HowTo-Debian: Bind9

[kase]

Ich übernehme natürlich keine Haftung, wenn ihr euch irgendwas zerschiesst :P

Als erstes installieren wir das Packet mit apt-get (wichtig hierbei ist, dass man die 9 bei bind9 nicht vergisst, sonst wird nur die 8er installed.)

Code: Select all

apt-get install bind9

Nun müsste Bind9 schon laufen, allerdings noch als Root, was wir ja nicht wollen ;)

also machen wir ein

Code: Select all

/etc/init.d/bind9 stop

Wir legen den User bind an:

Code: Select all

useradd -c Bind9-NameServer -s /bin/false bind

Nun legen wir das Verzeichnis

Code: Select all

mkdir /var/run/bind

an und setzen die Rechte auf bind:users

Code: Select all

chown bind:users /var/run/bind/

nun öffnen wir die Datei

Code: Select all

nano /etc/bind/named.conf

und machen folgende Ã?nderungen:
Wir fügen unter dieser Zeile

Code: Select all

        directory "/var/cache/bind";

noch zusätzlich diese Zeile ein:

Code: Select all

        pid-file "/var/run/bind/named.pid";

Strg+O (speichern) Strg X (beenden)

Dann öffnen wir das Startscript von Bind9

Code: Select all

nano /etc/init.d/bind9

Dort ändern wir die Zeile

Code: Select all

OPTS=""

in diese

Code: Select all

OPTS="-n 1 -u bind"

-n 1 legt fest, dass nur ein Prozessor vorhanden ist, da das Packet bei Debian automatisch als MultiProzessor-fähig compiliert wurde. -u setzt den User.
Dann suchen wir diese Zeile:

Code: Select all

            --pidfile /var/run/named.pid --exec /usr/sbin/named -- $OPTS

und machen daraus folgendes:

Code: Select all

            --pidfile /var/run/bind/named.pid --exec /usr/sbin/named -- $OPTS

Desweiteren müssen wir die Rechte ändern, für die Dateien:

Code: Select all

chown bind:users /etc/bind/rndc.key
chown -R bind:users /var/cache/bind/

Jetzt können wir versuchen, bind9 als root wieder zu starten

Code: Select all

/etc/init.d/bind9 start

und können mit "top" und dann "ubind" nachsehen, ob 5 named Prozesse existieren. Da Bind9 multiprozessor und multithread-fähig compiliert wurde, existieren n+4 named Prozesse, wobei n die Anzahl der CPUs ist.

---------------------------------------------------------------------------------
Schnipp !

Nun müssen wir den NameServer konfigurieren:
Wir öffnen wieder die /etc/bind/named.conf

Code: Select all

nano /etc/bind/named.conf

und wir ändern nochmal unseren "Options Teil". Dieser sollte am Ende so aussehen: (bitte aufpassen, dass ganz am Ende bei "auth-nxdomain no; # conform to RFC1035" // gesetzt wird, da der Befehl wegen besserer Ã?bersicht schon weiter oben steht)

Code: Select all

options {
        directory "/var/cache/bind";
        pid-file "/var/run/bind/named.pid";
        notify yes;
        allow-transfer { 195.20.224.97; 195.20.225.34; };
        forwarders { 195.20.224.234; 195.20.224.99; };
        forward first;
        listen-on port 53 { 127.0.0.1; 217.160.xyz.abc; };
        listen-on-v6 { none; };
        allow-query { 127.0.0.1; 217.160.xyz.abc; };
        allow-recursion { 127.0.0.1; 217.160.xyz.abc; };
        auth-nxdomain no;    # conform to RFC1035
//        version "My version is so secret that I even dont know what Im running on";
// Wer seine Bind Version "verstecken" will, kann die beide // vor version entfernen.


        // If there is a firewall between you and nameservers you want
        // to talk to, you might need to uncomment the query-source
        // directive below.  Previous versions of BIND always asked
        // questions using port 53, but BIND 8.1 and later use an unprivileged
        // port by default.

