دليل شامل لإعداد برنامج BIND DNS Resolver على أنظمة RHEL 9/Rocky 9/Alma 9
كيفية إعداد مُحلِّل DNS آمن ومُحسَّن باستخدام BIND على توزيعات RHEL 9؟

دليل شامل لإعداد برنامج BIND DNS Resolver على أنظمة RHEL 9/Rocky 9/Alma 9

  • قراءة دقيقة واحدة
سيساعدك هذا الدليل على إعداد محلل DNS آمن ومُحسَّن باستخدام BIND على RHEL 9 أو Rocky Linux 9 أو Alma Linux 9. ستتعلم نصائح عملية، وأمان، وتحسين ذاكرة التخزين المؤقت، ويمكنك تقليل زمن الاستجابة.
إلهي
  • 21 ديسمبر 2025
0 الأسهم
0
0
0
0
0
الأسهم
0
0
0
0
  1. هل ترغب في إعداد محلل محلي آمن على RHEL 9/ Rocky 9/ Alma 9؟
  2. المتطلبات الأساسية والتثبيت الأولي
    1. المتطلبات الأساسية
    2. التثبيت الأولي
  3. فحص الملفات الأساسية والتحقق من صحة التكوين
  4. التكوين الموصى به لمحلل التخزين المؤقت (أساسي)
  5. توليد مفاتيح RNDC وإدارتها عن بعد
  6. جدار الحماية و SELinux
    1. فتح المنافذ في جدار الحماية
    2. إعدادات SELinux
  7. مزيد من الأمن: تقييد الإساءة ومراقبتها ومنعها
    1. حظر النسخ غير المصرح به (نقل المنطقة)
    2. حلول الحماية من هجمات DDoS والحد من معدل الطلبات
    3. DNSSEC والتحقق
  8. المراقبة والتسجيل واستكشاف الأخطاء وإصلاحها
    1. قم بتدوير السجلات
    2. الأوامر الوظيفية
  9. سيناريوهات متقدمة: العروض، وتقسيم الأفق، والخوادم الموزعة
    1. عرض الأفق المنقسم
    2. التوزيع الجغرافي وتقنية Anycast
  10. نصائح عملية لتطبيقات مختلفة
    1. لمسؤولي المواقع الإلكترونية ووردبريس
    2. لمجموعات DevOps ومجموعات الذكاء الاصطناعي/العرض
    3. للتجار واللاعبين
  11. مثال على التكوين الموجز الكامل (مثال سريع)
  12. نصائح أخيرة وأفضل الممارسات
  13. لماذا يتم تطبيق هذه الخدمة على البنية التحتية السحابية للمزود؟
  14. الأسئلة الشائعة

هل ترغب في إعداد محلل محلي آمن على RHEL 9/ Rocky 9/ Alma 9؟

سيرشدك هذا الدليل خطوة بخطوة خلال عملية تنفيذ محلل (محلل محلي) مرتكز على ربط حول التوزيعات القائمة على RHEL 9 يحب روكي لينكس 9 و ألما لينكس 9 نحن ندرس الأمر. الهدف هو توفير مُحلِّل أسماء نطاقات آمن وقابل للمراقبة ومُحسَّن للاستخدام في الشبكات الداخلية وخوادم السحابة ومجموعات أحمال العمل - وهو مثالي لمشرفي المواقع الإلكترونية، ومهندسي DevOps، والمتداولين، واللاعبين، وفرق الذكاء الاصطناعي الذين يحتاجون إلى تقليل زمن الاستجابة وزيادة استقرار تحليل نظام أسماء النطاقات.

المتطلبات الأساسية والتثبيت الأولي

المتطلبات الأساسية

  • الخادم RHEL 9/روكي لينكس 9/ألما لينكس 9 مع صلاحيات المستخدم الجذر أو sudo.
  • الوصول إلى الإنترنت لتحديث وتنزيل تلميحات/مُوجِّهات الجذر.
  • الطرود ربط و bind-utils.

