ICO wiki - User contributions [en]

Talk:Network File System v.3

2009-12-17T10:54:06Z

Ntammann:

Retsenseerivad Tuuli Zahvatkin ja Nils Tammann

{| class="wikitable" border="1"
|-
! Kriteerium
! Punktid
! Võimalikud punktid
|-
| Versioon on olemas
| 1
| 1
|-
| Autorid on olemas
| 1
| 1
|-
| Viimase muutmise aeg on olemas
| 1
| 1
|-
| Sissejuhatus on olemas
| 1
| 1
|-
| Nõuded on olemas
| 1
| 1
|-
| Skoop on olemas
| 1
| 1
|-
| Korraldused on tekstist eristatavad
| 1
| 1
|-
| Käskude väljundid on tekstist eristatavad
| 1
| 1
|-
| Muutuvad osad on eristatavad
|1
|1
|-
| Struktuur on natuke segane.
Taastamine ja varundamine võiksid olla eraldi peatükid.

Nõuded ja skoop võiks eraldi välja toodud olla.
| 0,5
| 1
|-
| Tekst on arusaadav
| 1
| 1
|-
| Teenuse varundamise osa on piisav.
| 1
| 1
|-
| Taastamise osa on piisav.
| 2
| 2
|-
| Installeerimine ja seadistamise osa on piisav ja arusaadav
| 3
| 3
|-
| Tehniliselt on kõik korrektne
| 3
| 3
|}
Kokku hetkel punkte: 19,5

Nii, kliendi masinas läksin sudo-ks ja lõin 'nfsusers' grupi. NFSv4 puhul lisasin serveri seadistamisel kausta /var/nfs/files. Parandus arvesse võetud 
Täiendatud varundamise ja taastamise peatükid nii NFSv3 kui NFSv4 puhul.
Netstat -lntu käsu väljund täiendatud.Parandus arvesse võetud

Talk:Network File System v.3

2009-12-17T10:52:34Z

Ntammann:

Retsenseerivad Tuuli Zahvatkin ja Nils Tammann

{| class="wikitable" border="1"
|-
! Kriteerium
! Punktid
! Võimalikud punktid
|-
| Versioon on olemas
| 1
| 1
|-
| Autorid on olemas
| 1
| 1
|-
| Viimase muutmise aeg on olemas
| 1
| 1
|-
| Sissejuhatus on olemas
| 1
| 1
|-
| Nõuded on olemas
| 1
| 1
|-
| Skoop on olemas
| 1
| 1
|-
| Korraldused on tekstist eristatavad
| 1
| 1
|-
| Käskude väljundid on tekstist eristatavad
| 1
| 1
|-
| Muutuvad osad on eristatavad
|1
|1
|-
| Struktuur on natuke segane.
Taastamine ja varundamine võiksid olla eraldi peatükid.

Nõuded ja skoop võiks eraldi välja toodud olla.
| 0,5
| 1
|-
| Tekst on arusaadav
| 1
| 1
|-
| Teenuse varundamise osa on piisav.
| 1
| 1
|-
| Taastamine on liiga üldsõnaline.
Võiks olla täpsemalt väljatoodud mida peab kuhu taastama.
| 2
| 2
|-
| Installeerimine ja seadistamise osa on piisav ja arusaadav
| 3
| 3
|-
| Tehniliselt on kõik korrektne
| 3
| 3
|}
Kokku hetkel punkte: 19,5

Nii, kliendi masinas läksin sudo-ks ja lõin 'nfsusers' grupi. NFSv4 puhul lisasin serveri seadistamisel kausta /var/nfs/files. Parandus arvesse võetud 
Täiendatud varundamise ja taastamise peatükid nii NFSv3 kui NFSv4 puhul.
Netstat -lntu käsu väljund täiendatud.Parandus arvesse võetud

Talk:Network File System v.3

2009-12-17T10:52:21Z

Ntammann:

Retsenseerivad Tuuli Zahvatkin ja Nils Tammann

{| class="wikitable" border="1"
|-
! Kriteerium
! Punktid
! Võimalikud punktid
|-
| Versioon on olemas
| 1
| 1
|-
| Autorid on olemas
| 1
| 1
|-
| Viimase muutmise aeg on olemas
| 1
| 1
|-
| Sissejuhatus on olemas
| 1
| 1
|-
| Nõuded on olemas
| 1
| 1
|-
| Skoop on olemas
| 1
| 1
|-
| Korraldused on tekstist eristatavad
| 1
| 1
|-
| Käskude väljundid on tekstist eristatavad
| 1
| 1
|-
| Muutuvad osad on eristatavad
|1
|1
|-
| Struktuur on natuke segane.
Taastamine ja varundamine võiksid olla eraldi peatükid.

Nõuded ja skoop võiks eraldi välja toodud olla.
| 0,5
| 1
|-
| Tekst on arusaadav
| 1
| 1
|-
| Teenuse varundamise osa on piisav.
| 1
| 1
|-
| Taastamine on liiga üldsõnaline.
Võiks olla täpsemalt väljatoodud mida peab kuhu taastama.
| 2
| 2
|-
| Installeerimine ja seadistamise osa on piisav ja arusaadav
| 3
| 3
|-
| Tehniliselt on kõik korrektne
| 3
| 3
|}
Kokku hetkel punkte: 18,5

Nii, kliendi masinas läksin sudo-ks ja lõin 'nfsusers' grupi. NFSv4 puhul lisasin serveri seadistamisel kausta /var/nfs/files. Parandus arvesse võetud 
Täiendatud varundamise ja taastamise peatükid nii NFSv3 kui NFSv4 puhul.
Netstat -lntu käsu väljund täiendatud.Parandus arvesse võetud

Talk:Network File System v.3

2009-12-17T10:51:46Z

Ntammann:

Retsenseerivad Tuuli Zahvatkin ja Nils Tammann

{| class="wikitable" border="1"
|-
! Kriteerium
! Punktid
! Võimalikud punktid
|-
| Versioon on olemas
| 1
| 1
|-
| Autorid on olemas
| 1
| 1
|-
| Viimase muutmise aeg on olemas
| 1
| 1
|-
| Sissejuhatus on olemas
| 1
| 1
|-
| Nõuded on olemas
| 1
| 1
|-
| Skoop on olemas
| 1
| 1
|-
| Korraldused on tekstist eristatavad
| 1
| 1
|-
| Käskude väljundid on tekstist eristatavad
| 1
| 1
|-
| Muutuvad osad on eristatavad
|1
|1
|-
| Struktuur on natuke segane.
Taastamine ja varundamine võiksid olla eraldi peatükid.

