Instalando Bind9 + chroot no Debian

agk

Depois de muita pesquisa e persistência, consegui instalar o Bind9 em modo chroot no meu Debian Woody. Vou descrever neste artigo de forma simples e rápida esse processo de instalação.

[ Hits: 80.590 ]

Por: Aldefax G. Kuhn em 05/10/2005


Instalando e configurando



Instalando o pacote:

# apt-get install bind9

Serão instaladas automaticamente as seguintes dependências:
  • libisccc0;
  • libisccfg0

Importante: após a instalação e antes de começar as configurações é necessário parar o serviço DNS, caso contrário, poderá ocorrer um erro com a chave rndc-key. Para parar o serviço faça o seguinte:

# /etc/init.d/bind9 stop

Criando os diretórios necessários ao funcionamento do Bind9 em chroot. Crie os seguintes diretórios em /var/lib:

# mkdir -p /var/lib/named/etc
# mkdir -p /var/lib/named/dev
# mkdir -p /var/lib/named/var/cache/bind
# mkdir -p /var/lib/named/var/run/bind/run


Em seguida mova o diretório de configuração de /etc para /var/lib/named/etc:

# mv /etc/bind /var/lib/named/etc

Para evitar problemas futuros com atualizações, crie um link simbólico de /etc/bind9 para /var/lib/named/etc/bind9:

# ln -s /var/lib/named/etc/bind /etc/bind

Criando os dispositivos null e random e dando as permissões aos diretórios e dispositivos:

# mknod /var/lib/named/dev/null c 1 3
# mknod /var/lib/named/dev/random c 1 8
# chmod 666 /var/lib/named/dev/null
# chmod 666 /var/lib/named/dev/random
# chown -R nobody:nogroup /var/lib/named/var/*
# chown -R nobody:nogroup /var/lib/named/etc/bind


Pronto, a parte comum a maioria das distribuições está concluída. Agora vem a parte que é específica do Debian.

Com os diretórios e dispositivos criados e as permissões setadas, temos que configurar o Bind9 para trabalhar em chroot e configurar o sysklogd para capturar os logs do seu servidor de DNS.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Instalando e configurando
   3. Configurando o modo chroot
   4. Testando seu servidor DNS
   5. Referências
Outros artigos deste autor

Instalando Mozilla 1.6 e plugins

Configurando Wireless LG LW2110P com chipset rtl8180 (Realtek)

Leitura recomendada

Rede wireless: autenticação em uma rede WPA

Sistema de gerenciamento de logs do Linux

Introdução ao Anonimato na Web - Web Anonimity

Notificação Fail2ban pelo Telegram

Tornando seu Apache mais seguro com o ModSecurity

  
Comentários
[1] Comentário enviado por kadu em 26/01/2006 - 12:32h

Tive um probleminha.... quer dizer... nao sei se eh bem um problema...
mas nao saiu 100% como diz o arqtigo...
meu resultado do "px ax |grep named" foi o seguinte:
root 14520 0.0 0.0 1628 632 ? Ss 12:19 0:00 /sbin/syslogd -a /var/lib/named/dev/log
bind 14527 0.0 0.1 55156 2680 ? Ss 12:20 0:00 /usr/sbin/named -u bind
root 14537 0.0 0.0 1928 716 pts/0 S+ 12:21 0:00 grep named

e minha pasta: /var/lib/named está da seguinte forma:
drwxr-xr-x 5 root root 4096 2006-01-26 12:00 named

e meus syslog deu a seguinte mensagem ao iniciar o bind:
Jan 26 12:20:15 saogabriel named[14527]: none:0: open: /etc/bind/rndc.key: permission denied
Jan 26 12:20:15 saogabriel named[14527]: couldn't add command channel 127.0.0.1#953: permission denied

Alguem pode me auxiliar ??

[2] Comentário enviado por kadu em 26/01/2006 - 14:34h

Resolvi o problema, estou usando o Debian 3.1 r0 em meu servidor, e na configuração do modo chroot ao invés de alterar o arquivo: /etc/init.d/bind9 eu alterei o /etc/default/bind9.
Pois esta comentado sobre a linha: OPTIONS="" no arquivo /etc/init.d/bind9 como segue abaixo:

# for a chrooted server: "-u bind -t /var/lib/named"
# Don't modify this line, change or create /etc/default/bind9.
OPTIONS=""

Está ai uma dica para quem encontrar o mesmo problema.

[3] Comentário enviado por agk em 31/01/2006 - 11:05h

Isso mesmo, quando eu publiquei o artigo ainda não havia essa possibilidade de criar o arquivo /etc/default/bind9, talvez ela tenho ocorrido em alguma atualização do bind, mas valeu pelo comentário, vai ajudar os colegas que forem tentar instalar.
[ ]'s.

[4] Comentário enviado por lipecys em 10/04/2008 - 19:28h

Muito bom seu artigo, isso mesmo que eu precisava.

[5] Comentário enviado por l-x em 27/08/2008 - 16:02h

testado e aprovado, parabens!!!!

[6] Comentário enviado por Avner em 28/08/2009 - 15:00h

Bom estou utilizando o Debian Lenny, e nele não tem o syskklog como posso fazer essa parte??

e o resultado do px aux |grep, foi este:
bind 6259 0.0 1.5 48340 15416 ? Ssl 14:34 0:00 /usr/sbin/named -u bind
root 7007 0.0 0.0 3140 772 pts/1 S+ 14:50 0:00 grep named

faz um pouco de tempo o artigo mas se aguem puder me ajudar agradeço.

[7] Comentário enviado por jeferbd em 21/09/2009 - 11:35h

fiz a alteraçao do OPTIONS no /etc/default/bind9 e mesmo assim estou com o problema de permissao negada no /etc/bind/named.conf.
Pelo log esta startando o bind com -u nobody -t /var/lib/named
O problema não na permissão desta pasta pois a tentei pra teste o 777.

[8] Comentário enviado por mmoreira1979 em 08/09/2010 - 13:18h

Pessoal,
Estou tentando fazer a instalacao em uma distribuicao Debian Lenny mas o mesmo nao possui o arquivo syskklog
E possivel contornar esta situacao?
Grato pela atencao,


Contribuir com comentário