Debagowanie stref bind-a i jego pliku konfiguracyjnego

Podczas ręcznego zarządania strefami i samym bind-em zdarzyć się może, żę omsknie się palec i zrobimy tak zwane typo. Nic strasznego, zacznijmy od podstaw:

named-checkconf /etc/bind/named.conf
named-checkzone domena /var/cache/bind/domena.zone.file
tail –f /var/log/message

named-checkconf /etc/bind/named.conf

named-checkzone domena /var/cache/bind/domena.zone.file

tail –f /var/log/message

Pierwsza komenda sprawdza plik konfiguracyjny named.conf, druga sprawdza czy domena jest poprawnie skonfigurana w danej strefie. Trzecia i ostatnia powie nam co bind-owi się nie podoba i dla czego nie chce się uruchomić.

Typową pomyłką jest ręczna edycja i przeładowanie strefy podpisanej kluczem prywatnym. Bardzo prosty fix na ten problem

Uruchomienie bezpiecznej usługi DDNS na serwerze BIND

Jeżeli nie posiadasz statycznego adresu IP w domu, a potrzebujesz dostęp do nich stały dostęp w łatwy sposób możesz osiągnać swój cel posiadając serwer DNS.

Po stronie klienta generujemy klucze:

# zastąp keyname dowolną nazwą
dnssec-keygen -a HMAC-MD5 -b 512 -r /dev/urandom -n HOST keyname

1 2	# zastąp keyname dowolną nazwą dnssec-keygen -a HMAC-MD5 -b 512 -r /dev/urandom -n HOST keyname

Spowoduje to utworzenie plików Kkeyname.***.key i Kkeyname.***.private, z pliku*.private należy skopiować klucz, który będzie wyglądać podobny:

Key: pRP5FapFoJ95JEL06sv4PQ==

1	Key: pRP5FapFoJ95JEL06sv4PQ==

Po stronie serwera, należy wyedytować plik konfiguracyjny BIND (np. named.conf or named.conf.local) i dodać:

key "keyname." {
  algorithm hmac-md5;
  secret "pRP5FapFoJ95JEL06sv4PQ==";
};

key "keyname." {

algorithm hmac-md5;

secret "pRP5FapFoJ95JEL06sv4PQ==";

};

Następnie zezwalamy na aktualizację stref poprzez dodanie do pliku konfiguracyjnego strefy wpis dotyczący allow-update:

zone "example.com" {
  type master;
  file "master/db.example.com";
  allow-update { key "keyname."; };
};

zone "example.com" {

type master;

file "master/db.example.com";

allow-update { key "keyname."; };

};

Na koniec restartujemy usługę BIND.

Po stronie klienta potrzebujemy czegoś co będzie w stanie wysyłać prośby o aktualizację wpisu dns (np. nsupdate). Poniżej przykładowany scrypt. Należy pamiętać o edycji KEY oraz SERVER

#!/bin/bash
# Script to update DNS zones on a remote server
# Copyright © 2005-2007 - Julien Valroff <julien@kirya.net>
# Parts of the script Copyright © 2001-2002 - Dag Wieers <dag@wieers.com>
 
KEY="/root/Kkeyname.+157+29630.private"
SERVER="ns.domain.com"
LOGFILE="/var/log/syslog"
PPP_IFACE="ppp0"
 
if [ "$PPP_LOCAL" != '' ]; then
   if [ "$PPP_IFACE" != "$PPP_IFACE" ]; then
      echo "$(LANG=C date +'%b %e %X') $(hostname) ddupdate[$$]: ABORTED: Not updating dynamic IP \
        address $PPP_LOCAL (already done for $(ip addr show $PPP_IFACE | awk '/inet/ { print $2 }'))" >>$LOGFILE 2>&1
      exit 0
   fi
   IPADDR=$PPP_LOCAL
   sleep 3
else
   IPADDR=$(ip addr show $PPP_IFACE | awk '/inet/ { print $2 }')
fi
 
(
cat <<EOF | nsupdate -k "$KEY"
server $SERVER
zone example.com
update delete example.com. A
update add example.com. 60 A $IPADDR
update delete mail.example.com. A
update add mail.example.com. 60 A $IPADDR
send
EOF
 
  RC=$?
 
  if [ $RC != 0 ]; then
    echo "$(LANG=C date +'%b %e %X') $(hostname) ddupdate[$$]: FAILURE: Updating dynamic IP $IPADDR on $SERVER failed (RC=$RC)"
    (
        echo "Subject: DDNS update failed"
        echo
        echo "Updating dynamic IP $IPADDR on $SERVER failed (RC=$RC)"
    ) | /usr/sbin/sendmail root
  else
    echo "$(LANG=C date +'%b %e %X') $(hostname) ddupdate[$$]: SUCCESS: Updating dynamic IP $IPADDR on $SERVER succeeded"
  fi
) >>$LOGFILE 2>&1
 
exit $RC

#!/bin/bash

# Script to update DNS zones on a remote server

KEY="/root/Kkeyname.+157+29630.private"

SERVER="ns.domain.com"

LOGFILE="/var/log/syslog"