Nõuded ja skoop võiks eraldi välja toodud olla.
| 0,5
| 1
|-
| Tekst on arusaadav
| 1
| 1
|-
| Teenuse varundamise osa on piisav.
| 1
| 1
|-
| Taastamine on liiga üldsõnaline.
Võiks olla täpsemalt väljatoodud mida peab kuhu taastama.
| 1
| 2
|-
| Installeerimine ja seadistamise osa on piisav ja arusaadav
| 3
| 3
|-
| Tehniliselt on kõik korrektne
| 3
| 3
|}
Kokku hetkel punkte: 18,5

Nii, kliendi masinas läksin sudo-ks ja lõin 'nfsusers' grupi. NFSv4 puhul lisasin serveri seadistamisel kausta /var/nfs/files. Parandus arvesse võetud 
Täiendatud varundamise ja taastamise peatükid nii NFSv3 kui NFSv4 puhul.
Netstat -lntu käsu väljund täiendatud.Parandus arvesse võetud

Talk:Network File System v.3

2009-12-17T10:51:31Z

Ntammann:

Retsenseerivad Tuuli Zahvatkin ja Nils Tammann

{| class="wikitable" border="1"
|-
! Kriteerium
! Punktid
! Võimalikud punktid
|-
| Versioon on olemas
| 1
| 1
|-
| Autorid on olemas
| 1
| 1
|-
| Viimase muutmise aeg on olemas
| 1
| 1
|-
| Sissejuhatus on olemas
| 1
| 1
|-
| Nõuded on olemas
| 1
| 1
|-
| Skoop on olemas
| 1
| 1
|-
| Korraldused on tekstist eristatavad
| 1
| 1
|-
| Käskude väljundid on tekstist eristatavad
| 1
| 1
|-
| Muutuvad osad on eristatavad
|1
|1
|-
| Struktuur on natuke segane.
Taastamine ja varundamine võiksid olla eraldi peatükid.

Nõuded ja skoop võiks eraldi välja toodud olla.
| 0,5
| 1
|-
| Tekst on arusaadav
| 1
| 1
|-
| Teenuse varundamise osa on piisav.
| 1
| 1
|-
| Taastamine on liiga üldsõnaline.
Võiks olla täpsemalt väljatoodud mida peab kuhu taastama.
| 1
| 2
|-
| Installeerimine ja seadistamise osa on piisav ja arusaadav
| 3
| 3
|-
| Tehniliselt on kõik korrektne
| 3
| 3
|}
Kokku hetkel punkte: 18,5

Nii, kliendi masinas läksin sudo-ks ja lõin 'nfsusers' grupi. NFSv4 puhul lisasin serveri seadistamisel kausta /var/nfs/files. Parandus arvesse võetud 
Täiendatud varundamise ja taastamise peatükid nii NFSv3 kui NFSv4 puhul.
Netstat -lntu käsu väljund täiendatud. Parandus arvesse võetud

Talk:Nimeserveri seadistamine BIND9 näitel

2009-12-15T10:32:43Z

Ntammann:

Retsenseerivad Rainit Vildo, Martin Raudsik ja Sven Lepamets

----
Versioonide ajalugu ja autorid(1) - mõlemad on olemas, 1 punkt
 
Viimase muutmise aeg(1) - on olemas, 1 punkt
 
Sissejuhatus(2) - on olemas ja annab hea ülevaate olukorrast, 2 punkti
 
Nõuded(1) - nõuded on kirjas, 1 punkt
 
Installeerimine(1) - installeerimise käsk on olemas, 1 punkt
 
Seadistamine(3)
 
Tehniline korrektsus(3)
 
Korraldused on tekstis eristatavad(1) - korraldused on ''pre''-tagide vahel, 1 punkt
 
Teksti struktuur(1) - tekst on liigendatud alampunktideks, 1 punkt
 
Teksti arusaadavus(2) - tekst on arusaadav ja hästi kirjutatud, ülearust on vähe (sudo -i käsk, kui kasutaja on juba sudo õigustes, on ebavajalik), 2 punkti '''Võtsime üleliigse sudo käskluse ära'''
 
Testimine(1) - testimise jaoks on eraldi alampunkt, 1 punkt
 
Varundamine(1) - varundamine on konkreetne, 1 punkt
 
Taastamine(1) - taastamise all on kirjeldatud mitu stsenaariumit, 1 punkt
 
Viitamine(1) - olemas ja piisav, 1 punkt
 
 
Kokku(20):
----
'''Retsenseerimine on veel pooleli!'''

Nimeserveri seadistamine BIND9 näitel

2009-12-15T10:31:59Z

Ntammann: /* Installeerimine */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
1.00(valmis)

=Viimase muutmise aeg=
15. Detsember 2009 12:17

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24, kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olemas veebiserver, mailiserver, failiserver, testserver ja dhcp-server.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendada, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

Tehes laborit oma masinas tuleks kohandada ip aadressid vastavalt oma võrgule.

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks(ise proovides tuleb ip aadress konfigureerida vastavalt oma võrgule):
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
Minna juurkasutajaks ja paigaldada BIND9:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=
Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid :
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>
Oma masinas laborit tehes peaks pöördteisendus tsooni(145.168.192.in-addr.arpa) puhul nimi vastama oma võrgule.

