Bind DNS sunucusu kurmak için normal şartlar altında bind paketine ihtiyacımız var. Debian/Ubuntu için /etc/bind/ altındaki yapılandırmaları tamamlayıp zone dosyalarını da uygun yere (örneğin /etc/bind/zones) [Fedora/CentOS için ise /etc/named.conf dosyasını yapılandırıp /var/named/ altına zone dosyalarımızı] ekledikten sonra named-checkconf ve named-checkzone (bind-utils paketi ile gelen) ile yapılandırmaları kontrol edip
$ named-checkconf /etc/bind/named.conf.local
$ named-checkzone ozmener.net /etc/bind/zone/ozmener.net.db
named hizmetini başlattıktan sonra DNS sunucumuz hazır. Çalıştığından emin olmak için host, dig ve nslookup kullanabiliriz.
Ama her an internete bağlı bir DNS sunucusunun güvenliği ile ilgili endişe edenler için farklı bir seçenek daha var; bind-chroot. DNS hizmetini veren sürecin yetkilerini kısıtlayarak dosya sistemindeki erişimini bir chroot ortamı ile kısıtlamaya yarayan özel bir yapılandırma.
Fedora üzerinden işlem yaptığımızı varsayarsak öncelikle sisteme bind-chroot'u kurmamız gerek.
$ sudo dnf install bind-chroot bind-utils
bind'ı kurduktan sonra sistemdeki bütün isimleri named olacak. Alan adlarımızı chroot olmayan bind içinde çalışır hale getirdikten sonra öncelikle bu hizmeti durdurup devre dışı bırakalım.
$ sudo systemctl stop named
$ sudo systemctl disable named
Bu aşamada hem named hem de named-chroot hizmetleri devre dışı olmalı. Şimdi chroot ortamımızı hazırlayalım (bu adım öncesinde /var/named/chroot/ altında sadece named pki klasörleri olmalı).
$ /usr/libexec/setup-named-chroot.sh /var/named/chroot/ on
Bu adımdan sonra /etc/named.conf dosyasına /var/named/chroot/etc/named.conf yolundan, /var/named/forward.zone dosyasına ise /var/named/chroot/var/named/forward.zone yolundan erişeceğiz.
Bundan sonra named-chroot hizmetini başlatıp etkinleştirebiliriz.
$ sudo systemctl start named-chroot
$ sudo systemctl enable named-chroot
Güvenlik duvarımız etkindi. DNS için yeni kural ekleyep ayarları uygulayalım:
$ sudo firewall-cmd --permanent --add-service=dns
$ sudo firewall-cmd --reload
İşlem tamam.
---
Hiç yorum yok:
Yorum Gönder