetben a következő IP lease megújításnál bejegyzésünk felülíródhat). Ehhez módosítsuk a ''/etc/dhcp/dhclient.conf'' állományt (vegyük ki a commentet az alábbi sor elől):
<pre>-rw-r--r-- root root /etc/dhcp/dhclient.conf

[...]
prepend domain-name-servers 127.0.0.1;
</pre>
Ezután kérjünk egy DNS feloldást a ''dig'' paranccsal, pl.
<pre>dig www.debian.hu
[...]
;; Query time: 62 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
[...]</pre>
A válasz végén látható, hogy az valóban a helyi névkiszolgálón keresztül érkezett (127.0.0.1) és megfigyelhető a válaszidő is. A kérés ismételt kiadása esetén ez a válaszidő (közel) 0 lesz, jelezve, hogy a feloldás a helyi cache-ből történt.

==Nyilvános DNS szolgáltatás==
Az alábbi beállításokra akkor van szükség, ha a DNS szolgáltatás nyilvános. Ez esetben a ne felejtsük el kitölteni az ''allow-transfer'' (a secondary-k és a NIC felé, ha primary DNS szervert üzemeltetünk) illetve az ''allow-recursion'' (ha van olyan IP tartomány, amely számára mi szolgáltatjuk a teljes DNS-t) részeket a ''named.local.options'' állományban!

'''TODO!'''
===fail2ban integráció===
Egészítsük ki a maintainer által biztosított, a ''named''-re vonatkozó szabályokat úgy, hogy tiltsa a dinamikus update-et is:
<pre>-rw-r--r-- root root /etc/fail2ban/filter.d/named-refused.conf

[...]
failregex = %(__line_prefix)sclient <HOST>#\S+: query(?: $cache$)? '.*' denied\s*$
%(__line_prefix)sclient <HOST>#\S+: update '.*' denied\s*$
[...]</pre>
Adjuk meg a ''bind9.log'' naplót a ''fail2ban'' számára figyelendőnek, és rendeljük hozzá a megfelelő szabályokat:
<pre>-rw------- root root /etc/fail2ban/jail.local

[...]

# TCP only - see http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
[named-refused-tcp]
enabled = true
logpath = /var/log/bind9/bind9.log</pre>
Olvastassuk újra a ''fail2ban'' konfigurációját, és a naplóban ellenőrizzük, hogy megjelent-e a ''named''-re vonatkozó jail:
<pre>/etc/init.d/fail2ban stop; /etc/init.d/fail2ban start; tail -f /var/log/fail2ban.log</pre>
Gyors tesztként '''TODO!'''

===DNS kérés átengedése a bástyagép tűzfalán===
A kifelé menő DNS kérések a tűzfal policy-ban eleve engedélyezettek. Beérkező kérés átengedésére csak akkor van szükség, ha BIND nemcsak cache-only, hanem tényleges névszerverként is üzemel.

Shorewall használata esetén:
<pre>-rw-r----- root root /etc/shorewall/rules

[...]
DNS/ACCEPT ZONE fw
[...]</pre>
engedélyezi a DNS igénybe vételét a ZONE zóna felől. A változtatás érvényesítéséhez a Shorewall-t újra kell indítani:
<pre>/etc/init.d/shorewall restart</pre>

==Irodalom==
* [http://www.falkotimme.com/howtos/debian_bind_chroot/ Bind-Chroot-Howto (Debian)]
* [http://tldp.fsf.hu/HOWTO/DNS-HOWTO-hu/DNS-HOWTO-hu.html DNS HOGYAN]

Bind 9 telepítése (Squeeze) - Laptörténet

KZoli: Új oldal, tartalma: „Ez a leírás egy ''cache-only'' BIND-9 DNS kiszolgáló telepítését írja le ''chroot'' fogdába zárva. A ''cache-only'' névszerver később tetszés szerint bőv…”