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:

<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>
Failis olevate kirjete kohta võib selgitusi saada [http://www.zytrax.com/books/dns/ch8/ siit]

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.
==DoS rünnak==
Teenusetõkestus rünnak BIND9 nimeserveri vastu võib mõjutada kogu võrku takistades kasutajatel domeeninimede tõlgendamist ip aadressiteks. Üks näide teenusetõkestuse rünnakust on "." küsimise rünne, kus tehakse "." küsimise päring ja selle tegijaks pannakse rünnatava masina ip aadress ning sellele masinale saadetakse palju UDP liiklust, mis ummistab sidekanalid.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle andmebaasiga MySQL näitel:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-15T10:31:12Z

Ntammann: /* Seadistamine */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
1.00(valmis)

=Viimase muutmise aeg=
15. Detsember 2009 12:17

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24, kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olemas veebiserver, mailiserver, failiserver, testserver ja dhcp-server.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendada, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

Tehes laborit oma masinas tuleks kohandada ip aadressid vastavalt oma võrgule.

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks(ise proovides tuleb ip aadress konfigureerida vastavalt oma võrgule):
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=
Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid :
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>
Oma masinas laborit tehes peaks pöördteisendus tsooni(145.168.192.in-addr.arpa) puhul nimi vastama oma võrgule.

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:

<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>
Failis olevate kirjete kohta võib selgitusi saada [http://www.zytrax.com/books/dns/ch8/ siit]

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.
==DoS rünnak==
Teenusetõkestus rünnak BIND9 nimeserveri vastu võib mõjutada kogu võrku takistades kasutajatel domeeninimede tõlgendamist ip aadressiteks. Üks näide teenusetõkestuse rünnakust on "." küsimise rünne, kus tehakse "." küsimise päring ja selle tegijaks pannakse rünnatava masina ip aadress ning sellele masinale saadetakse palju UDP liiklust, mis ummistab sidekanalid.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle andmebaasiga MySQL näitel:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-15T10:17:40Z

Ntammann: /* Viimase muutmise aeg */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
1.00(valmis)

=Viimase muutmise aeg=
15. Detsember 2009 12:17

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24, kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olemas veebiserver, mailiserver, failiserver, testserver ja dhcp-server.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendada, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

Tehes laborit oma masinas tuleks kohandada ip aadressid vastavalt oma võrgule.

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks(ise proovides tuleb ip aadress konfigureerida vastavalt oma võrgule):
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid :
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>
Oma masinas laborit tehes peaks pöördteisendus tsooni(145.168.192.in-addr.arpa) puhul nimi vastama oma võrgule.

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:

<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>
Failis olevate kirjete kohta võib selgitusi saada [http://www.zytrax.com/books/dns/ch8/ siit]

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.
==DoS rünnak==
Teenusetõkestus rünnak BIND9 nimeserveri vastu võib mõjutada kogu võrku takistades kasutajatel domeeninimede tõlgendamist ip aadressiteks. Üks näide teenusetõkestuse rünnakust on "." küsimise rünne, kus tehakse "." küsimise päring ja selle tegijaks pannakse rünnatava masina ip aadress ning sellele masinale saadetakse palju UDP liiklust, mis ummistab sidekanalid.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle andmebaasiga MySQL näitel:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-15T10:17:25Z

Ntammann: /* Viimase muutmise aeg */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
1.00(valmis)

=Viimase muutmise aeg=
15. Detsember 2009 12:11

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24, kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olemas veebiserver, mailiserver, failiserver, testserver ja dhcp-server.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendada, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

Tehes laborit oma masinas tuleks kohandada ip aadressid vastavalt oma võrgule.

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks(ise proovides tuleb ip aadress konfigureerida vastavalt oma võrgule):
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid :
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>
Oma masinas laborit tehes peaks pöördteisendus tsooni(145.168.192.in-addr.arpa) puhul nimi vastama oma võrgule.

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:

<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>
Failis olevate kirjete kohta võib selgitusi saada [http://www.zytrax.com/books/dns/ch8/ siit]

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.
==DoS rünnak==
Teenusetõkestus rünnak BIND9 nimeserveri vastu võib mõjutada kogu võrku takistades kasutajatel domeeninimede tõlgendamist ip aadressiteks. Üks näide teenusetõkestuse rünnakust on "." küsimise rünne, kus tehakse "." küsimise päring ja selle tegijaks pannakse rünnatava masina ip aadress ning sellele masinale saadetakse palju UDP liiklust, mis ummistab sidekanalid.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle andmebaasiga MySQL näitel:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-15T10:11:51Z

Ntammann: /* Versioon */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
1.00(valmis)

=Viimase muutmise aeg=
14. Detsember 2009 11:03

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24, kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olemas veebiserver, mailiserver, failiserver, testserver ja dhcp-server.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendada, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

Tehes laborit oma masinas tuleks kohandada ip aadressid vastavalt oma võrgule.

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks(ise proovides tuleb ip aadress konfigureerida vastavalt oma võrgule):
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid :
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>
Oma masinas laborit tehes peaks pöördteisendus tsooni(145.168.192.in-addr.arpa) puhul nimi vastama oma võrgule.

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:

<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>
Failis olevate kirjete kohta võib selgitusi saada [http://www.zytrax.com/books/dns/ch8/ siit]

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.
==DoS rünnak==
Teenusetõkestus rünnak BIND9 nimeserveri vastu võib mõjutada kogu võrku takistades kasutajatel domeeninimede tõlgendamist ip aadressiteks. Üks näide teenusetõkestuse rünnakust on "." küsimise rünne, kus tehakse "." küsimise päring ja selle tegijaks pannakse rünnatava masina ip aadress ning sellele masinale saadetakse palju UDP liiklust, mis ummistab sidekanalid.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle andmebaasiga MySQL näitel:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-14T08:53:56Z

Ntammann: /* Olukorra kirjeldus */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
1.00

=Viimase muutmise aeg=
14. Detsember 2009 10:40

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24, kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olemas veebiserver, mailiserver, failiserver, testserver ja dhcp-server.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendada, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

Tehes laborit oma masinas tuleks kohandada ip aadressid vastavalt oma võrgule.

