Ausführliche Anleitung zur Einrichtung des BIND DNS-Resolvers unter RHEL 9/Rocky 9/Alma 9

Q: Wie richte ich einen reinen Caching-Resolver ein?

Sie können einen Caching-Resolver einrichten, indem Sie die Pakete bind und bind-utils installieren, den Abschnitt options in /etc/named.conf konfigurieren (Rekursion ja und Weiterleitungen angegeben) und den named-Dienst aktivieren.

Q: Soll ich den DNS-Server für das öffentliche Netzwerk öffnen?

Nein; aus Sicherheitsgründen sollten Sie die Zulassungsabfragen auf bestimmte Subnetze beschränken und vermeiden, den Resolver öffentlich zugänglich zu machen.

Q: Wie kann ich unautorisierte AXFR verhindern?

Verwenden Sie TSIG-Schlüssel für autoritative Zonen und beschränken Sie die Übertragung auf autorisierte Clients oder Schlüssel.

Q: Wie aktiviere ich DNSSEC?

Die Einstellung dnssec-validation auto in /etc/named.conf und die Sicherstellung, dass das Verzeichnis managed-keys-directory (/var/named/dynamic) existiert, ist der erste Aktivierungsprozess.

Q: Was kann ich tun, um mich vor DDoS-Angriffen zu schützen?

Es wird empfohlen, in der BIND-Konfiguration eine Ratenbegrenzung zu verwenden, RPZ zum Blockieren schädlicher Domänen einzusetzen und Dienste mit Anycast/BGP und geografischer Zoneneinteilung zu verteilen.

Möchten Sie einen sicheren lokalen Resolver auf RHEL 9/ Rocky 9/ Alma 9 einrichten?
Voraussetzungen und Erstinstallation
1. Voraussetzungen
2. Erstinstallation
Basisdateien prüfen und Konfiguration validieren
Empfohlene Konfiguration für einen Caching-Resolver (Basis)
RNDC-Schlüsselgenerierung und Fernverwaltung
Firewall und SELinux
1. Öffnen von Ports in firewalld
2. SELinux-Einstellungen
Mehr Sicherheit: Einschränkung, Überwachung und Verhinderung von Missbrauch
Überwachung, Protokollierung und Fehlerbehebung
1. Protokolle und Rotation
2. Funktionsbefehle
Erweiterte Szenarien: Ansichten, Split-Horizon und verteilte Server
1. Ansichten für geteilten Horizont
2. Geografische Verteilung und Anycast
Praktische Tipps für verschiedene Anwendungen
Vollständige Zusammenfassung – Konfigurationsbeispiel (Kurzbeispiel)
Abschließende Tipps und bewährte Vorgehensweisen
Warum sollte dieser Dienst auf der Cloud-Infrastruktur des Anbieters implementiert werden?
Häufig gestellte Fragen

Möchten Sie einen sicheren lokalen Resolver auf RHEL 9/ Rocky 9/ Alma 9 einrichten?

Diese Anleitung führt Sie Schritt für Schritt durch die Implementierung eines Resolver (lokaler Resolver) Bezogen auf BINDEN Auf der Grundlage von Verteilungen RHEL 9 Wie Rocky Linux 9 Und Alma Linux 9 Wir arbeiten daran. Ziel ist es, einen sicheren, überwachbaren und optimierten Resolver für den Einsatz in internen Netzwerken, Cloud-Servern und Workload-Clustern bereitzustellen – perfekt für Webmaster, DevOps-Teams, Trader, Gamer und KI-Teams, die die Latenz reduzieren und die Stabilität der DNS-Auflösung erhöhen müssen.

Voraussetzungen und Erstinstallation

Voraussetzungen

Server RHEL 9/Rocky Linux 9/Alma Linux 9 Mit Root- oder sudo-Zugriff.
Internetzugang zum Aktualisieren und Herunterladen von Root-Hints/Weiterleitungen.
Pakete binden Und bind-utils.

