HowTo-Debian: Bind9

[neo]

ich hab ein kleines problem, ich bekomme in der /var/log/syslog folgende fehler angezeigt:
Feb 21 19:32:13 pc-reports named[20563]: zone 0.in-addr.arpa/IN: loaded serial 1
Feb 21 19:32:13 pc-reports named[20563]: zone 127.in-addr.arpa/IN: loaded serial 1
Feb 21 19:32:13 pc-reports named[20563]: zone 128.160.217.in-addr.arpa/IN: loaded serial 2003022101
Feb 21 19:32:13 pc-reports named[20563]: zone 255.in-addr.arpa/IN: loaded serial 1
Feb 21 19:32:13 pc-reports named[20563]: dns_master_load: /etc/bind/pc-reports.zone:2: no current owner name
Feb 21 19:32:13 pc-reports named[20563]: zone pc-reports.com/IN: loading master file /etc/bind/pc-reports.zone: no owner
Feb 21 19:32:13 pc-reports named[20563]: dns_master_load: /etc/bind/bsz-bibi.zone:2: no current owner name
Feb 21 19:32:13 pc-reports named[20563]: zone bsz-bibi.de/IN: loading master file /etc/bind/bsz-bibi.zone: no owner
Feb 21 19:32:13 pc-reports named[20563]: zone localhost/IN: loaded serial 1

hab alles streng nach tutorial gemacht(bis auf das ich die sachen in die named.conf.local und named.conf.options rein hab, war bei meiner bind version so..)

wäre nett wenn ihr mir da helfen könnet!

Danke!

P.s.: der inhalt der bsz-bibi.zone:

Code: Select all

$TTL 1W
                @ IN SOA ns.pc-reports.com.     root.pc-reports.com. (
                2003022101                      ; serial
                8H                              ; refresh
                2H                              ; retry
                1W                              ; expiry
                11h)                            ; minimum

                IN NS   ns
                IN NS   ns.schlund.de.
                IN MX   10 mail.pc-reports.com.
                IN A    217.160.128.216
mail            IN A    217.160.128.216
ns              IN A    217.160.128.216
*               IN A    217.160.128.216

[neo]

ok, problem gelöst :)

[kase]

woran lag es denn ?

Und soviel ich weiß, macht man MX Einträge NACH den A Einträgen.

[neo]

vorm @ darf kein leer! :)

Code: Select all

also anstatt:
                @ IN SOA ns.pc-reports.com.     root.pc-reports.com. (
muss:
@                 IN SOA ns.pc-reports.com.     root.pc-reports.com. (

...auch lustig :)

[kase]

stimmt, das ist nicht lustig, sondern richtig.

Das @ ersetzt den TAB vor dem IN, wenn IN also am Anfang einer Zeile steht, muss entweder ein @ oder ein TAB oder ein Leerzeichen hin, beides is nix gut ^^

[kase]

Das HowTo wurde komplett überarbeitet.

Vielen Dank an Sascha, für ein paar sehr nützliche Zeilen im Bereich Options der named.conf, die ich mir aus seinem Suse HowTo abgeguckt habe *ggg*, sowie vielen Dank an Tom, von dem ich das "default.zone System" übernommen habe, und man nun für jede Domain keine eigene ZoneFile mehr braucht.

Alle Ã?nderungen, die ab diesem Zeitpunkt gemacht werden, werden in einer History verewigt.

[[tom]]

Das @ ersetzt den TAB vor dem IN

No Sir!

Das @ ist ein Platzhalter für das $ORIGIN. Wenn kein $ORIGIN angegeben ist, dann ist die Zone, die das Zonefile aufruft das $ORIGIN.

Ein Whitespace hingegen bezieht sich auf den letzten Eintrag. Deswegen hat ja der MX bei

Code: Select all

*      IN      A    217.160.169.200
       IN      MX   80 mx

sich nur auf Subdomains (Joker) bezogen.

[TOM]

[flo]

Besteht allgemeines Interesse an einem HowTo Bind9 in der chroot auf Debian oder ham das alle schon?

Grüße,

flo.

[kase]

Soviel ich weiß, muss man lediglich einen einzigen Parameter bei den Startoptions dafür ändern.

Ob bind nun allerdings als user bind in einer /bin/false läuft, oder als chroot Umgebung, denke ich, macht keinerlei Sicherheitsgewinn aus, zumal man aus den meistens Chroot "ausbrechen" kann.

[kase]

Code: Select all

man named:
       -t directory
              chroot()  to directory after processing the command
              line arguments, but before reading  the  configura­
              tion file.