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks(ise proovides tuleb ip aadress konfigureerida vastavalt oma võrgule):
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:

<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>
Failis olevate kirjete kohta võib selgitusi saada [http://www.zytrax.com/books/dns/ch8/ siit]

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.
==DoS rünnak==
Teenusetõkestus rünnak BIND9 nimeserveri vastu võib mõjutada kogu võrku takistades kasutajatel domeeninimede tõlgendamist ip aadressiteks. Üks näide teenusetõkestuse rünnakust on "." küsimise rünne, kus tehakse "." küsimise päring ja selle tegijaks pannakse rünnatava masina ip aadress ning sellele masinale saadetakse palju UDP liiklust, mis ummistab sidekanalid.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle andmebaasiga MySQL näitel:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-14T08:50:51Z

Ntammann: /* Olukorra kirjeldus */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
1.00

=Viimase muutmise aeg=
14. Detsember 2009 10:40

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24, kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olemas veebiserver, mailiserver, failiserver, testserver ja dhcp-server.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendada, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks(ise proovides tuleb ip aadress konfigureerida vastavalt oma võrgule):
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:

<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>
Failis olevate kirjete kohta võib selgitusi saada [http://www.zytrax.com/books/dns/ch8/ siit]

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.
==DoS rünnak==
Teenusetõkestus rünnak BIND9 nimeserveri vastu võib mõjutada kogu võrku takistades kasutajatel domeeninimede tõlgendamist ip aadressiteks. Üks näide teenusetõkestuse rünnakust on "." küsimise rünne, kus tehakse "." küsimise päring ja selle tegijaks pannakse rünnatava masina ip aadress ning sellele masinale saadetakse palju UDP liiklust, mis ummistab sidekanalid.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle andmebaasiga MySQL näitel:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-14T08:48:34Z

Ntammann: /* Seadistamine */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
1.00

=Viimase muutmise aeg=
14. Detsember 2009 10:40

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcp-server.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks(ise proovides tuleb ip aadress konfigureerida vastavalt oma võrgule):
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:

<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>
Failis olevate kirjete kohta võib selgitusi saada [http://www.zytrax.com/books/dns/ch8/ siit]

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.
==DoS rünnak==
Teenusetõkestus rünnak BIND9 nimeserveri vastu võib mõjutada kogu võrku takistades kasutajatel domeeninimede tõlgendamist ip aadressiteks. Üks näide teenusetõkestuse rünnakust on "." küsimise rünne, kus tehakse "." küsimise päring ja selle tegijaks pannakse rünnatava masina ip aadress ning sellele masinale saadetakse palju UDP liiklust, mis ummistab sidekanalid.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle andmebaasiga MySQL näitel:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-13T15:56:08Z

Ntammann: /* BIND9 tsoonifailide võimalik teine formaat */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
12. Detsember 2009 20:37

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:

Failis olevate kirjete kohta võib selgitusi saada [http://www.zytrax.com/books/dns/ch8/ siit]
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.
==DoS rünnak==
Teenusetõkestus rünnak BIND9 nimeserveri vastu võib mõjutada kogu võrku takistades kasutajatel domeeninimede tõlgendamist ip aadressiteks. Üks näide teenusetõkestuse rünnakust on "." küsimise rünne, kus tehakse "." küsimise päring ja selle tegijaks pannakse rünnatava masina ip aadress ning sellele masinale saadetakse palju UDP liiklust, mis ummistab sidekanalid.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle andmebaasiga MySQL näitel:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-12T18:38:47Z

Ntammann: /* Viimase muutmise aeg */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
12. Detsember 2009 20:37

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:

Failis olevate kirjete kohta võib selgitusi saada [http://www.zytrax.com/books/dns/ch8/ siit]
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.
==DoS rünnak==
Teenusetõkestus rünnak BIND9 nimeserveri vastu võib mõjutada kogu võrku takistades kasutajatel domeeninimede tõlgendamist ip aadressiteks. Üks näide teenusetõkestuse rünnakust on "." küsimise rünne, kus tehakse "." küsimise päring ja selle tegijaks pannakse rünnatava masina ip aadress ning sellele masinale saadetakse palju UDP liiklust, mis ummistab sidekanalid.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle mysql andmebaasiga:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-12T18:38:14Z

Ntammann: /* Seadistamine */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
12. Detsember 2009 20:25

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:

Failis olevate kirjete kohta võib selgitusi saada [http://www.zytrax.com/books/dns/ch8/ siit]
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.
==DoS rünnak==
Teenusetõkestus rünnak BIND9 nimeserveri vastu võib mõjutada kogu võrku takistades kasutajatel domeeninimede tõlgendamist ip aadressiteks. Üks näide teenusetõkestuse rünnakust on "." küsimise rünne, kus tehakse "." küsimise päring ja selle tegijaks pannakse rünnatava masina ip aadress ning sellele masinale saadetakse palju UDP liiklust, mis ummistab sidekanalid.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle mysql andmebaasiga:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-12T18:37:20Z

Ntammann: /* Seadistamine */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
12. Detsember 2009 20:25

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
Failis olevate kirjete kohta võib selgitusi saada [http://www.zytrax.com/books/dns/ch8/ siit]
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.
==DoS rünnak==
Teenusetõkestus rünnak BIND9 nimeserveri vastu võib mõjutada kogu võrku takistades kasutajatel domeeninimede tõlgendamist ip aadressiteks. Üks näide teenusetõkestuse rünnakust on "." küsimise rünne, kus tehakse "." küsimise päring ja selle tegijaks pannakse rünnatava masina ip aadress ning sellele masinale saadetakse palju UDP liiklust, mis ummistab sidekanalid.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle mysql andmebaasiga:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-12T18:29:20Z

Ntammann: /* Viimase muutmise aeg */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
12. Detsember 2009 20:25

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>
=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.
==DoS rünnak==
Teenusetõkestus rünnak BIND9 nimeserveri vastu võib mõjutada kogu võrku takistades kasutajatel domeeninimede tõlgendamist ip aadressiteks. Üks näide teenusetõkestuse rünnakust on "." küsimise rünne, kus tehakse "." küsimise päring ja selle tegijaks pannakse rünnatava masina ip aadress ning sellele masinale saadetakse palju UDP liiklust, mis ummistab sidekanalid.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle mysql andmebaasiga:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-12T18:26:30Z

