Siempre me parecieron un excelente recurso a publicar las guías de instalación y configuración de distintos servicios. Sobre todo porque cada uno tiene su forma particular de configurar algunas cosas, y además cada guía suele surgir con una versión en particular del software, y creo que nunca están de más. Además sirve de ayuda-memoria personal, para tenerlo a mano para distintas instalaciones.
BIND DNS
Recientemente tuve que instalar bind y, como ahora tengo un blog donde hacerlo, escribo esta pequeña guía con los pasos que seguí. La idea será ir completándola luego con configuraciones más específicas, pero por lo pronto empecemos con lo básico.
¿Qué es un DNS?
Antes de instalar un servicio es muy importante saber de qué se trata y cuanto más sepamos al respecto, más vamos a entender lo que estamos haciendo y cómo hacerlo mejor. Hace algunos meses publiqué en el blog del Web & Beer un link a un artículo sobre DNS: ¿Cómo funciona el DNS? de Javier Smaldone.
Instalación de bind
Sin lugar a dudas bind es el servidor DNS más difundido, por ello esta guía se dedica a él. Particularmente yo trabajé sobre CentOS, pero como no quería instalarlo con yum (me encanta compilar mis servidores), lo hice directamente desde los fuentes. Partí de esta guía bastante clara, pero fui haciendo algunas modificaciones de acuerdo a las necesidades de la última versión de producción de bind. Adicionalmente, para darle mayor seguridad (y complicarla un poco más, porque me encanta), lo configuré para que corra en un chroot.
Antes de empezar, posiblemente sea necesario quitar versiones anteriores de bind que estén instaladas. Muchas distribuciones de Linux vienen con versiones de bind instaladas, pero si son tan obsesivos como yo, querrán quitarlas e instalar la propia. En CentOS podemos verificar esto con yum y con rpm.
# yum remove bind # rpm -q bind # rpm -e --nodeps bind-9.3.4-6.0.2.P1.el5_2
Para empezar, lógicamente, descargamos los fuentes de la página de descargas de ISC, descomprimimos, configuramos, compilamos e instalamos. Asumismos que, previamente, fueron instaladas las librerías necesarias que generalmente vienen en cualquier Linux. Entre ellas es importante destacar OpenSSL.
# cd /usr/src
# wget http://ftp.isc.org/isc/bind9/9.4.3/bind-9.4.3.tar.gz
# tar zxvf bind-9.4.3.tar.gz
# cd bind-9.4.3/
# ./configure --prefix=/usr \
--sysconfdir=/etc \
--enable-threads \
--localstatedir=/var/state \
--with-libtool \
--with-openssl=/usr/lib
# make && make install
Configurar el entorno
Si había una versión anterior de bind instalada, posiblemente todo esto ya esté hecho, pero no está de más revisarlo. Lo que haremos en este punto es crear un usuario y grupo llamados “named”, y configurar los permisos de las carpetas que vamos a utilizar. Téngase en cuenta que en este caso correremos el proceso en un chroot.
# groupadd named
# useradd -d /var/named -g named -G daemon -s /bin/false named
# mkdir -p /var/named/chroot/etc \
/var/named/chroot/var/named \
/var/named/chroot/var/run \
/var/named/chroot/dev
# mknod /var/named/chroot/dev/null c 1 3
# mknod /var/named/chroot/dev/random c 1 8
# chmod 666 /var/named/chroot/dev/null
# chmod 666 /var/named/chroot/dev/random
# chown -R named:named /var/named
# cp /etc/localtime /var/chroot/etc/
# echo "nameserver 127.0.0.1" > /etc/resolv.conf
Configurar bind
Ahora vamos a tener que definir los distintos archivos de configuración de bind. Con éstos vamos a definir el comportamiento general del servidor de DNS (en named.conf), definir las claves para utilizar rndc para controlar el demonio, y por último y fundamental, definir las zonas de nuestro DNS. Hay que tener en cuenta que este DNS que configuré yo es público, es decir que va a ser consultado por clientes de redes externas para obtener las IPs de mis dominios. La guía previamente citada, sirve para configurar un DNS de una red local que resuelve dominios externos para clientes de la LAN.
Repasemos los archivos sobre los que vamos a trabajar:
- /var/chroot/etc/named.conf: configuración básica de bind.
- /var/chroot/etc/rndc.conf: configuración de rndc
- /var/chroot/etc/rndc.key: clave de rndc
- /var/chroot/named: en este directorio guardaremos las distintas zonas de nuestro DNS.
Antes que nada, debemos generar la clave para rndc. Siguiendo el ejemplo citado usaremos como clave la palabra “hush”. Para generar el hash debemos usar el comando mmencode.
# mmencode hush # nuestro password aHVz # esto es lo que devuelve mmencode ^C # salimos con Ctrl+C
Esa clave es la que vamos a utilizar en nuestros archivos de configuración.