التثبيت الأولي

استخدم الأوامر التالية لتحديث وتثبيت BIND:

sudo dnf update -y
sudo dnf install -y bind bind-utils
sudo systemctl enable --now named
sudo systemctl status named

فحص الملفات الأساسية والتحقق من صحة التكوين

الملفات والمسارات المهمة:

  • /etc/named.conf — التكوين الرئيسي
  • /var/named — دليل المنطقة الافتراضي
  • /etc/rndc.key (بعد rndc-confgen -a)
  • /var/named/data — سجلات النظام وملفات تفريغ ذاكرة التخزين المؤقت

استخدم الأدوات التالية للتحقق من الإعدادات بسرعة:

sudo named-checkconf
sudo named-checkzone example.com /var/named/example.com.zone

التكوين الموصى به لمحلل التخزين المؤقت (أساسي)

في /etc/named.conf قسم خيارات قم بالتعديل كما يلي. هذا مثال عملي لمُحلِّل محلي مع قيود الاستعلام والمُوجِّهات:

options {
    directory "/var/named";
    listen-on port 53 { 127.0.0.1; 10.10.10.5; };
    listen-on-v6 { none; };
    allow-query { localhost; localnets; 10.10.10.0/24; };
    recursion yes;
    forwarders { 1.1.1.1; 8.8.8.8; };
    dnssec-validation auto;
    managed-keys-directory "/var/named/dynamic";
    minimal-responses yes;
    max-cache-ttl 86400;
    max-ncache-ttl 3600;
    rate-limit {
        responses-per-second 10;
        window 5;
    };
    auth-nxdomain no;
};

نصائح عملية:

  • شركات الشحن يمكن تعيينها إلى محللات Anycast الخاصة بالشركة أو إلى Cloudflare/Google؛ ويوصى باستخدام أقرب موقع لتقليل زمن الوصول.
  • الحد الأدنى من الاستجابات وتؤدي قيم TTL المعقولة إلى تقليل حركة البيانات وتحسين الأداء.

توليد مفاتيح RNDC وإدارتها عن بعد

استخدم RNDC لإدارة BIND بشكل آمن. قم أولاً بإنشاء المفتاح ثم أعد تشغيل الخدمة:

sudo rndc-confgen -a
sudo systemctl restart named
sudo rndc status

جدار الحماية و SELinux

فتح المنافذ في جدار الحماية

sudo firewall-cmd --permanent --add-port=53/udp
sudo firewall-cmd --permanent --add-port=53/tcp
sudo firewall-cmd --reload

إعدادات SELinux

إذا كنت تستخدم SELinux، فاستخدم الأوامر التالية لضبط السياق والأذونات:

sudo restorecon -Rv /var/named
sudo setsebool -P named_write_master_zones on
sudo semanage port -a -t dns_port_t -p tcp 53
sudo semanage port -a -t dns_port_t -p udp 53

مزيد من الأمن: تقييد الإساءة ومراقبتها ومنعها

حظر النسخ غير المصرح به (نقل المنطقة)

استخدم مفاتيح TSIG لمنع نقل البيانات غير المصرح به (AXFR) في المناطق المعتمدة. يوضح المثال التالي تعريف المفتاح وقيود السماح بالنقل:

key "xfr-key" {
    algorithm hmac-sha256;
    secret "BASE64-SECRET";
};
zone "example.com" IN {
    type master;
    file "example.com.zone";
    allow-transfer { key "xfr-key"; };
};

حلول الحماية من هجمات DDoS والحد من معدل الطلبات

  • من حد المعدل استخدم في الخيارات.
  • استخدام منطقة سياسة الاستجابة (RPZ) لحظر النطاقات الضارة.
  • على مستوى الشبكة، استخدم حلول مكافحة هجمات DDoS و Anycast/BGP لتوزيع حركة المرور الضارة.

DNSSEC والتحقق

عن طريق التنشيط التحقق التلقائي من DNSSECيقوم المُحلِّل بفحص توقيع DNSSEC ويتم رفض الاستجابات الضارة. تأكد من وجود managed-keys.

sudo ls /var/named/dynamic

المراقبة والتسجيل واستكشاف الأخطاء وإصلاحها

قم بتدوير السجلات

يتم تسجيل سجلات BIND افتراضيًا. /var/named/data/ لإدارة الملفات من لوغاريتمي استخدم أو أعد توجيه السجلات إلى syslog/journal.