Ntammann: /* DoS rünnak */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>
=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.
==DoS rünnak==
Teenusetõkestus rünnak BIND9 nimeserveri vastu võib mõjutada kogu võrku takistades kasutajatel domeeninimede tõlgendamist ip aadressiteks. Üks näide teenusetõkestuse rünnakust on "." küsimise rünne, kus tehakse "." küsimise päring ja selle tegijaks pannakse rünnatava masina ip aadress ning sellele masinale saadetakse palju UDP liiklust, mis ummistab sidekanalid.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle mysql andmebaasiga:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-12T18:25:46Z

Ntammann: /* Levinud BIND9 turvavead */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>
=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.
==DoS rünnak==
Teenusetõkestus rünnaks BIND9 nimeserveri vastu võib mõjutada kogu võrku takistades kasutajatel domeeninimede tõlgendamist ip aadressiteks. Üks näide teenusetõkestuse rünnakust on "." küsimise rünne, kus tehakse "." küsimise päring ja selle tegijaks pannakse rünnatava masina ip aadress ning sellele masinale saadetakse palju UDP liiklus, mis ummistab sidekanalid.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle mysql andmebaasiga:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-10T17:17:18Z

Ntammann: /* Turvavead ja võimalikud lahendused */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>
=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Levinud BIND9 turvavead=
==Puhvrimürgitamise ründed==
Selle ründe peamiseks eesmärgiks on suunata inimese liiklus ümber. Põhimõtteliselt pannakse nimeserveri puhvrisse valed andmed nimelahenduse kohta ning selle abiga pannakse serverit arvama, et soovitud aadress on hoopis teises kohas.

=BIND9 turvalisuse tõstmise võimalused=
1. Üks võimalik lahendus on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle mysql andmebaasiga:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-10T16:49:49Z

Ntammann: /* BIND9 tsoonifailide võimalik teine formaat */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>
=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=
==Tuntud turvavead==

==Lahendusi==
1. Üks võimalik lahendus BIND9 kaugrünnaku vastu kaitmiseks on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis muutub ka andmete lugemine palju efektiivsemaks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle mysql andmebaasiga:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-10T16:48:10Z

Ntammann: /* Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>
=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud BIND9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks BIND9 -t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha BIND9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on BIND9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=
==Tuntud turvavead==

==Lahendusi==
1. Üks võimalik lahendus BIND9 kaugrünnaku vastu kaitmiseks on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis ei muutu ka andmete lugemine aeglaseks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle mysql andmebaasiga:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-10T16:47:47Z

Ntammann: /* Lahendusi */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>
=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=
==Tuntud turvavead==

==Lahendusi==
1. Üks võimalik lahendus BIND9 kaugrünnaku vastu kaitmiseks on Chroot vangla. Chroot vangla paigutab BIND9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis ei muutu ka andmete lugemine aeglaseks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle mysql andmebaasiga:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-10T16:47:28Z

Ntammann: /* BIND9 tsoonifailide võimalik teine formaat */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>
=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=
==Tuntud turvavead==

==Lahendusi==
1. Üks võimalik lahendus Bind9 kaugrünnaku vastu kaitmiseks on Chroot vangla. Chroot vangla paigutab bind9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis ei muutu ka andmete lugemine aeglaseks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle mysql andmebaasiga:

*How To Install BIND9 +MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*BIND9 +mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-10T16:46:54Z

Ntammann: /* BIND9 tsoonifailide võimalik teine formaat */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>
=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=
==Tuntud turvavead==

==Lahendusi==
1. Üks võimalik lahendus Bind9 kaugrünnaku vastu kaitmiseks on Chroot vangla. Chroot vangla paigutab bind9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis ei muutu ka andmete lugemine aeglaseks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle mysql andmebaasiga:

*How To Install Bind9+MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*Bind9+mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-10T16:46:42Z

Ntammann: /* BIND9 tsoonifailide võimalik teine formaat */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>
=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=
==Tuntud turvavead==

==Lahendusi==
1. Üks võimalik lahendus Bind9 kaugrünnaku vastu kaitmiseks on Chroot vangla. Chroot vangla paigutab bind9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis ei muutu ka andmete lugemine aeglaseks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle mysql andmebaasiga:

*How To Install Bind9+MySQL http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
*[HowTo]Bind9+mysql on debian http://www.hackersdiary.com/howto-bind9mysql-on-debian/
*Bind+DLZ+MySQL Hardy http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-10T16:44:30Z

Ntammann: /* BIND9 tsoonifailide võimalik teine formaat */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>
=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=
==Tuntud turvavead==

==Lahendusi==
1. Üks võimalik lahendus Bind9 kaugrünnaku vastu kaitmiseks on Chroot vangla. Chroot vangla paigutab bind9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

Teatavasti loeb BIND9 DNS andmeid tekstifailidest. Tekstifailide kasutamisel on mitmeid puudusi. Kuna BIND9 hoiad nimeserveri andmeid mälus võib sealt lugemine muutuda suuremate tsoonide puhul aeglaseks. Üheks ebamugavaks atribuudiks on ka see, et iga korda kui tehakse tsoonifailis muutusi tuleb kas teenus või konkreetne tsoon taaskäivitada. Nende probleemide lahendamiseks on võimalik hoida BIND9 tsoonifaile tekstifailide asemel andmebaasis. Sellise formaadi puhul kaoks vajadus taaskäivitada teenust iga korda kui tehakse muutus ning kuna nüüd hoitakse andmeid andmebaasis ei muutu ka andmete lugemine aeglaseks. Allolevatel linkidel on mitmeid näiteid kuidas panna BIND9 tööle mysql andmebaasiga:

http://www.digitalnerds.net/featured/how-to-install-bind9-with-mysql/
http://www.hackersdiary.com/howto-bind9mysql-on-debian/
http://ubuntuforums.org/showthread.php?t=823578

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-09T22:42:00Z

Ntammann: /* Lahendusi */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>
=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=
==Tuntud turvavead==

==Lahendusi==
1. Üks võimalik lahendus Bind9 kaugrünnaku vastu kaitmiseks on Chroot vangla. Chroot vangla paigutab bind9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=BIND9 tsoonifailide võimalik teine formaat=

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-09T22:37:48Z

Ntammann: /* Seadistamine */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>
=Logid=

