Scribd Logo
Hochladen

Willkommen bei Scribd!

  • 03 - Instalar y Configurar Un Servidor DNS Enjaulado

    Hochgeladen von

    Orlando Boo
    130 Ansichten16 Seiten
    Este documento describe los pasos para configurar un servidor DNS maestro utilizando BIND9. Se explica cómo instalar y configurar BIND9 en una jaula chroot para seguridad, crear zonas y archivos de configuración, establecer un servidor DNS secundario y configurar la autenticación entre los servidores.

    Originalbeschreibung:

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    TXT, PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden
    Este documento describe los pasos para configurar un servidor DNS maestro utilizando BIND9. Se explica cómo instalar y configurar BIND9 en una jaula chroot para seguridad, crear zonas y archivos de configuración, establecer un servidor DNS secundario y configurar la autenticación entre los servidores.

    Copyright:

    © All Rights Reserved
    Als TXT, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    130 Ansichten16 Seiten

    03 - Instalar y Configurar Un Servidor DNS Enjaulado

    Hochgeladen von

    Orlando Boo
    Este documento describe los pasos para configurar un servidor DNS maestro utilizando BIND9. Se explica cómo instalar y configurar BIND9 en una jaula chroot para seguridad, crear zonas y archivos de configuración, establecer un servidor DNS secundario y configurar la autenticación entre los servidores.

    Copyright:

    © All Rights Reserved
    Als TXT, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 16