الأوامر الوظيفية

dig @10.10.10.5 example.com +stats
dig @10.10.10.5 google.com +short
sudo rndc flush
sudo named-checkconf
sudo named-checkzone example.com /var/named/example.com.zone
sudo systemctl status named
sudo journalctl -u named -f

سيناريوهات متقدمة: العروض، وتقسيم الأفق، والخوادم الموزعة

عرض الأفق المنقسم

الاستجابة بشكل مختلف للعملاء الداخليين والخارجيين من المشاهدات مثال على الاستخدام:

acl "internal" { 10.10.10.0/24; localhost; };
view "internal" {
    match-clients { "internal"; };
    recursion yes;
    zone "example.com" {
        type master;
        file "zones/db.example.internal";
    };
};
view "external" {
    match-clients { any; };
    recursion no;
    zone "example.com" {
        type master;
        file "zones/db.example.public";
    };
};

التوزيع الجغرافي وتقنية Anycast

بالنسبة للخدمات التي تتطلب زمن استجابة منخفضًا (مثل خدمات التداول والألعاب)، فإن توزيع أجهزة تحليل العناوين في مواقع مختلفة واستخدام بروتوكول Anycast/BGP يُعطي أفضل النتائج. تمتلك الشركة التي تُقدم هذا الحل أكثر من 85 موقعًا عالميًا وبنية تحتية لتقنية Anycast وCDN لنشر محللات موزعة، وحماية من هجمات DDoS، واتصال BGP.

نصائح عملية لتطبيقات مختلفة

لمسؤولي المواقع الإلكترونية ووردبريس

  • استخدم التخزين المؤقت الداخلي للمحلل على خوادم السحابة لتقليل عمليات البحث عن نظام أسماء النطاقات (DNS).
  • جلسة الحد الأدنى من الاستجابات وترشيد مدة صلاحية الصفحات لتحسين سرعة تحميلها.
  • يوصى بدمج شبكة توصيل المحتوى (CDN) ونظام أسماء النطاقات (DNS) لتقليل زمن الاستجابة وزيادة التوافر.

لمجموعات DevOps ومجموعات الذكاء الاصطناعي/العرض

  • قم بتشغيل محلل محلي على كل عقدة أو محلل مركزي عالي السعة للوصول بشكل أسرع إلى السجلات والموارد.
  • استخدم التخزين المؤقت لنظام أسماء النطاقات (DNS) في مهام التكامل المستمر/التسليم المستمر (CI/CD) وتنزيلات الحزم.
  • في البيئات الكبيرة، استخدم تقسيم الأفق لفصل الخدمات الداخلية والخارجية.

للتجار واللاعبين

  • وضع جهاز التحليل في أقرب موقع جغرافي 85 موقعًا يُنصح به لتقليل زمن الاستجابة (ping).
  • استخدم محللات Anycast وخوادم مكافحة DDoS لزيادة الاستقرار والحماية من الهجمات.

مثال على التكوين الموجز الكامل (مثال سريع)

جزء مهم من /etc/named.conf:

options {
    directory "/var/named";
    listen-on port 53 { 127.0.0.1; 10.10.10.5; };
    allow-query { localhost; localnets; 10.10.10.0/24; };
    recursion yes;
    forwarders { 1.1.1.1; 8.8.8.8; };
    dnssec-validation auto;
    minimal-responses yes;
    rate-limit { responses-per-second 10; window 5; };
};

نصائح أخيرة وأفضل الممارسات

  • دائماً قم بتشغيل named-checkconf و named-checkzone قبل إعادة التشغيل.
  • حدد الوصول المحدود للشبكات الفرعية؛ تجنب ترك المُحلِّل مفتوحًا للجميع.
  • استخدم مفاتيح TSIG لنقل المناطق و rndc-confgen -a يُستخدم للإدارة الآمنة.
  • مراقبة السجلات وتحديد عتبات التنبيه لزيادة حركة المرور أو الأخطاء.
  • إذا كنت تقدم خدماتك للجمهور، فاستفد من البنية التحتية المضادة لهجمات DDoS والتوزيع الجغرافي.

لماذا يتم تطبيق هذه الخدمة على البنية التحتية السحابية للمزود؟

المزايا:

  • قم بنشر أجهزة تحليل الخوادم في مواقع جغرافية مختلفة لتقليل زمن الاستجابة (ping) وتوفير استجابة سريعة.
  • حماية متقدمة مع نظام مكافحة هجمات DDoS وجدران حماية الشبكة.
  • التكامل مع شبكات توصيل المحتوى (CDNs) والشبكات الموزعة لزيادة التوافر وتقليل زمن الاستجابة.
  • الخطط المُدارة (نظام أسماء النطاقات المُدار) والقدرة على استضافة GitLab وقواعد البيانات والبنية التحتية للذكاء الاصطناعي.

الأسئلة الشائعة

في هذه المقالة:
,,
تم كتابة التدوينة بواسطة:
يتبع
المقال السابق
المقال التالي
قد يعجبك أيضاً