Kui pole defineeritud logide asukohta asuvad need failides messages ja syslog. Nendele failidele pääseb ligi järgmiste käskudega:

<pre>
less /var/log/messages
less /var/log/syslog
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=
==Tuntud turvavead==

==Lahendusi==
1. Üks võimalik lahendus Bind9 kaugrünnaku vastu kaitmiseks on Chroot vangla. Chroot vangla paigutab bind9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-07T12:46:02Z

Ntammann: /* Viited */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=
==Tuntud turvavead==

==Lahendusi==
1. Üks võimalik lahendus Bind9 kaugrünnaku vastu kaitmiseks on Chroot vangla. Chroot vangla paigutab bind9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
*BIND DLZ http://bind-dlz.sourceforge.net/
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-07T12:41:20Z

Ntammann: /* Nõuded */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND9 serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=
==Tuntud turvavead==

==Lahendusi==
1. Üks võimalik lahendus Bind9 kaugrünnaku vastu kaitmiseks on Chroot vangla. Chroot vangla paigutab bind9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-07T12:39:56Z

Ntammann: /* Lahendusi */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=
==Tuntud turvavead==

==Lahendusi==
1. Üks võimalik lahendus Bind9 kaugrünnaku vastu kaitmiseks on Chroot vangla. Chroot vangla paigutab bind9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-07T12:37:38Z

Ntammann: /* Lahendusi */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=
==Tuntud turvavead==

==Lahendusi==
1. Üks võimalik lahendus Bind9 kaugrünnaku vastu kaitmiseks on Chroot vangla. Chroot vangla paigutab bind9 liivakasti kus tal on ligipääs kõigile vajalikele seadmetele ja failidele, kuid ei pääse ligi asjadele mida tal ei ole vaja. Selleks, et chrooti kasutada tuleb luua chroot keskkond ja lisada vastav konfiguratsioon. Täpsemalt selle kohta kuidas chrootida bind9 võib lugeda [https://help.ubuntu.com/community/BIND9ServerHowto#Chrooting%20BIND9 siit]

2.Teine lahendus mida on võimalik kasutusele võtta on AppArmor. AppArmori tööpõhimõte on sama kui chroot vanglal. Apparmor töötab vähimate õiguste põhimõttel ehk annab teenusele ainult need õigused mida vajatakse tööks. Need õigused on loetletud profiilides. AppArmor pakub mitmeid vaikimise profiile erinevate teenuste kohta (sh bind9 profiil) ning ka vahendeid, et mugavalt luua profiile teiste teenuste kohta. AppArmor on kaasas vaikimis alates Ubuntu 7.10 -st. Täpsemalt võib AppArmori ja tema seadistamise kohta lugeda [https://help.ubuntu.com/8.04/serverguide/C/apparmor.html siit].

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-07T11:57:44Z

Ntammann: /* Viimase muutmise aeg */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
7. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-07T11:32:23Z

Ntammann: /* Seadistamine */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
1. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

'''Peale muudatuse tegemist tsoonifailis tuleb tõsta Seriali numbrit ühe võrra, et muudatused hakkaksid kehtima.'''

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-01T10:53:25Z

Ntammann: /* Seadistamine */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
1. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida, siis on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-01T10:48:10Z

Ntammann: /* Seadistamine */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
1. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida on võimalik kasutada rndc käsku.

Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-01T10:47:39Z

Ntammann: /* Seadistamine */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
1. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

Kui tsooni muuta ja on soov ainult seda tsooni uuesti laadida on võimalik kasutada rndc käsku
Süntaks oleks:

<pre>
rndc reload <tsoon>
</pre>

Näiteks:
<pre>
rndc reload too.ee
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-01T10:27:12Z

Ntammann: /* Seadistamine */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
1. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Tuleb muuta ka /etc/hostname faili.

<pre>
nano /etc/hostname
</pre>

Seal muuta nimi ns-ks.
Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-01T10:23:00Z

Ntammann: /* Olukorra kirjeldus */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
1. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! NIMI
! IP AADRESS
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-01T10:22:39Z

Ntammann: /* Olukorra kirjeldus */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
1. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! header 1
! header 2
|-
| ns.too.ee
| 192.168.145.128
|-
| mail.too.ee
| 192.168.145.129
|-
| mail.koht.ee
| 192.168.145.129
|-
| mail.arendus.koht.ee
| 192.168.145.129
|-
| www.too.ee / too.ee
| 192.168.145.130
|-
| fail.koht.ee
| 192.168.145.131
|-
| masin.koht.ee
| 192.168.145.132
|-
| test.arendus.koht.ee
| 192.168.145.133
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-01T10:20:20Z

Ntammann: /* Olukorra kirjeldus */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
1. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

{| class="wikitable" border="1"
|-
! header 1
! header 2
! header 3
|-
| row 1, cell 1
| row 1, cell 2
| row 1, cell 3
|-
| row 2, cell 1
| row 2, cell 2
| row 2, cell 3
|}

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-01T10:11:30Z

Ntammann: /* Olukorra kirjeldus */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
1. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-01T10:11:13Z

Ntammann: /* Olukorra kirjeldus */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
1. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:
[[Image:Vork.jpg]]

Masinate ip-aadresside ja nimede vastavuse tabel:

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

File:Vork.jpg

2009-12-01T10:10:47Z

Ntammann:

Nimeserveri seadistamine BIND9 näitel

2009-12-01T10:08:59Z

Ntammann: /* Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
1. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

Masinate ip-aadresside ja nimede vastavuse tabel:

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb see algul täielikult eemaldada.