Erstinstallation

Verwenden Sie die folgenden Befehle, um BIND zu aktualisieren und zu installieren:

sudo dnf update -y
sudo dnf install -y bind bind-utils
sudo systemctl enable --now named
sudo systemctl status named

Basisdateien prüfen und Konfiguration validieren

Wichtige Dateien und Pfade:

/etc/named.conf — Hauptkonfiguration
/var/named — Standardzonenverzeichnis
/etc/rndc.key (nach rndc-confgen -a)
/var/named/data — Protokolle und Cache-Dumps

Nutzen Sie die folgenden Tools, um die Konfiguration schnell zu überprüfen:

sudo named-checkconf
sudo named-checkzone example.com /var/named/example.com.zone

Empfohlene Konfiguration für einen Caching-Resolver (Basis)

In /etc/named.conf Abschnitt Optionen Bearbeiten Sie die folgenden Schritte. Dies ist ein funktionierendes Beispiel für einen lokalen Resolver mit Abfragebeschränkungen und Weiterleitungen:

options {
    directory "/var/named";
    listen-on port 53 { 127.0.0.1; 10.10.10.5; };
    listen-on-v6 { none; };
    allow-query { localhost; localnets; 10.10.10.0/24; };
    recursion yes;
    forwarders { 1.1.1.1; 8.8.8.8; };
    dnssec-validation auto;
    managed-keys-directory "/var/named/dynamic";
    minimal-responses yes;
    max-cache-ttl 86400;
    max-ncache-ttl 3600;
    rate-limit {
        responses-per-second 10;
        window 5;
    };
    auth-nxdomain no;
};

Wenn sich dieser Resolver im öffentlichen Netzwerk befindet, Abfrage zulassen Begrenzung zur Erhöhung des Sicherheitsfaktors.

Praktische Tipps:

Spediteure Kann den Anycast-Resolvern des Unternehmens oder Cloudflare/Google zugewiesen werden; es wird empfohlen, den nächstgelegenen Standort zu verwenden, um die Latenz zu reduzieren.
minimale Reaktionen Angemessene TTLs reduzieren den Datenverkehr und verbessern die Leistung.

RNDC-Schlüsselgenerierung und Fernverwaltung

Verwenden Sie RNDC, um BIND sicher zu verwalten. Generieren Sie zuerst den Schlüssel und starten Sie dann den Dienst neu:

sudo rndc-confgen -a
sudo systemctl restart named
sudo rndc status

Firewall und SELinux

Öffnen von Ports in firewalld

sudo firewall-cmd --permanent --add-port=53/udp
sudo firewall-cmd --permanent --add-port=53/tcp
sudo firewall-cmd --reload

SELinux-Einstellungen

Wenn Sie SELinux verwenden, nutzen Sie die folgenden Befehle, um Kontext und Berechtigungen festzulegen:

sudo restorecon -Rv /var/named
sudo setsebool -P named_write_master_zones on
sudo semanage port -a -t dns_port_t -p tcp 53
sudo semanage port -a -t dns_port_t -p udp 53

Mehr Sicherheit: Einschränkung, Überwachung und Verhinderung von Missbrauch

Verbot der unbefugten Vervielfältigung (Zonenübertragung)

Verwenden Sie TSIG-Schlüssel, um unautorisierte AXFR-Zugriffe in autoritativen Zonen zu verhindern. Das folgende Beispiel zeigt die Schlüsseldefinition und die Übertragungsbeschränkung:

key "xfr-key" {
    algorithm hmac-sha256;
    secret "BASE64-SECRET";
};
zone "example.com" IN {
    type master;
    file "example.com.zone";
    allow-transfer { key "xfr-key"; };
};

Warnung: Bei einem reinen Caching-Resolver gibt es normalerweise keine Master-Zonen; wenn Ihr Server jedoch auch autoritativ ist, Definitiv. Die Übertragung sollte eingeschränkt werden.

DDoS- und Ratenbegrenzungslösungen

Aus Ratenbegrenzung In Optionen verwenden.
Verwendung von RPZ (Response Policy Zone) Um schädliche Domains zu blockieren.
Auf Netzwerkebene sollten Anti-DDoS- und Anycast/BGP-Lösungen eingesetzt werden, um schädlichen Datenverkehr zu verteilen.

DNSSEC und Validierung

Durch Aktivierung dnssec-validation autoDer Resolver prüft die DNSSEC-Signatur und weist schädliche Antworten zurück. Stellen Sie sicher, dass managed-keys vorhanden ist.

sudo ls /var/named/dynamic

Überwachung, Protokollierung und Fehlerbehebung

Protokolle und Rotation

BIND protokolliert standardmäßig. /var/named/data/ Zum Verwalten von Dateien von logrotate Protokolle können an syslog/journal umgeleitet werden.