              Warning:  This option should be used in conjunction
              with the -u option, as chrooting a process  running
              as  root  doesn't enhance security on most systems;
              the way chroot() is defined allows a  process  with
              root privileges to escape a chroot jail.

Oder meinst du gerade etwas ganz anderen ?

[flo]

Gut, die chroot hat wenig Sinn, wenn man das normale Umfeld dafür anpassen muss und die Rechte allgemein heruntersetzt, daß der kleine named schreiben kann.

Es ist nicht unbedingt nur mit dem einen Parameter getan, da meckert er wie eine Ziege. Es stimmt aber, daß das jetzt einfacher ist als mit Bind8.

Ich hab ja nur gefragt. ;-)

Grüße,

flo.

[kase]

War auch überhaupt kein Vorwurf. Mit dem HowTo hier, will ich ja Bind so sicher, wie es nur geht, bekommen.

Sollte es einen weiteren Sicherheitsgewinn bringen, werde ich das natürlich ins HowTo mit aufnehmen.

Ich denke halt nur, wenn bind als eigener user läuft, und sowieso nur rechte auf seine files hat, und dann auch noch in einer /bin/false Umgebung, dann ist da IMHO kein Sicherheitsgewinn bei einer Chroot.

Lass mich aber gerne berichtigen, und werde dann natürlich das HwoTo updaten, wenn es in einer Chroot noch sicherer ist.

[flo]

Sagen wir es mal so ... hier lief unter meinem Vorgänger ein SuSE 6.1 mit der dementsprechenden BIND8-Version als root auf einem Mailserver, worauf man natürlich auch Shellzugriff hatte. Klar, daß der Rechner auch der exponierteste im ganzen Netzwerk war bzw. noch ist ... Teilweise ist der chroot ja aus solchen Verhältnissen entstanden.

Ich denke, ich hab da mit 9.2.1 und -u named schon einiges getan.

Weshalb ich persönlich auch auf den chroot setze - der betreffende Rechner ist Teil eines automatischen NS-Systems. Und mit den chroot-spezifischen Scripten habe ich eine (für mich) standartisierte Installation, deren Replikation durch ein tar passieren kann.

Ganz paranoide partitionieren natürlich vorher noch ...

Grüße,

flo.

[sascha]

Hi,

ich habe vor einiger Zeit schon ein Howto für SuSE 7.2 und Bind 9 gepostet: http://www.rootforum.org/forum/viewtopi ... 1758#31758

Am besten installiert man noch einen Kernel mit GRSecurity und aktiviert die chroot Optionen.

[kase]

ich würde gerne die Frage der Sicherheit klären ?

Bringt es mehr SIcherheit, Bind vom User bind in einer /bin/false Umgebung zu einer Chroot Umgebung zu wechseln ?

Weil der User bind kann ja eigentlich gar nix machen, da er ja keine /bin/sh Umgebung hat, sondern eine /bin/false Umgebung. Oder täusche ich mich da ? Hab immer gedacht, dass bei einer /bin/false Umgebung eh gar nix mehr geht. Und selbst wenn, hätte er ja nur auf ein paar eigene Files zugriff.

[flo]

Ja, an und für sich ist das schon so, aber es ist ein Unterschied, ob sich die Gelegenheit zur Ausführung des berühmten "arbitrary Code" innerhalb von /var/named ereignet oder in einem leeren rootverzeichnis.

Wohlgemerkt, das gilt für den Fall, daß die chroot hält.

Grüße,

flo.

[kase]

Funktioniert der denn bei den aktuellen stable Versions ? ("arbitrary Code")

Was ist das genau, und was kann passieren, wenn man diesen in einer /bin/false Umgebung ausführt. Eine SSH Console bekommt er ja mit Sicherheit bei /bin/false nicht.

[kase]

Hab mal etwas gegoogled:
[...]
Libresolv BIND Resolver Library Buffer Overflows in getnetbyname() and getnetbyaddr() Allow Remote Users to Execute Arbitrary Code
[...]
BIND 8 and BIND 9 libraries are reportedly not affected.
[...]

[flo]

Das sollte eigentlich nur ein Beispiel dafür ein, was vielleciht in drei Monaten oder in einem Jahr auf den Scurity-Listen steht. Ich muß ganz ehrlich sagen, daß ich nicht auch noch die Zeit habe, so einen Hacker-Sch... auszuprobieren.

Oder anders ausgedrückt, ist mir das wurscht, welche "Shell" das dann ausführt, soviel Interesse habe ich daran nciht, was passieren kann.

Die Relation zwischen Sicherheit und der dafür aufgewendeten Arbeit war bis jetzt bei mir glaube ich recht gut.

