Installation et con guration d’un serveur DNS (Bind) To search, type (CentOS 7.2) Posted on 21 juillet 2016 by elie
Un serveur DNS (Domain Name Server) permet en autre de ÉTIQUETTES
faire la relation entre un nom de domaine et son adresse IP. Il en existe plusieurs sur Linux. amavis apache apticron bind centos 6 Installation de Bind centos 7 clamav debian 6 debian 7 Bind (Berkeley Internet Name Daemon, parfois Berkeley debian 8 dovecot epel Internet Name Domain) étant disponible dans les dépots fail2ban rewalld git gitHub gogs iptables let's CentOS, nous allons donc l’installer via la commande suivante : encrypt linux logcheck logrotate logwatch mailx
# yum install bind bind-utils
mariadb mysql nextcloud nginx openssh openssl owncloud packagekit-cron php php- Con guration de Bind fpm phpmyadmin Avant de modi er le chier de con guration de Bind nous post x rkhunter roundcube selinux allons le sauvegarder via la commande suivante : serveur sieve spamassassin vmware-tools # cp /etc/named.conf{,.ori} vsftpd waf
On édite le chier via la commande suivante :
# vi /etc/named.conf
On modi e le chier comme ci-dessous :
// // named.conf // // Provided by Red Hat bind package to configure th // server as a caching only nameserver (as a localh // // See /usr/share/doc/bind*/sample/ for example nam //
options { // On indique à bind d’écouter sur l’adress // de loopbak listen-on port 53 { 127.0.0.1; 192.168.0.1 listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump statistics-file "/var/named/data/named_stat memstatistics-file "/var/named/data/named_m // On indique à Bind de répondre aux requêt // du réseau local allow-query { localhost; 192.168.0.0/24 // On indique à Bind d’envoyer la demande a // pas l’information demandée forwarders { 8.8.8.8; 8.8.4.4; };
/* - If you are building an AUTHORITATIVE DNS - If you are building a RECURSIVE (caching - If your recursive DNS server has a public control to limit queries to your legitima cause your server to become part of large attacks. Implementing BCP38 within your n reduce such attack surface */ recursion yes;
dnssec-enable yes; dnssec-validation yes;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic
pid-file "/run/named/named.pid"; session-keyfile "/run/named/session.key"; // On indique que le version de Bind ne soi // risques d’attaques version none; ;
logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "." IN { type hint; file "named.ca"; };
zone "mon-domaine.fr" IN { type master; file "/var/named/mon-domaine.fr.zone"; allow-update { none; }; }; zone "0.168.192.in-addr.arpa" IN { type master; file "/var/named/mon-domaine.fr.reverse"; allow-update { none; }; ;
include "/etc/named.rfc1912.zones"; include "/etc/named.root.key";
Création du chier de zone pour le
domaine « mon-domaine.fr » Un chier de zone contient l’ensemble des services lié au domaine « mon-domaine.fr ». Nous allons créer un chier « mon-domaine.fr.zone » via la commande suivante :
# vi /var/named/mon-domaine.fr.zone
On y inscrit les lignes suivantes (les points après le domaine
sont obligatoires) :
$TTL 3600 @ IN SOA srv1.mon-domaine.fr. root.m 2016071901 ; Serial 3600 ; Refresh 600 ; Retry 86400 ; Expire 600 ) ; Negative ; @ IN NS srv1.mon-domaine.fr. @ IN MX 10 srv1.mon-domaine.fr.
srv1 IN A 192.168.0.1 srv2 IN A 192.168.0.2
mail IN CNAME srv1
pop IN CNAME srv1 www IN CNAME srv2 A n de trouver le nom de domaine correspondant à une adresse IP, nous devons créer un chier de zone inverse via la commande suivante :
# vi /var/named/mon-domaine.fr.reverse
On y inscrit les lignes suivantes (les points après le domaine
sont obligatoires) :
$TTL 3600 @ IN SOA srv1.mon-domaine.fr. root.m 2016071901 ; Seri 3600 ; Ref 600 ; Ret 86400 ; Expi 600 ) ; Nega ; @ IN NS srv1.mon-domaine.f @ IN PTR mon-domaine.fr.