PPP_IFACE="ppp0"

if [ "$PPP_LOCAL" != '' ]; then

if [ "$PPP_IFACE" != "$PPP_IFACE" ]; then

echo "$(LANG=C date +'%b %e %X') $(hostname) ddupdate[$$]: ABORTED: Not updating dynamic IP \

address $PPP_LOCAL (already done for $(ip addr show $PPP_IFACE | awk '/inet/ { print $2 }'))" >>$LOGFILE 2>&1

exit 0

IPADDR=$PPP_LOCAL

sleep 3

else

IPADDR=$(ip addr show $PPP_IFACE | awk '/inet/ { print $2 }')

(

cat <<EOF | nsupdate -k "$KEY"

server $SERVER

zone example.com

update delete example.com. A

update add example.com. 60 A $IPADDR

update delete mail.example.com. A

update add mail.example.com. 60 A $IPADDR

send

EOF

RC=$?

if [ $RC != 0 ]; then

echo "$(LANG=C date +'%b %e %X') $(hostname) ddupdate[$$]: FAILURE: Updating dynamic IP $IPADDR on $SERVER failed (RC=$RC)"

(

echo "Subject: DDNS update failed"

echo

echo "Updating dynamic IP $IPADDR on $SERVER failed (RC=$RC)"

) | /usr/sbin/sendmail root

else

echo "$(LANG=C date +'%b %e %X') $(hostname) ddupdate[$$]: SUCCESS: Updating dynamic IP $IPADDR on $SERVER succeeded"

) >>$LOGFILE 2>&1

exit $RC

Naprawa błędu „journal out of sync with zone error” – BIND

Zdarzyć się może, że BIND przestanie działać, a podczas próby uruchomienia zobaczymy taki komunikat:

zone example.com/IN: journal rollforward failed: journal out of sync with zone
zone example.com/IN: not loaded due to errors.

1 2	zone example.com/IN: journal rollforward failed: journal out of sync with zone zone example.com/IN: not loaded due to errors.

Najszybszy i najprostrzy sposób naprawy to usunięcie pliku dziennika owej strefy:

rm /var/cache/bind/zones/example.com.jnl

1	rm /var/cache/bind/zones/example.com.jnl

a następnie zrestartowanie usługi

service bind9 restart
# lub
systemctl restart bind9

service bind9 restart

# lub

systemctl restart bind9

Linux – Ukrycie wersji BINDa

Jeżeli nie chcemy by można było sprawdzić z jakiej wersji bind-a korzystamy i zabezpieczyć się przed ewentualnymi botami, które raportują wersję możemy zrobić to poprzez edycję pliku: /etc/bind/named.conf.options:

#w klauzuli options { dodać
version "unknown";
#lub jakiś inny tekst

#w klauzuli options { dodać

version "unknown";

#lub jakiś inny tekst

Resetujemy usługę:

service bind9 restart

1	service bind9 restart

Sprawdzić wersję możemy za pomocą dig:

dig @example.com -c CH -t txt version.bind

1	dig @example.com -c CH -t txt version.bind

Linux – Własny serwer DNS (bind9)

Druga w kolejności z ważnych usług internetowych jest serwer DNS.

O ile moim zdaniem serwer www (Apache/nginx) jest na pierwszym miejscu o tyle DNS są tuż za nim 😉 Usługa dns przydaje się przedewszystkim kiedy obsługujemy własną domenę.

Oto dosyć prosty przepis na własny dns:

apt-get install bind9
#plik konfiguracyjny
vim /etc/bind/named.conf.local
### początek ###
acl slaves {
        ip.adres.secondary.dns;
};

zone "example.com" {
        type master;
        file "/etc/bind/zones/db.example.com";
        allow-transfer { slaves; };
};
### koniec ###
# ustawienie takie zezwala na działanie w trybie master-slave

vim /etc/bind/zones/db.example.com
### poczatek ###
; example.com
$TTL    604800
@       IN      SOA     ns1.example.com. root.example.com. (
                     2006020201 ; Serial
                         604800 ; Refresh
                          86400 ; Retry
                        2419200 ; Expire
                         604800); Negative Cache TTL
;
@       IN      NS      ns1
        IN      MX      10 mail
        IN      A       192.0.2.1
ns1     IN      A       192.0.2.1
mail    IN      A       192.0.2.128
www     IN      A       192.0.2.1
client1 IN      A       192.0.2.201
### koniec ###

apt-get install bind9

#plik konfiguracyjny

vim /etc/bind/named.conf.local

### początek ###

acl slaves {

ip.adres.secondary.dns;

};

zone "example.com" {

type master;

file "/etc/bind/zones/db.example.com";

allow-transfer { slaves; };

};

### koniec ###

# ustawienie takie zezwala na działanie w trybie master-slave

vim /etc/bind/zones/db.example.com

### poczatek ###

; example.com

$TTL 604800

@ IN SOA ns1.example.com. root.example.com. (

2006020201 ; Serial

604800 ; Refresh

86400 ; Retry

2419200 ; Expire

604800); Negative Cache TTL

;

@ IN NS ns1

IN MX 10 mail

IN A 192.0.2.1

ns1 IN A 192.0.2.1

mail IN A 192.0.2.128

www IN A 192.0.2.1

client1 IN A 192.0.2.201

### koniec ###

Każdorazowo po dodaniu pliku ‚strefy’ trzeba zrestartować serwer dns:

service bind9 restart

1	service bind9 restart

P	W	Ś	C	P	S	N
« Gru
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28