        // query-source address * port 53;

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        // forwarders {
        //      0.0.0.0;
        // };

        // auth-nxdomain no;   # conform to RFC1035

};

Das xyz.abc jeweils immer durch die eigene IP ersetzen.

Ansonsten lässt du alles unverändert, und gehst ganz ans Ende der Datei ( // add entries for other zones below here )

Falls du eine "Reverse Zone" für eine IP brauchst, legst du dort als 1. folgenden Eintrag an: (allerdings hat man bei seinem RootServer eh nur eine IP, und den Reverse Eintrag dafür setzt bereits 1&1, im Normalfall kann man diesen Schritt also einfach überspringen.)

Code: Select all

zone "xyz.160.217.in-addr.arpa" in { 
type master; 
file "/etc/bind/217.160.xyz.zone"; 
allow-query { any; };
};

Beachte bitte den Aufbau deiner IP, dieser ist 217.160.xyz.abc, die letzten 3 Ziffern nach dem letzten . (das abc) tauschen in diesem Eintrag also nirgends auf.

Jetzt legen wir endlich unsere 1. und 2. ... Domain an:

Code: Select all

zone "domain1.tld" in {
type master;
file "/etc/bind/default.zone";
allow-query { any; };
};

zone "domain2.tld" in {
type master;
file "/etc/bind/default.zone";
allow-query { any; };
};

Wir speichern nun alles und beenden nano.

Jetzt müssen wir die ganzen Dateien, die wir in die named.conf eingetragen haben (bei den Zonen) erstellen:

---------------------------
(Muss nur gemacht werden, wenn man einen eigenen Reverse Eintrag gemacht hat)

Code: Select all

nano /etc/bind/217.160.xyz.zone

Code: Select all

$TTL 1W 
@ IN SOA ns.domain1.tld. root.domain1.tld. ( 
2002022501 ; serial 
8H ; refresh 
2H ; retry 
1W ; expiry 
11h) ; minimum 

        IN     NS     ns 
        IN     NS     ns.schlund.de. 
abc     IN     PTR    domain1.de.

Hier wieder den Aufbau der IP beachten: 217.160.xyz.abc, außerdem die Leerzeile am Ende.
----------------------------
(Ab hier geht es wieder für jeden weiter !)

Code: Select all

nano /etc/bind/default.zone

Code: Select all

$TTL 1W
@ IN SOA ns root (
2003022501 ; serial
8H ; refresh
2H ; retry
1W ; expiry
11h) ; minimum

        IN      NS      ns
        IN      NS      ns.schlund.de.
        IN      MX      80 mail

        IN      A       217.160.xyz.abc
        IN      MX      80 mail

*       IN      A       217.160.xyz.abc
        IN      MX      80 mail

ns      IN      A       217.160.xyz.abc
; Fuer die Subdomain NS wird kein MX Eintrag angelegt !

mail    IN      A       217.160.xyz.abc
        IN      MX      80 mail

Die Leerzeile am Ende beachten. Außerdem sollte man beachten, dass diese eine ZoneFile für ALLE Domains zuständig ist, die mit default.zone eingetragen wurden. Hat man einen Fehler in der default.zone, sind möglicherweise ALLE Domains, die mit default.zone eingetragen wurden, nicht mehr zu erreichen.

Der große Vorteil hierbei ist, dass dies eine default.zone ist. Das heißt, diese Zonefile kann bei allen Domains benutzt werden.

Werden eigene spezielle ZoneFiles benötigt, muss man so vorgehen:

named.conf editieren, ganz ans Ende gehen:

Code: Select all

zone "domain3.tld" in {
type master;
file "/etc/bind/domain3.tld.zone";
allow-query { any; };
};

Und dann die domain3.tld.zone nach eigenen Wünschen erstellen, und im /etc/bind Verzeichnis unter domain3.tld.zone abspeichern.