    InstalaryconfigurarunServidorDNSEnjauladoTSRCarlos

    CerdaDUOCUC2011
    BIND9EsunservidorDNSdecdigoabierto(gratis),esutilizadoporlamayoradlos
    servidoreDNque
    existen
    hoeda.
    DireccinIPprimarioomaestro:192.168.0.110DireccinIPservidorsecundario:192.168.0.111
    Vamosatener2servidoresDNSencasodequefalleelprimero.Seutilizarcomodominio:dnschroo
    t.tsr
    Instalar
    BIND
    ConelsiguientecomandovamosainstalarelservidoBind9
    dnsutils
    sonutilidadesdeDNSquenosservirnmsadelantaparacomprobarelservidor.root@dnschroot:~#
    apt--get
    instalbinddnsutils
    Chroot
    BIND
    VamosarealizarunaJAULA
    anuestroservicioDNS,estolohacemospormedidasdseguridad
    yaque
    nuestro
    servidoDNvaaestarexpuestoINTERNET,
    porendeconestoaislamoselserviciodenuestrarazprincipaldelsistema.Esto
    hacqueservicio
    se
    ejecutcosu
    propio
    usuario
    dentro
    de
    directoriosquenotienenprivilegiosderootporsilleganaquedarcomprometidos
    el
    atacantenopueda
    accederaotrosrecursosdelsistema(estarespropiajaula).DetenemoselservicioBIND.root@
    dnschroot:~#/etc/init.d/bind9
    stopVamosadarlarutadenuestroentornoenjauladoconCHROOT/var/lib/named,paraestomodi
    ficamoslosiguiente:root@dnschroot:~#nano
    /etc/default/bind9
    Buscamoslasiguientelnea:OPTIONS="--u
    bind"Ylamodificamosparaquequedeas:OPTIONS="--u
    bind--t/var/lib/named"
    LuegocreamoslosdirectoriosnecesariosparalajaulaconCHROOT
    root@dnschroot:~#mkdir--p/var/lib/named/etc
    root@dnschroot:~#mkdir/var/lib/named/dev
    root@dnschroot:~#mkdir--p/var/lib/named/var/cache/bind
    root@dnschroot:~#mkdir--p/var/lib/named/var/run/bind/run
    AhoravamosamoverlaconfiguracindeBindde/etc/a/var/named/etc
    (JAULA)
    root@dnschroot:~#mv/etc/bind/var/lib/named/etc
    Creamosunlinksimblicoentre
    laconfiguracin
    viejalanuevaparantener
    problemascuandoseactualiceBind:
    root@dnschroot:~#ln--s/var/lib/named/etc/bind/etc/bind
    CreamoslosdispositivosnecesariosparalaJaula(dudas:manmknod)
    root@dnschroot:~#mknod/var/lib/named/dev/nullc13
    root@dnschroot:~#mknod/var/lib/named/dev/random
    c18
    Ahoranosquedamodificarlospermisos:
    root@dnschroot:~#chmod666/var/lib/named/dev/*
    root@dnschroot:~#chown--Rbind:bind/var/lib/named/var/*
    root@dnschroot:~#chown--Rbind:bind/var/lib/named/etc/bind
    ConloanterioryatenemosnuestrajaulacreadaBintiene
    spropiespaci
    dedirectoriosparasusprocesos.Ahoradebemosmodificarrsyslogdparaquese
    registrenlos
    eventos
    dBind:
    root@dnschroot:~#nano
    /etc/default/rsyslog
    Modificamosestalneaparaququedas:
    RSYSLOGD_OPTIONS="--a/var/lib/named/dev/log"
    Ahoradebemosmodificarelarchivoresolv.confysololodejamoscon2lneas:
    root@dnschroot:~#nano
    /etc/resolv.conf
    search
    dnschroot.tsr
    nameserver127.0.0.1
    Reiniciamosrsyslogd:
    root@dnschroot:~#/etc/init.d/rsyslogrestart
    Stoppinenhancesyslogdrsyslogd.
    Starting
    enhancesyslogdrsyslogd.
    root@dnschroot:~#
    IniciamosBIND
    root@dnschroot:~#/etc/init.d/bind9
    start
    Startingdomainnameservice...:bind9.
    root@dnschroot:~#
    Estospasosse
    deben
    repetirpara
    eservidorsecundario.
    ConfigurarServidorMaestro
    Terminadalapartedeinstalacindebemosconfigurar,loprimeroarealizares
    quenvipeticionesexternashacieservidorDNS
    de
    nuestro
    IScualquier
    otro,vamosautilizarlosdegoogle8.8.8.8
    root@dnschroot:~#nano/etc/bind/named.conf.options
    /forwarders{
    /0.0.0.0;
    /};
    Lodebemosdejaras:
    forwarders
    {
    8.8.8.8;
    };
    Ahoradebemoscrearnuestrazonaquenoesmsqueloquevaamanejar
    nuestrodominiodnschroot.tsr
    root@dnschroot:~#mkdir/etc/bind/zones
    root@dnschroot:~#nano/etc/bind/zones/master_dnschroot.tsr
    $TT3D
    @INSOA
    ns1.dnschroot.tsr.hostmaster.dnschroot.tsr.(
    200808161;serial,fechaAAAA--MM--DD
    serial
    8H;refrescamiento,ensegundos
    2reentrar,
    segundos
    4Wexpira,
    segundos
    1D);minimo,segundos
    ;
    TXT
    "CURSO
    TS2011servicio
    dDNS"
    NSns1;DireccionInetdelservidordedominio
    Nns2
    MX10mail;ExchangerdeMailprimario
    localhost127.0.0.1
    ns1192.168.0.110
    ns2192.168.0.111
    wwwCNAMEns1
    EsteesunarchivodeZonabsicodondedeclaramoseldominodnschroot.tsr,los
    servidoresdedominions1yns2,ademsdeclaramoscomoservidorweb(www)
    ns1peropodra
    sercualquierotroservidordondetenganinstaladoApache.
    Ahoravamosaeditarelsiguientearchivo:
    root@dnschroot:~#nano/etc/bind/named.conf.local