Ach ja, mit eigener Partition hat die chroot natürlich auch den offensichtlichen Vorteil, daß man die Hauptplatten nciht mehr vollmüllen kann. ;-)

Grüße,

flo.

[jack]

aber irgendwie kann mein client net zugreifen ahhh :(

Mar 4 20:31:24 GameServer1 named[1903]: client 192.168.1.25#1934: query 'test.de/IN' denied

[neo]

guck mal ob die rechte richtig gesetzt sind :)
und wozu brauch ein gameserver nen namenserver? :D

[jack]

weil ich den hostnamen noch ändern muss ich hab neue server bekommen :)

rechte wer brauch wo rechte ?

e: habs hinbekommen :)

[sacha]

Hi,

dank deiner Anleitung kann ich jetzt endlich mit Subdomains arbeiten. Vielen Dank fuer deine Muehe.

Eine Frage haette ich noch:

meinen Rootie hatte ich mit der domain unlimitedvision.de beantragt, dann den bind9 nach deiner Anleitung eingerichtet und dann die Domain per Glue-Record nach providerdomain.de geholt.

Jetzt habe ich die named.conf um einen Eintrag fuer die Domain euregioklettern.de erweitert und diese Domain von meinem alten Provider zu providerdomain heruebergeholt und als primary Nameserver ns.unlimitedvision.de eingetragen.

Auch das hat funktioniert, http://www.euregioklettern.de wird richtig aufgeloest. Nur erscheint bei providerdomain eine Fehlermeldung:

The domain euregioklettern.de has NOT been updated. The following errors were detected: Server ns.euregioklettern.de. not in NS set! Server ns.unlimitedvision.de. not known by server ns.unlimitedvision.de.! Server ns.euregioklettern.de. not in NS set! Server ns.unlimitedvision.de. not known by server ns.schlund.de.!

Was soll denn das bedeuten?

Hier noch ein dig:

Code: Select all

dig @217.160.170.134 euregioklettern.de any

; <<>> DiG 9.2.1 <<>> @217.160.170.134 euregioklettern.de any
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60473
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 3

;; QUESTION SECTION:
;euregioklettern.de.            IN      ANY

;; ANSWER SECTION:
euregioklettern.de.     604800  IN      SOA     ns.euregioklettern.de. root.euregioklettern.de. 2003022502 28800 7200 604800 39600
euregioklettern.de.     604800  IN      NS      ns.schlund.de.
euregioklettern.de.     604800  IN      NS      ns.euregioklettern.de.
euregioklettern.de.     604800  IN      MX      80 mail.euregioklettern.de.
euregioklettern.de.     604800  IN      A       217.160.170.134

;; ADDITIONAL SECTION:
ns.schlund.de.          77096   IN      A       195.20.224.97
ns.euregioklettern.de.  604800  IN      A       217.160.170.134
mail.euregioklettern.de. 604800 IN      A       217.160.170.134

;; Query time: 3 msec
;; SERVER: 217.160.170.134#53(217.160.170.134)
;; WHEN: Sat Apr  5 20:23:47 2003
;; MSG SIZE  rcvd: 204

Kann mir vielleicht jemand sagen wieso es zu der Fehlermeldung kommt und wie ich sie beseitigen kann?

Vielen Dank,

Sacha

[dodolin]

The domain euregioklettern.de has NOT been updated. The following errors were detected: Server ns.euregioklettern.de. not in NS set! Server ns.unlimitedvision.de. not known by server ns.unlimitedvision.de.! Server ns.euregioklettern.de. not in NS set! Server ns.unlimitedvision.de. not known by server ns.schlund.de.!

Du hast in deinem Zonenfile wohl sowas in der Art stehen:

Code: Select all

@ IN NS ns

Wenn aber nicht ns.euregioklettern.de, sondern ns.umlimitedvision.de zuständig ist, solltest du das entsprechend ändern. Das war IMHO das, was man an Toms Standardzonenfile beachten muss, dass man nämlich in jeder Domain einen GlueRecord für ns.domain.tld benötigt. Wenn man das nicht will, dann muss man halt das Standardzonenfile jeweils abändern, damit der NS Eintrag wieder passt.

[sacha]

Hi dodolin,

Du hast in deinem Zonenfile wohl sowas in der Art stehen:

Code: Select all

@ IN NS ns

genau. Das habe ich jetzt folgendermassen abgeaendert:

Code: Select all

$TTL 1W
@ IN SOA ns.unlimitedvision.de. hostmaster.unlimitedvision.de. (
2003022504 ; serial
8H ; refresh
2H ; retry
1W ; expiry
11h) ; minimum 

	IN	NS	ns.unlimitedvision.de.
usw.

Danke,

Sacha