Der Eintrag "serial" in der jeweils dritten Zeile einer Zone-Datei ist die Seriennummer, welche nach jeder Ã?nderung erhöht werden muss, damit andere Nameserver merken, dass sich hier etwas geändert hat. Die Seriennummer muss das Format "YYYYMMDDxx" haben, wobei die ersten acht Zeichen das aktuelle Datum repräsentieren und die letzten beiden Zeichen eine fortlaufende Nummer.

--------------------------------------------------
Schnipp

NameServer neustarten

Code: Select all

/etc/init.d/bind9 restart

Unter /var/log/messages und /var/log/syslog kannst du überprüfen ob dein Nameserver richtig läuft oder Fehlermeldungen ausgibt.

Code: Select all

(tail -20 /var/log/messages; tail -20 /var/log/syslog) | less

Mit folgendem Befehl kannst du überprüfen ob dein Nameserver läuft.

Code: Select all

dig @217.160.xyz.abc domain1.de any
dig @217.160.xyz.abc domain2.de any

Sollte in der Zeile ;; ->>HEADER<<- die Meldung "status: SERVFAIL" erscheinen musst du deine Schritte nochmal überprüfen.
Wird jedoch "status: NOERROR" gemeldet läuft der Nameserver korrekt.

Bei Ã?nderungen an den ZoneFiles muss immer die Serial erhöht/verändert werden, außerdem dauert es 1-2 Tage, bis auch die "anderen" NameServer diese Ã?nderungen "mitbekommen" haben. Natürlich nach einer Ã?nderung immer Bind neustarten ( /etc/init.d/bind9 restart )

Wenn jemand Fehler findet, oder Fragen hat, unbedingt hier posten !

History:
v0.1 24.2.03 HowTo komplett überarbeitet, History eingeführt
v0.2 25.2.03 Bugfix: Wenn man version "..." aktivierte, fehlte am Ende ein ;

[nyxus]

der User sollte noch eine Shell /bin/false bekommen.


Gruß, Nyx

[kase]

Wusste nicht, ob dann nicht alles zusammenbricht, scheint aber zu gehen, HowTo upgedated...

[bjulian]

Hallo kase,

scheint zu funktionieren ...
Aber einen "blutigen Anfänger" würde ich noch nicht drauf loslassen ;-)
Im zitierten Teil sind noch einige - kleine - Fehler, die wohl auf den unterschiedlichen Systemen beruhen ?

Für jeden der oben genannten Einträge musst du eine Zonen-Datei erstellen, die Zonen-Dateien werden im Verzeichnis /etc/bind/ abgelegt.

Dafür muss man in der named.conf dann auch file "/etc/bind9/217.160.132.zone" einstellen, denn sonst wird das file im named Default-Verzeichnis gesucht!

Außerdem meldet bind: keine NS Einträge in zone xy, liegt daran, dass man wohl

Datei: 217.160.142.zone
_______________________________________________________
$TTL 1W
@ IN SOA ns.domain1.de. root.domain1.de. (
2002022501 ; serial
8H ; refresh
2H ; retry
1W ; expiry
11h) ; minimum

IN NS ns
IN NS ns.schlund.de.
123 IN PTR domain1.de.

...
@ IN NS ns
@ IN NS ns.schlund.de.
...
ändern muss (gilt auch für domain1.zone)

Gruss,
Julian

[kase]

hmm, also bei mir ist das standart bind Verzeichnis /etc/bind , ohne die 9, das habe ich nämlich bereits abgeändert, bei Suse ist das /var/named soviel ich weiß.

Edit: ok, das Problem tritt bei mir auch auf, war wohl gestern für mich alles etwas zuviel, werde das HowTo updaten, sowie ich eine einfach Lösung gefunden habe

Edit2: das Directory für Bind ist /var/cache/bind/, deshalb müssten dort auch die Zone Files rein. Da aber Zone Files im cached Directory für bind eigentlich nix verlorn haben, werde ich das HowTo so ändern, dass man die Zone Files auch absolut angibt, dann kann das /var/cache/bind/ Directory bleiben.

[kase]

ok, der Fehler von wegen "zone file not found" müsste nun behoben sein.