En el rndc.conf ponemos:
// this file is used by the rndc utility
options {
// what host should rndc attempt to control by default
default-server localhost;
// and what key should it use to communicate with named
default-key "rndc-key";
};
server localhost {
// always use this key with this host
key "rndc-key";
};
key "rndc-key" {
// how was the key encoded
algorithm hmac-md5;
// what's the password
secret "aHVz";
};
// secret was generated by running mmencode on command line
// and then entering a secret phrase
Luego, en nuestro rndc.key ponemos:
key "rndc-key" {
algorithm hmac-md5;
secret "aHVz";
};
Notesé que en ambos casos estamos utilizando el hash que generamos, pero para mayor seguridad sería conveniente generar un hash más largo.
Editado 25/12/2008 13:12: Un detalle importante es que los archivos rndc.conf y rndc.key hay que copiarlos a /etc para que cuando nuestro script del init.d llame a rndc, éste encuentre sus archivos de configuración.
# cp /var/named/chroot/etc/rndc.* /etc/
Luego el named.conf
// This is a configuration file for named (from BIND 9.0 or later).
// It would normally be installed as /etc/named.conf.
//
// Changed to match secure example from LASG 5/17/00
// Changed to match Linux Journal example 9/17/00
// Added new "view' sections to stop fingerprinting of Bind 9.x per
// Bugtraq 1/31/00
// Added rndc key stuff per DNS & Bind (Rev. 4) Chapter 11
// added use-id-pool and more comments based on above chapter
options {
// Directory where bind should create files if
// not explicitly stated
directory "/var/named";
// whom do we allow to do zone tranfers
allow-transfer { 192.168.1.0/24; };
// tell Bind to check the names in zone files
// since it no longer does this by default
// (unimplemented 9.3.0+)
check-names master warn;
// sets the size of something or other to 20Mb
datasize 20M;
// sets the size of the journal to 5Mb
max-journal-size 5M;
// where should Bind put a dump of its cache
// if told to dump it
dump-file "named_dump.db";
// how often should bind check for new
// interfaces toi listen on. we turn
// this off by setting it to 0
interface-interval 0;
// specify what interfaces/ips to listen on
// as the default is all of them
listen-on { 1.2.3.4; 2.3.4.5; 127.0.0.1; };
// define a mximum size of cached records
// new in Bind 9.x
max-cache-size 20M;
// where to right stats of memory usage
// Bind 9.x doesn't recognize this yet
memstatistics-file "named.memstats";
// where to put out pid file
// absolute path since we don't want
// it in /var/named
pid-file "/var/run/named.pid";
// force Bind to use port 53 for its
// network operation to other DNS
// servers (Bind 9 uses high ports
// by default). Makes firewalling easier
// query-source address * port 53;
// transfer-source * port 53;
// notify-source * port 53;
// where to dump Bind server stats
statistics-file "named.stats";
// force Bind to be "more" random in assiging
// message ids
// use-id-pool yes;
// If the chaos view below doesn't work
// for some reason, still give out a bogus
// answer for Bind version requests
version "This is not the port you're looking for.";
// keep stats on a zone basis
zone-statistics yes;
};
controls {
// this allows rndc to be used from the localhost
// to talk to bind on the loopback interface
// using the key defined as 'rndc-key'
inet 127.0.0.1 allow { localhost; } keys { rndc-key; };
};
// the rest of the key configuration is in
// /etc/rndc.conf and the key itself is in
// /etc/rndc.key
key "rndc-key" {
// how was key encoded
algorithm hmac-md5;
// what is the pass-phrase for the key
secret "aHVz" ;
};
logging {
channel named_info {
// log to syslog instead of a file
syslog;
// include the category of the event in the log
print-category yes;
// include the severity of the event in the log
print-severity yes;
// include the time of the event in the log
print-time yes;
};
// Processing of client requests
category client { named_info; };
// named.conf parsing and processing
category config { named_info; };
// Messages relating to internal memory structures
category database { named_info; };
// This is the default for any category not specifically defined
category default { named_info; };
// The catch-all. Anything without a category of its own
category general { named_info; };
// Uncomment if you dont want to know about lame server.
// Leave commented and it defaults to the
// value of default above
// category lame-servers { null; };
// The NOTIFY protocol
category notify { named_info; };
// Network operations
category network { named_info; };
// DNS resolution like recursive lookups, etc..
category resolver { named_info; };
// Approval and denial of requests
category security { named_info; };
// Dynamic updates
category update { named_info; };
// Queries. Duh.
category queries { named_info; };
// Zone transfers received
category xfer-in { named_info; };
// Zone transfers sent
category xfer-out { named_info; };
};
zone "." IN {
type hint;
file "named.ca";
};
zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
allow-update { none; };
};
include "/var/named/zones.list";
Estos archivos los tomé del ejemplo original pero tuve que hacer algunas modificaciones. Una importante a notar es que comenté la parte donde se forzaba el puerto del bind. Esto es un error de seguridad importante que se descubrió hace relativamente poco y a partir del cual bind (en la versión 9) empezó a utilizar puertos aleatorios mayores al 1024 para consultar otros DNS. Esto es para contrarrestar ataques de DNS Cache Poisoning.