Funktionsbefehle

dig @10.10.10.5 example.com +stats
dig @10.10.10.5 google.com +short
sudo rndc flush
sudo named-checkconf
sudo named-checkzone example.com /var/named/example.com.zone
sudo systemctl status named
sudo journalctl -u named -f

Erweiterte Szenarien: Ansichten, Split-Horizon und verteilte Server

Ansichten für geteilten Horizont

Um auf interne und externe Kunden unterschiedlich zu reagieren Ansichten Anwendung. Beispiel:

acl "internal" { 10.10.10.0/24; localhost; };
view "internal" {
    match-clients { "internal"; };
    recursion yes;
    zone "example.com" {
        type master;
        file "zones/db.example.internal";
    };
};
view "external" {
    match-clients { any; };
    recursion no;
    zone "example.com" {
        type master;
        file "zones/db.example.public";
    };
};

Geografische Verteilung und Anycast

Für Dienste mit geringen Latenzanforderungen (z. B. Händler, Gamer) erzielt die Verteilung von Resolvern an verschiedenen Standorten und die Verwendung von Anycast/BGP die besten Ergebnisse. Das Unternehmen, das diese Lösung anbietet, verfügt über mehr als 85 Standorte weltweit Und Anycast- und CDN-Infrastruktur zur Bereitstellung verteilter Resolver, DDoS-Schutz und BGP-Konnektivität.

Praktische Tipps für verschiedene Anwendungen

Für Website- und WordPress-Administratoren

Nutzen Sie internes Resolver-Caching auf Cloud-Servern, um DNS-Abfragen zu reduzieren.
Einstellung minimale Reaktionen und die Rationalisierung von TTLs zur Verbesserung der Seitenladegeschwindigkeit.
Die Kombination von CDN und DNS wird empfohlen, um die Latenz zu reduzieren und die Verfügbarkeit zu erhöhen.

Für DevOps- und KI/Render-Cluster

Führen Sie auf jedem Knoten einen lokalen Resolver oder einen zentralen Resolver mit hoher Kapazität aus, um einen schnelleren Zugriff auf Registries und Ressourcen zu ermöglichen.
Verwenden Sie DNS-Caching in CI/CD-Jobs und Paket-Downloads.
In großen Umgebungen sollte Split-Horizon verwendet werden, um interne und externe Dienste zu trennen.

Für Händler und Gamer

Platzierung des Resolvers am nächstgelegenen geografischen Standort 85 Standorte Zur Reduzierung des Pings wird empfohlen.
Nutzen Sie Anycast-Resolver und Anti-DDoS-Server, um die Stabilität zu erhöhen und sich vor Angriffen zu schützen.

Vollständige Zusammenfassung – Konfigurationsbeispiel (Kurzbeispiel)

Ein wichtiger Bestandteil von /etc/named.conf:

options {
    directory "/var/named";
    listen-on port 53 { 127.0.0.1; 10.10.10.5; };
    allow-query { localhost; localnets; 10.10.10.0/24; };
    recursion yes;
    forwarders { 1.1.1.1; 8.8.8.8; };
    dnssec-validation auto;
    minimal-responses yes;
    rate-limit { responses-per-second 10; window 5; };
};

Abschließende Tipps und bewährte Vorgehensweisen

Stets Führen Sie vor dem Neustart die Befehle named-checkconf und named-checkzone aus.
Legen Sie fest, dass der Zugriff auf Subnetze beschränkt ist; vermeiden Sie es, den Resolver für alle zugänglich zu machen.
Verwenden Sie TSIG-Schlüssel für Zonentransfers und rndc-confgen -a Zur sicheren Verwaltung verwenden.
Protokolle überwachen und Alarmschwellenwerte für erhöhten Datenverkehr oder Fehler definieren.
Wenn Sie der Öffentlichkeit dienen, nutzen Sie die Anti-DDoS-Infrastruktur und die geografische Verteilung.

Warum sollte dieser Dienst auf der Cloud-Infrastruktur des Anbieters implementiert werden?

Vorteile:

Durch den Einsatz von Resolvern an verschiedenen geografischen Standorten können Ping-Zeiten reduziert und schnelle Reaktionszeiten ermöglicht werden.
Erweiterter Schutz mit Anti-DDoS- und Netzwerk-Firewalls.
Integration mit CDNs und verteilten Netzwerken zur Steigerung der Verfügbarkeit und Reduzierung der Latenz.
Managed-Tarife (Managed DNS) und die Möglichkeit, GitLab, Datenbanken und KI-Infrastruktur zu hosten.

Der Infrastrukturanbieter verfügt über mehr als 85 Standorte weltweit und bietet leistungsstarke Cloud-Server, Anti-DDoS-Server, Trading- und Gaming-VPS, CDN- und BGP-Lösungen, die sich für Dienste eignen, die einen niedrigen Ping und eine hohe Verfügbarkeit erfordern.