Der andere Fehler, den du hattest, liegt daran, dass du mindestens ein Leerzeichen oder TAB vor dem IN stehn haben musst.

Beispiel:

Code: Select all

www     IN     A    IP
ist so in Ordnung. Aber wenn du
IN      A       IP
hast, oder
IN      NS     NS-Server
dann MUSS unbedingt ein Leerzeichen oder TAB vor das IN !

HowTo upgedated !

[bjulian]

Hallo,
sorry

Dafür muss man in der named.conf dann auch file "/etc/bind9/217.160.132.zone" einstellen, denn sonst wird das file im named Default-Verzeichnis gesucht!

Das war wohl ein Tippfehler ... meinte natürlich /etc/bind/

Danke,
Julian

[enjaxx]

Hallo!

irgendwie funktioniert das Stoppen des Servers nicht richtig. RNDC meldet immer "Connection refused". ich hab den rndc.key aus dem /etc/bind in das Home-Verzeichnis des DNS-Users verschoben, aber ich gebe im Startskript das richtige Key-File an (-k /home/dns/rndc.key). Auch gehört das Key-File dem User DNS und hat die Rechte 600.

Tips?

Georg

[kase]

1. Sicher, dass er überhaupt läuft, Connection refused müsste kommen, wenn er gar nicht läuft, und du ihn trotzdem stoppen willst.

2. Wieso hast du denn die Key File verschoben, und wohin ??? Der User bind hat kein Home Verzeichnis, und falls der aus irgendeinem Grund ein Home Verzeichnis haben sollte, kann er damit rein überhaupt nix anfangen, da er die Shell /bin/false hat ( => Kein SSH, kein FTP, kein Email, NIX ) Nach meinem HowTo dürfte er auch kein HomeVZ haben, da ich die Option fürs Homedirectory weggelassen habe (beim useradd). Und eine KeyFile in dessen Homedirectorry, dass gar nicht existieren dürfte, wird auch zu 99 % nicht funktionieren. Deshalb bin ich mir relativ sicher, dass er überhaupt nicht läuft. Was sagen denn die Logs ?

[captaincrunch]

Einen Verbesserungsvorschlag hätte ich auch noch, wobei das wohl von der jeweiligen Konfiguration des Debian-Systems abhängt :

Du arbeitest mit dem User bind, der in der Gruppe users steckt. Wäre es hier nicht besser (und sicherer), auch eine eigene Gruppe bind anzulegen, und damit zu arbeiten ?

[enjaxx]

Hallo kase,

1. Sicher, dass er überhaupt läuft, Connection refused müsste kommen, wenn er gar nicht läuft, und du ihn trotzdem stoppen willst.

Doch doch, der Server läuft, zumindest laut "ps xaf" :-)

2. Wieso hast du denn die Key File verschoben, und wohin ??? Der User bind hat kein Home Verzeichnis, und falls der aus irgendeinem Grund ein Home Verzeichnis haben sollte, kann er damit rein überhaupt nix anfangen, da er die Shell /bin/false hat ( => Kein SSH, kein FTP, kein Email, NIX ) Nach meinem HowTo dürfte er auch kein HomeVZ haben, da ich die Option fürs Homedirectory weggelassen habe (beim useradd). Und eine KeyFile in dessen Homedirectorry, dass gar nicht existieren dürfte, wird auch zu 99 % nicht funktionieren. Deshalb bin ich mir relativ sicher, dass er überhaupt nicht läuft. Was sagen denn die Logs ?

Ich hab zugegebenermassen mich nicht ganz an Deine Howto gehalten. (Schande über mich ;)) Ich hab den User dns:users benutzt und ihm trotz fehlender Shell ein Home gegeben. Ich wollte einfach alle Files auf beiden Servern (der andere ist ein Suse 7.2 Server) gleich haben. Daher hab ich alles, was DNS angeht in dieses Home-Verz. des Users verschoben. Das Keyfile halt auch. Ich weiss ja leider nicht, was in diesem Keyfile steht, vielleichtg funktioniert es ja nur unter bestimmten Bedingungen, die ja jetzt nicht mehr zutreffen.

