Diferencia entre revisiones de «Instalando servidor DNS con bind»

De Wiki Informatica Gobierno Regional
Ir a la navegación Ir a la búsqueda
(Página creada con «== Instalación == Instalación a través de yum. yum -y install bind bind-chroot bind-utils == Actualice el archivo de cache con los servidores DNS raíz == El archiv...»)
 
(Sin diferencias)

Revisión actual - 21:09 16 dic 2015

Instalación[editar]

Instalación a través de yum. 

yum -y install bind bind-chroot bind-utils

Actualice el archivo de cache con los servidores DNS raíz[editar]

El archivo /var/named/named.ca contiene la información de los servidores DNS raíz necesaria para poder iniciar el cache de todo servidor DNS de Internet. Actualice este archivo para evitar problemas para la resolución de algunas zonas ejecutando lo siguiente: 

wget -N http://www.internic.net/domain/named.root -O /var/named/named.ca

También puede ejecutar lo siguiente para lograr el mismo fin. 

dig +bufsize=1200 +norec NS . @a.root-servers.net > /var/named/named.ca

Conviene verificar periódicamente si hay alguna actualización de este archivo. La versión más reciente al momento de redactar este documento corresponde al 3 de enero de 2013.

El archivo debe pertenecer a root y el grupo named. 

chown root:named /var/named/named.ca

Asigne permiso de lectura y escritura para usuario, sólo lectura para grupo y nada para otros (rw-r-----). 

chmod 640 /var/named/named.ca

Firma digital del servidor[editar]

Con la finalidad de mejorar la seguridad, genere una firma digital de 512 bits (el valor predeterminado es 128 bits) para el servidor DNS. Ejecute lo siguiente: 

rndc-confgen -a -r /dev/urandom -b 512 -c /etc/rndc.key

Cambie las pertenencias para que este archivo sea propiedad del usuario root y grupo named: 

chown root:named /etc/rndc.key

Asegure que los permisos de acceso sean lectura y escritura para usuario, sólo lectura para grupo y nada para otros, es decir un permiso 640 (rw-r-----): 

chmod 640 /etc/rndc.key

SELinux y el servicio named[editar]

A fin de que SELinux permita al servicio named trabajar con permisos de escritura para zonas maestras, es decir un esquema de servidor maestro con servidores esclavos o bien como servidor DNS dinámico, utilice el siguiente mandato: 

setsebool -P named_write_master_zones 1

Cualquier archivo de zona que se vaya a utilizar a través del servicio named, debe contar con los contextos de SELinux de usuario de sistema (system_u), rol de objeto (object_r) y tipo zona del servicio named (named_zone_t).

En el siguiente ejemplo se utiliza el mandato chcon para cambiar los contextos del archivo denominado mi-dominio.zone, con el fin de definir los contextos de SELinux que requiere éste: 

cd /var/named/data/
chcon -u system_u -r object_r -t named_zone_t mi-dominio.zone

Lo anterior solamente es necesario si el archivo mi-dominio.zone fue creado fuera del directorio /var/named/data/ y fue movido hacia este último.

Configuración archivo /etc/named.conf[editar]

Edite el archivo /etc/named.conf: 

vi /etc/named.conf

Conviene asegurarse que el archivo /etc/named.conf tenga los contextos correspondientes para SELinux a fin de evitar potenciales problemas de seguridad. 

chcon -u system_u -r object_r -t named_conf_t /etc/named.conf

Referencias[editar]

Obtenido de «https://wiki.gorearaucania.cl/mediawiki/index.php?title=Instalando_servidor_DNS_con_bind&oldid=14»