Selleks teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Kui ei teki vigu, siis järelikult oli bind9 juba täielikult eemaldatud või olid olemas vajalikud failid ning võite jätkata selle wiki seadistamise osaga.
Vastasel juhul tuleb nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-01T09:50:00Z

Ntammann: /* Viimase muutmise aeg */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
1. Detsember 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

Masinate ip-aadresside ja nimede vastavuse tabel:

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb kindlaks teha kas bind9 on täielikult eemaldatud süsteemist. Seda saab kontrollida järgmiste käskudega:

<pre>
less /etc/passwd | grep bind
</pre>

<pre>
less /etc/shadow | grep bind
</pre>

Kui eelnevad käsud ei andnud mingeid väljundeid tuleks talitada vastavalt antud wiki installeerimise ja seadistamise juhendile, aga kui käsud tekitasid väljundeid tuleks talitada järgnevalt:
Teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]

Nimeserveri seadistamine BIND9 näitel

2009-12-01T07:00:58Z

Ntammann: /* Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat */

=Autorid=

*Tuuli Zahvatkin
*Nils Tammann

=Versioon=
0.95(mitte valmis)

=Viimase muutmise aeg=
30. November 2009

=Sissejuhatus=
==Olukorra kirjeldus==
On olemas üks võrk 192.168.145.0/24 , kus asub kaks domeeni(too.ee ja koht.ee) ning üks alamdomeen(arendus.koht.ee).
Selles võrgus on olema veebiserver, mailiserver, failiserver, testserver ja dhcpserver.
Veebiserverile peaks saama ligi nii www-aadressiga kui ka ilma.
Mailiserverile peaks saama ligi erinevatest domeenidest nende domeeni nimega ja igalt domeenilt peaks ka kirju olema võimalik saata.
Samuti peaks olema võimalik tõendad, et kiri tuli ikka õigest domeenist ja domeeni masinast.

Võrgu ülesehituse joonis on järgmine:

Masinate ip-aadresside ja nimede vastavuse tabel:

==Eeldused==
*Peab oskama Linuxit käsurealt hallata
*Peab olema installeeritud Ubuntu server 9.10
*Masinasse peab olema paigaldatud programmid dig ja nslookup
*Masinal kuhu konfigureeritakse DNS peab olema staatiline IP-aadress. Meie näite puhul on selleks:
<pre>
IP aadress: 192.168.145.128
Võrgumask: 255.255.255.0
Vaikelüüs: 192.168.145.2
ISP DNS: 192.168.145.2
</pre>
*Tulemüüris peab olema avatud tcp/udp port 53

==Nõuded==
*Konfigureerida kaks domeeni ja üks alamdomeen.
*Reverse peaks toimima.
*Domeeni teenindava meiliserveri mx kirjed ja spf kirjed peavad olema nimeserveri domeenides.
*Ilma www-ta aadressis peab saama veebisaidile ligi.
*Nimeserveri varundamine/taastamine.
*BIND serveri turvavead.

=Installeerimine=
BIND9 paigaldamiseks sisestada järgmine käsk:

<pre>
sudo -i
apt-get install bind9
</pre>

=Seadistamine=

Minna juurkasutajaks:
<pre>
sudo -i
</pre>

Algul määratleme oma DNS serveri nime ja millises domeenis asub. Selleks muudame /etc/hosts faili.

<pre>
nano /etc/hosts
</pre>

Failis peaks muutma 127.0.1.1 aadressiga algavat rida ning muudetud rida peaks välja nägema järgmine:

<pre>
127.0.1.1 ns.too.ee ns
</pre>

Järgmiseks tuleb muuta faili /etc/bind/named.conf.options .
<pre>
nano /etc/bind/named.conf.options
</pre>
Kommenteerida sisse forwarders sektsioon ja sinna kirjutada ISP DNS serveri IP aadress.
Muudetud fail peaks välja nägema järgmine:

<pre>
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.145.2;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

</pre>

Peale seda tuleb muuta faili /etc/bind/named.conf.local
<pre>
nano /etc/bind/named.conf.local
</pre>
Sellesse faili tuleb lisada järgmised tsoonid:
<pre>
zone "145.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.145.168.192.in-addr.arpa";
};
zone "too.ee" IN {
type master;
file "/etc/bind/db.too.ee";
};
zone "koht.ee" IN {
type master;
file "/etc/bind/db.koht.ee";
};
zone "arendus.koht.ee" IN {
type master;
file "/etc/bind/db.arendus.koht.ee";
};
</pre>

Eelnevalt loodud tsoonid viitavad failidele, mis neid tsoone kirjeldavad. Selleks et neid faile luua, võtame aluseks olemasoleva localhost tsooni faili ja kopeerime seda.
<pre>
cp /etc/bind/db.127 /etc/bind/db.145.168.192.in-addr.arpa
cp /etc/bind/db.local /etc/bind/db.too.ee
cp /etc/bind/db.local /etc/bind/db.koht.ee
cp /etc/bind/db.local /etc/bind/db.arendus.koht.ee
</pre>

Nüüd muudame db.too.ee faili
<pre>
nano /etc/bind/db.too.ee
</pre>

Muudetud fail näeb välja järgmine:
<pre>
;
; BIND data file for too.ee
;
$ORIGIN too.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
too.ee. IN NS ns.too.ee.
too.ee. IN MX 10 mail.too.ee.
too.ee. IN SPF "v=spf1 a mx -all"
ns.too.ee. IN A 192.168.145.128
mail.too.ee. IN A 192.168.145.129
www.too.ee. IN CNAME too.ee.
too.ee. IN A 192.168.145.130
</pre>

Nüüd muudame db.koht.ee faili:
<pre>
nano /etc/bind/db.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for zone koht.ee
;
$ORIGIN koht.ee.
$TTL 604800
@ IN SOA ns.too.ee. root.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
koht.ee. IN NS ns.too.ee.
koht.ee. IN MX 10 mail.koht.ee.
koht.ee. IN SPF "v=spf1 a MX -all"
mail.koht.ee. IN A 192.168.145.129
fail.koht.ee. IN A 192.168.145.131
masin.koht.ee. IN A 192.168.145.132
</pre>

Nüüd muudame db.arendus.koht.ee faili:
<pre>
nano /etc/bind/db.arendus.koht.ee
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND data file for local loopback interface
;
$TTL 604800
$ORIGIN arendus.koht.ee.
@ IN SOA ns.too.ee. root.arendus.koht.ee. (
4 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
arendus.koht.ee. IN NS ns.too.ee.
arendus.koht.ee. IN MX 10 mail.arendus.koht.ee.
arendus.koht.ee. IN SPF "v=spf1 a MX -all"
test.arendus.koht.ee. IN A 192.168.145.133
mail.arendus.koht.ee. IN A 192.168.145.129
</pre>