Die Logs sagen nur, dass der Server erfolgreich gestartet wurde, von dem fehlgeschlagenen Stop-Versuch steht da nix.

Wie gesagt, es liegt nicht an Deiner Howto, ich wollte nur generell einen Tipp haben, woran das liegen könnte...

Danke, Georg

[kase]

Du arbeitest mit dem User bind, der in der Gruppe users steckt. Wäre es hier nicht besser (und sicherer), auch eine eigene Gruppe bind anzulegen, und damit zu arbeiten ?

Spielt das denn überhaupt eine Rolle, wenn der User als Shell /bin/false hat ? Ich mags eigentlich nicht, 100 Gruppen zu haben. Ich schau am Sonntag nochmal danach, vielleicht hat Debian ja auch eine Gruppe namens noGroup, dann stecke ich ihn darein.

[kase]

Wie gesagt, es liegt nicht an Deiner Howto, ich wollte nur generell einen Tipp haben, woran das liegen könnte...

Danke, Georg

Hi, dann fallen mir da eigentlich nur noch 2 Sachen ein.

1. Ich glaube, das STOP Und RELOAD macht Bind über den localhost Port 953, haste vielleicht irgendeine Firewall, die diesen Port sogar localhost blockt ? Ist dieser überhaupt auf ? netstat -apt

2. Irgendwelche Rechte stimmen noch nicht... vielleicht steht irgendein Error in den Logs bei Reading Key.File ? Ich kann da mom wenig sagen, außer alle möglichen Logs anschauen, was da drinsteht, beim named starten, und ob was neues reingeschrieben wird, beim named stop Versuch.

Wie hast du es denn überhaupt geschafft, dass ganze mit apt-get zu installieren, und dann einfach alles nach /home/bind zu verschieben, oder hast du es nicht mal per apt-get installiert ?

[[tom]]

Klasse, kase. Sehr sinnvoll.

Desweiteren müssen wir die Rechte ändern, für die Dateien:

Code: Select all

chown bind:users /etc/bind/rndc.key
chown bind:users /var/cache/bind/

Ich wär für

Code: Select all

chown -R bind:users /var/cache/bind/

Falls hier Slave-Zonen drin sind, die der User bind updaten soll/muß.

[TOM]

[kase]

direkt nach einem apt-get install bind9 ist das Verzeichnis /var/cache/bind immer leer. Es reicht also, wenn man nur die Rechte vom Verzeichnis ändert. Das macht mein Befehl.

Neu erstellte cache Dateien werden automatisch dem User Bind zugeordnet, da er sie ja selbst erstellt.

Wenn natürlich vorher dort Datein im Verzeichnis vorhanden sind, müsste man deinen Befehl verwenden, da geb ich dir Recht. Ich ändere es trotzdem Mal im HowTo, da dein Befehl immer stimmt, und meiner nur bei einer Neuinstallation, auf dass das HowTo aber eigentlich ja aufbaut.

[[tom]]

direkt nach einem apt-get install bind9 ist das Verzeichnis /var/cache/bind immer leer. Es reicht also, wenn man nur die Rechte vom Verzeichnis ändert. Das macht mein Befehl.

Stimmt. Ich bin von einer bestehenden Installation ausgegangen. Hatte das "apt-get install bind9" schon wieder vergessen. ;-)

Ich ändere es trotzdem Mal im HowTo, da dein Befehl immer stimmt, und meiner nur bei einer Neuinstallation, auf dass das HowTo aber eigentlich ja aufbaut.

Och - ich finde, das HowTo ist auch gut für bestehende Installationen, da bind9 ja per default unter root läuft.

[TOM]

[kase]

Naja, HowTos zu schreiben, die von bestehende Installationen ausgehen, ist IMHO recht schwer, da man nie weiß, wie, was, wohin, womit man es installiert hat.