    zone
    "dnschroot.tsr"{
    typemaster;
    file"/etc/bind/zones/master_dnschroot.tsr";
    };
    ParaqueestofuncionebiendebemosestartrabajandoconIPESTATICA
    yno
    DHCP,porlomismovamosadejarnuestraIPestatica:
    root@dnschroot:~#nano
    /etc/network/interfaces
    allow--hotplug
    eth0
    autoeth0
    iface
    eth0
    inetstatic
    address192.168.0.110
    gatewa192.168.0.1
    netmask255.255.255.0
    network
    192.168.0.0
    broadcast
    192.168.0.255
    root@dnschroot:~#/etc/init.d/networkingrestart
    Running/etc/init.d/networkingrestartisdeprecatedbecauseitmaynotenable
    againsomeinterfaces...(warning).
    Reconfiguringnetworkinterfaces...StartingAvahimDNS/DNS--SDDaemon:
    avahi--daemon.
    StoppingAvahimDNS/DNS--SDDaemon:avahi--daemon.
    done.
    root@dnschroot:~#
    ConestopodemosprobarnuestroservidorMASTER(paracomprobar
    que
    esta
    todoOK):
    VamosadetenernuestroservicioDNSyprobaremosunping(nodeberamos
    tenerrespuesta)ya
    quelosDNS
    estn
    desactivados.
    root@dnschroot:~#/etc/init.d/bind9
    stop
    Stoppingdomainnameservice...:bind9waitingforpid3387todie.
    root@dnschroot:~#
    VerificamosquenuestrosDNSestnapuntandoa127.0.0.1yelsearcha
    dnschroot.tsr
    root@dnschroot:~#nano
    /etc/resolv.conf
    search
    dnschroot.tsr
    nameserver127.0.0.1
    RealizaremoselPING:
    root@dnschroot:~#ping--c
    www.google.cl
    ping:unknowhost
    www.google.cl
    IniciamosBINDyprobamoselPINGnuevamente
    root@dnschroot:~#/etc/init.d/bind9
    start
    root@dnschroot:~#ping--c
    ns1.dnschroot.tsr
    PINns1.dnschroot.tsr
    (192.168.0.11056(84bytes
    odata.
    64bytesfrom
    192.168.0.110:icmp_req=1ttl=64time=0.021ms
    64bytesfrom
    192.168.0.110:icmp_req=2ttl=64time=0.034ms
    ------ns1.dnschroot.tsrpinstatistic------
    2packetstransmitted,2received,0%packetloss,time1002ms
    rttmin/avg/max/mdev=0.021/0.027/0.034/0.008ms
    root@dnschroot:~#
    root@dnschroot:~#hostns1.dnschroot.tsr
    ns1.dnschroot.tsrhaaddress
    192.168.0.110
    root@dnschroot:~#
    root@dnschroot:~#hostwww.dnschroot.tsr
    www.dnschroot.tsrisaaliasforns1.dnschroot.tsr.
    ns1.dnschroot.tsrhaaddress
    192.168.0.110
    Porltimomodificamoselarchivo/etc/bind/named.conf.optionsyagregamosla
    siguiente
    lnea:
    Scolocarriba
    dllneforwarders.
    root@dnschroot:~#nano/etc/bind/named.conf.options
    dnssec--enable
    yes;
    Ahoravamosacrearunallavesegura(paraquelacomunicacinentreel
    servidorMASTERySECUNDARIOseaencriptada)
    root@dnschroot:~#dnssec--keygen
    --ahmac--md5--b
    128--n
    hosdnschroot.tsr
    Kdnschroot.tsr.+157+17251
    root@dnschroot:~#ls
    Kdnschroot.tsr.+157+17251.keyKdnschroot.tsr.+157+17251.private
    root@dnschroot:~#catKdnschroot.tsr.+157+17251.key
    dnschroot.tsr.
    IN
    KEY5115kR2nmgYnCi2NvvSK/z1zMg==
    root@dnschroot:~#
    Hayqueguardarloqueestaconnegritayaqueloutilizaremosmsadelante.
    Ahoramodificaremoselarchivo:
    root@dnschroot:~#nano/etc/bind/named.conf
    Yagregamoslosiguiente:
    include
    "/etc/bind/rndc.key";
    key"TRANSFER"{
    algorithm
    hmac--md5;
    secret"------HASHKEY------";
    };
    serverIP.DEL.DNS.SECUNDARIO{
    keys{
    TRANSFER;
    };
    };
    DondediceHASHKEYcolocaslaclavequegeneramosanteriormente.Yluego
    reiniciamoselservidorBind.
    Enmicasoquedaraas:
    include
    "/etc/bind/rndc.key";
    key"TRANSFER"{
    algorithm
    hmac--md5;
    secret"kR2nmgYnCi2NvvSK/z1zMg==";
    };
    server
    192.168.0.11{
    keys{
    TRANSFER;
    };
    };
    ReiniciamosBIND
    root@dnschroot:~#/etc/init.d/bind9
    restart
    Stoppingdomainnameservice...:bind9waitingforpid4008todie.
    Startingdomainnameservice...:bind9.
    root@dnschroot:~#
    root@dnschroot:~#digns1.dnschroot.tsr
    <<>Di9.7.<<>ns1.dnschroot.tsr
    ;;globaloptions:+cmd
    ;Gotanswer:
    ;-->>HEADER<<--opcodeQUERY,
    status:
    NOERROR,
    id24893
    ;;flags:qraardra;QUERY:1,ANSWER:1,AUTHORITY:2,ADDITIONAL:1
    ;QUESTION
    SECTION:
    ;ns1.dnschroot.tsr.INA
    ;;ANSWERSECTION:
    ns1.dnschroot.tsr.259200INA192.168.0.110
    ;;AUTHORITYSECTION:
    dnschroot.tsr.259200INNSns1.dnschroot.tsr.
    dnschroot.tsr.259200INNSns2.dnschroot.tsr.
    ;;ADDITIONALSECTION:
    ns2.dnschroot.tsr.259200INA192.168.0.111
    ;;Querytime:1msec
    ;SERVER:
    127.0.0.1#53(127.0.0.1)
    ;WHEN:
    Tue
    Sep113:24:02011
    ;MSG
    SIZErcvd99
    root@dnschroot:~#

    Das könnte Ihnen auch gefallen