Luego cambié la línea de listen-on, para definir que escuche en todas mis interfaces de red públicas. Yo puse IPs 1.2.3.4 y 2.3.4.5, pero allí deberían ir las IPs en las que ustedes quieran que su DNS escuche.
Por último, cambié la definición de vistas que no me hacía falta por una mera declaración de las zonas principales y agregué al final un include de un archivo /var/named/zones.list.
En ese archivo es donde definiré la lista de archivos con las zonas para cada uno de mis dominios.
Por ejemplo:
[root@tail-f]# cat var/named/zones.list
zone "domain.com.ar" { type master; file "/var/named/zones/domain.com.ar.db"; };
Y luego, en el archivo /var/named/zones/domain.com.ar.db defino la zona en sí.
[root@tail-f# cat var/named/zones/domain.com.ar.db
$TTL 14400
@ IN SOA ns1.domain.com.ar. root.domain.com.ar. (
2008120300
14400
3600
1209600
86400 )
domain.com.ar. 14400 IN NS ns1.domain.com.ar.
domain.com.ar. 14400 IN NS ns2.domain.com.ar.
domain.com.ar. 14400 IN A 1.2.3.4
ftp 14400 IN A 1.2.3.4
localhost 14400 IN A 127.0.0.1
mail 14400 IN A 1.2.3.4
pop 14400 IN A 1.2.3.4
smtp 14400 IN A 1.2.3.4
www 14400 IN A 1.2.3.4
domain.com.ar. 14400 IN MX 10 mail
domain.com.ar. 14400 IN TXT "v=spf1 a mx ip4:1.2.3.4 ?all"
domain.com.ar. 14400 IN SPF "v=spf1 a mx ip4:1.2.3.4 ?all"
Editado 23/12/2008 13:32: Por sugerencia de Walruz incluyo el registro SPF. Como bien dice él, a partir de la versión 9.4, bind acepta la definición de registros del Sender Policy Framework, un estandar de IETF (RFC 4408) para la verificación del remitente del email. Para mayor información, este artículo (en inglés) es bastate completo.
Configurar el init.d
Por último, queda instalar el script en el init.d para arrancar nuestro servicio y configurarlo de manera que corra en un chroot. Esto es muy sencillo, pero la versión que voy a dar es específica para Red Hat/CentOS. En otras distribuciones posiblemente cambie la forma de implementación.
Básicamente lo que vamos a necesitar es el script de init.d que levante el servicio con el siguiente comando:
named -u -t /var/named/chroot/
Para ello, en CentOs tendremos nuestro script del init.d y la definición de los parámetros en /etc/sysconfig/named. De esta forma:
[root@tail-f]# cat /etc/sysconfig/named # This option will run named in a chroot environment. ROOTDIR="/var/named/chroot/" # These additional options will be passed to named at startup. # Don't add .t here, use ROOTDIR instead. #OPTIONS=""
Cuando nuestro script inicie el servicio, cargará las variables de /etc/sysconfig/named y verificará si definimos un directorio ROOTDIR para levantar el servicio con ese directorio como chroot.
Luego copiamos nuestro script al init.d y ejecutamos chkconfig.
# cp named /etc/init.d/ # chmod 700 /etc/init.d/named # chkconfig --add named # chkconfig named on
Descargas
Los archivos a descargar son varios, así que hice un tar con los archivos de ejemplo que utilicé yo, incluyendo también las zonas por default para dominios locales y el named.ca que tiene las IPs de los root DNS.
Descargar: bind.conf.tar.gz
Buen articulo.. deberias explicar tambien que a partir de 9.4, Bind ya acepta los registros SPF, para poco a poco poder ir sacando los registros SPF de los TXT y ponerlos en su lugar.
Saludos,
W
Tenés razón, gracias. Ahí lo agregué.
Muy Bueno lo voy a tener en cuenta para la proxima. Tambien deberias tener un blog en datawebhosting que saque los feed de este blog. Una empresa sin blog, no es una empresa web 2.0.
Gracias!
Lo del blog del Dataweb lo pensé pero no quería armarlo y después no actualizarlo nunca jeje. Pero posiblemente el año que viene, que lanzaremos una nueva versión del sitio, ahí podamos incluir un blog institucional, donde al menos republiquemos las cosas de acá y las novedades.
Saludos!