centos IN A 192.168.0.1 1 IN PTR srv1.mon-domaine.f 2 IN PTR srv2.mon-domaine.f
Maintenant que nous avons créer nos chiers de zone et de
zone inverse, je vais vous expliquer à quoi correspondent les di érents champs :
$TTL : (Time To Live) exprime la durée (en secondes) de
validité, pendant laquelle sont conservées en cache les réponses. Une fois ce délai expiré, il est nécessaire de véri er à nouveau les données. Les di érents types :
SOA : permet de dé nir les informations relatives à la zone.
En l’occurrence le nom du serveur DNS primaire « srv1.mon- domaine.fr. » et l’adresse mail du contact technique (root.mon-domaine.fr. ; le @ est remplace par un point). Il est compose de plusieurs champs :
1. Serial : est un entier non signé 32 bits. C’est le numéro de
série à incrémenter à chaque modi cation du chier. Il permet au serveur secondaire de recharger les informations qu’ils ont. L’usage général vient à le formater de cette manière YYYYMMDDXX, soit pour la première modi cation du 01/04/2007 -> 2016071901, pour la seconde 2016071902. 2. Refresh : dé nit la période de rafraîchissement des données (s’exprime en secondes)
3. Retry : dé ni le délai que doivent attendre les ou les
serveurs secondaires pour réessayer si une erreur survient au cours du dernier rafraîchissement (s’exprime en secondes)
4. Expire : dé ni le délai au bout duquel la zone sera
considéré comme non disponible si le ou les serveurs secondaires ne peuvent pas joindre le serveur primaire (s’exprime en secondes)
5. Negative cache TTL : dé nit la durée de conservation des
réponses pour des enregistrements inexistants (s’exprime en secondes)
NS (Name Server) : renseigne le nom des serveurs de noms
pour le domaine
MX (Mail eXchanger): renseigne sur le serveur de
messagerie. Plusieurs peuvent être dé nis. Ainsi, il est possible de leur donner une priorité en leur a ectant un numéro. Plus bas est le numéro, plus haute est la priorité
A (Address) : associe une nom d’hôte à une adresse ipv4 (32
bits)
AAAA (Address IPv6): associe une nom d’hôte à une adresse
ipv6 (128 bits)
CNAME (Canonical NAME) : identi e le nom canonique
d’un alias (un nom pointant sur un autre nom)
PTR (Pointer Record) : c’est simplement la résolution inverse
(le contraire du type A) Maintenant que nous avons con guré et créé les di érents chiers de zone, nous allons véri er que nous n’avons pas oublié un caractère ou fait d’erreur de frappe a n de pouvoir démarrer Bind.
Pour véri er la con guration de Bind proprement dite, nous
allons taper la commande suivante :
# named-checkconf -z
Voici ce que devrait retourner la commande si tout est bon :
zone mon-domaine.fr/IN: loaded serial 2016071901 zone 0.168.192.in-addr.arpa/IN: loaded serial 20160 zone localhost.localdomain/IN: loaded serial 0 zone localhost/IN: loaded serial 0 zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0 zone 0.in-addr.arpa/IN: loaded serial 0
Pour véri er les chiers de zone, nous allons taper les
![WPAD [L'internet rapide et permanent].pdf](https://imgv2-2-f.scribdassets.com/img/document/135700508/149x198/f5fa4de812/1365840217?v=1)
![[Itr4 Tp2 Exo5 - Elamraoui - Boisseron]](https://imgv2-2-f.scribdassets.com/img/document/142044616/149x198/8f2558611e/1368797781?v=1)
![tai066_ress01[MF5]_DHCP](https://imgv2-1-f.scribdassets.com/img/document/241306858/149x198/f34e8a7ca1/1411975376?v=1)
![[Tuto] Mettre en Place Un Serveur DNS Autoritaire Avec Bind9 Et DNSSEC - Mondedie.fr](https://imgv2-1-f.scribdassets.com/img/document/545165735/149x198/492ca0e789/1638850406?v=1)