Nüüd muudame db.145.168.192.in-addr.arpa faili:
<pre>
nano /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Muudetud fail peaks välja nägema järgmine:
<pre>
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
$ORIGIN 145.168.192.in-addr.arpa.
@ IN SOA ns.too.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
145.168.192.in-addr.arpa. IN NS ns.too.ee.
128.145.168.192.in-addr.arpa. IN PTR ns.too.ee.
129.145.168.192.in-addr.arpa. IN PTR mail.too.ee.
130.145.168.192.in-addr.arpa. IN PTR too.ee.
131.145.168.192.in-addr.arpa. IN PTR fail.koht.ee.
132.145.168.192.in-addr.arpa. IN PTR masin.koht.ee.
133.145.168.192.in-addr.arpa. IN PTR test.arendus.koht.ee.
</pre>

Kui tsoonifailid on loodud, siis tuleb muuta resolv.conf faili:
<pre>
nano /etc/resolv.conf
</pre>
Nimeserveri aadress tuleb seal muuta enda serveri aadressiks. Fail näeb peale muutmist välja järgmine:
<pre>
#domain localdomain
#search localdomain
nameserver 192.168.145.128
</pre>

Nüüd tuleks BIND9 teenus taaskäivitada järgmise käsuga:
<pre>
/etc/init.d/bind9 restart
</pre>

=Testimine=
Esiteks tuleks kontrollida kas tsoonifailid vastavad nõuetele ja tsoonile:
<pre>
named-checkzone too.ee /etc/bind/db.too.ee
named-checkzone koht.ee /etc/bind/db.koht.ee
named-checkzone arendus.koht.ee /etc/bind/db.arendus.koht.ee
named-checkzone 145.168.192.in-addr.arpa /etc/bind/db.145.168.192.in-addr.arpa
</pre>

Sinu tsoonifailid on õiged kui said vastuseks järgneva:
<pre>
zone <sinu tsooni nimi>/IN: loaded serial <tsooni faili serial>
OK
</pre>
Vastasel juhul kontrollida tsoonifailide konfiguratsiooni.

Teiseks kasutada programme dig ja nslookup, et kontrollida kas nimeserver vastab päringutele õigesti.

Näiteks:

<pre>
dig ns.too.ee

; <<>> DiG 9.6.1-P1 <<>> ns.too.ee
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4663
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns.too.ee. IN A

;; ANSWER SECTION:
ns.too.ee. 604800 IN A 192.168.145.128

;; AUTHORITY SECTION:
too.ee. 604800 IN NS ns.too.ee.

;; Query time: 2 msec
;; SERVER: 192.168.145.128#53(192.168.145.128)
;; WHEN: Mon Nov 23 15:15:30 2009
;; MSG SIZE rcvd: 57

</pre>
Kindluse mõttes korrata tegevust ka teiste domeeninimede puhul.

Kui dig programmi vastusest puudub answer sektsioon tuleks kontrollida tsoonifailide konfiguratsiooni. Kui tsoonifailid on õiged, aga vastus ikka puudub tuleks kontrollida ka named.conf.local faili ning sealt kontrollida kas tsooninimed on õiged ja kas tsoonifailide asukohad on korrekselt määratud.

Nüüd kontrollida kas toimub pöördteisendus. Selleks käivitada nslookup ja sisestada ip aadressid ning vaadata kas ip aadress vastab õigele masina nimele.

Näiteks:
<pre>
nslookup
> 192.168.145.129
Server: 192.168.145.128
Address: 192.168.145.128#53

129.145.168.192.in-addr.arpa name = mail.too.ee.
</pre>
Kindluse mõttes korrata tegevust ülejäänud ip-aadresside puhul.

=Teenuse varundamine=

Teenuse varundamiseks tuleb teha koopia /etc/bind kataloogist ja seal asuvatest failidest.
Käsk selleks on :
<pre>
cp -a /etc/bind /backup/
</pre>

=Teenuse taastamine=

==Teenuse taastamine, kui on olemas varukoopia==
Teenuse taastamiseks tuleb kopeerida varundatud kataloog /etc/bind kataloogi asemele

<pre>
cp -a /backup/bind/ /etc/
</pre>

==Teenuse taastamine, kui on alles kataloogid ja failid aga bind9 on kadunud==

Selle puhul tuleb bind9 uuesti installeerida. Järgi selleks antud wiki installeerimise osa.

==Teenuse taastamine, kui on kadunud bind9 ja konfiguratsiooni failid ning pole varukoopiat==

Et saaks bind9-t uuesti paigaldada, tuleb kindlaks teha kas bind9 on täielikult eemaldatud süsteemist. Seda saab kontrollida järgmiste käskudega:

<pre>
less /etc/passwd | grep bind
</pre>

<pre>
less /etc/shadow | grep bind
</pre>

Kui eelnevad käsud ei andnud mingeid väljundeid tuleks talitada vastavalt antud wiki installeerimise ja seadistamise juhendile, aga kui käsud tekitasid väljundeid tuleks talitada järgnevalt:
Teha bind9 install, mis antud hetkel paigaldab teenuse ilma konfiguratsioonifailideta.
<pre>
apt-get install bind9
</pre>
Paigaldamisel peaksid tekkima vead ja neid võib hetkel ignoreerida.
Nüüd eemaldada bind9 täielikult käsuga:
<pre>
apt-get remove bind9 --purge
</pre>

Nüüd on bind9 koos kasutajate ja failidega süsteemist eemaldatud. Edasi tuleks tegutseda vastavalt antud wiki installeerimise ja seadistamise osale.

=Turvavead ja võimalikud lahendused=

=Viited=
*BIND9ServerHowto https://help.ubuntu.com/community/BIND9ServerHowto
*DNS ja BIND http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND
*Nimeserveri tööleseadmine http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
*DNS for Rocket Scientists http://www.zytrax.com/books/dns/
*AppArmor https://help.ubuntu.com/8.04/serverguide/C/apparmor.html
*DNS HOWTO http://www.tldp.org/HOWTO/DNS-HOWTO.html
[[Category:IT infrastruktuuri teenused]]