Gut, bei Debian und apt-get sollte das "einigermaßen" einheitlich sein, aber siehe Fall "enjaxx", der (aus welchem Grund auch immer) Bind9 lieber nach /home installiert hat.

[enjaxx]

Wie hast du es denn überhaupt geschafft, dass ganze mit apt-get zu installieren, und dann einfach alles nach /home/bind zu verschieben, oder hast du es nicht mal per apt-get installiert ?

Doch, mit apt-get installiert und dann einfach alle Dateien dorthin verschoben, wo ich sie brauche :-) Funktioniert auch eigentlich, bis auf das Stoppen. Aber egal, hatte keine Lust mehr zu suchen, also benutze ich jetzt statt "rndc stop" ein "killall -e /usr/sbin/named". Ist zwar nicht so ellegant, funktioniert aber ;)

Georg

[kase]

als kleiner Tipp:

Wenn du schon aller verschiebst, und dann auch noch gegen die Verzeichnisnormen, dann darfst du es auf keinen Fall mit apt-get installieren. apt-get ist ein automatisierter Packetmanager.

Er weiß nun, dass das Packet Bind9 installiert ist, und zwar dahin, wohin es apt-get wollte. Dass das verschieben geklappt hat, war schon mehr als Glück, aber spätestens beim nächsten Bind9 update (bzw security patch), den du mit apt-get update; apt-get upgrade machst, oder bei einem apt-get remove bind9, bricht bei dir ALLES zusammen, da apt-get das installierte bind9 Packet nicht mehr an der Stelle findet, wo es hininstalliert wurde.

Ich würde dir wirklich extrem dringend raten, alles wieder rückgängig zu machen, vor allem sehe ich keinen einzigen Vorteil, aber jede Menge Nachteile, durch das Verschieben.

Aber du kannst mir ja nochmal genau erklären, warum du es vorschoben hast, vielleicht kann ich dir dann ein paar Tipps geben, wie du dein Problem auch im standart Verzeichnis lösen kannst.

[[tom]]

@kase:

Ich hätt noch eine kleine Anregung bei Deinem (und auch Saschas) Howto.

Normalerweise kann man mit dig (oder nslookup) die Version der jeweiligen BIND installation abfragen.

Wer dies verhindern will, sollte

Code: Select all

version "My version is so secret that I even don't know what I'm running on"

oder was einem gerade einfällt in den "options" Block der named.conf eintragen. Dann ist der BIND nicht mehr so "gesprächig". ;-)

[TOM]

[kase]

naja, so schlimm finde ich das nun auch nicht, wenn einer die Version weiß.

Ich meine, die ganzen Script Kiddis probieren eh nur "dumm rum", die testen, ob sie mit dem NameServer was machen können, oder nicht, ich denke mal <1% macht sich den Aufwand, da erst noch die Version rauszufinden.

Aber ich werde es privat mal testen, und als optionaler Schritt ins HowTo einfügen, wenn alles geklappt hat ...

[sascha]

Also bei mir hats geklappt und ich bin auch ein Freund solcher Spielchen ;). Ich werde die Zeile in mein Howto einfügen...

[captaincrunch]

Witzig finde ich das ganze auch, die Frage, ob "Security by obscurity" etwas bringt bleibt trotzdem im Raum stehen ...

[kase]

Witzig finde ich das ganze auch, die Frage, ob "Security by obscurity" etwas bringt bleibt trotzdem im Raum stehen ...

Und mir wäre es auch ganz recht, wenn diese Frage nicht in diesem Thread weiterdiskutiert wird.

Ich werde wie gesagt die Zeile auch in meinem HowTo einfügen, aber ich persönlich werde diese Zeile nicht benutzen (aller höchstens vielleicht privat, da mach ich so Spielchen auch ganz gerne *ggg*)

[[tom]]

Witzig finde ich das ganze auch, die Frage, ob "Security by obscurity" etwas bringt bleibt trotzdem im Raum stehen ...

Es ist eben nur Obscurity - mehr nicht!

[TOM]