Ausführliche Anleitung zur Einrichtung des BIND DNS-Resolvers unter RHEL 9/Rocky 9/Alma 9
Wie richtet man einen sicheren und optimierten DNS-Resolver mit BIND auf RHEL 9-Distributionen ein?

Ausführliche Anleitung zur Einrichtung des BIND DNS-Resolvers unter RHEL 9/Rocky 9/Alma 9

  • 1-Ansicht
  • 5-Minutenlesung
Diese Anleitung hilft Ihnen bei der Einrichtung eines sicheren und optimierten DNS-Resolvers mit BIND unter RHEL 9, Rocky Linux 9 oder Alma Linux 9. Sie lernen praktische Tipps, Sicherheitsaspekte und Cache-Optimierung kennen und können die Latenz reduzieren.
Elahe
  • 21. Dezember 2025
0 Aktien
0
0
0
0
0
Aktien
0
0
0
0
  1. Möchten Sie einen sicheren lokalen Resolver auf RHEL 9/ Rocky 9/ Alma 9 einrichten?
  2. Voraussetzungen und Erstinstallation
    1. Voraussetzungen
    2. Erstinstallation
  3. Basisdateien prüfen und Konfiguration validieren
  4. Empfohlene Konfiguration für einen Caching-Resolver (Basis)
  5. RNDC-Schlüsselgenerierung und Fernverwaltung
  6. Firewall und SELinux
    1. Öffnen von Ports in firewalld
    2. SELinux-Einstellungen
  7. Mehr Sicherheit: Einschränkung, Überwachung und Verhinderung von Missbrauch
    1. Verbot der unbefugten Vervielfältigung (Zonenübertragung)
    2. DDoS- und Ratenbegrenzungslösungen
    3. DNSSEC und Validierung
  8. Überwachung, Protokollierung und Fehlerbehebung
    1. Protokolle und Rotation
    2. Funktionsbefehle
  9. Erweiterte Szenarien: Ansichten, Split-Horizon und verteilte Server
    1. Ansichten für geteilten Horizont
    2. Geografische Verteilung und Anycast
  10. Praktische Tipps für verschiedene Anwendungen
    1. Für Website- und WordPress-Administratoren
    2. Für DevOps- und KI/Render-Cluster
    3. Für Händler und Gamer
  11. Vollständige Zusammenfassung – Konfigurationsbeispiel (Kurzbeispiel)
  12. Abschließende Tipps und bewährte Vorgehensweisen
  13. Warum sollte dieser Dienst auf der Cloud-Infrastruktur des Anbieters implementiert werden?
  14. Häufig gestellte Fragen

Möchten Sie einen sicheren lokalen Resolver auf RHEL 9/ Rocky 9/ Alma 9 einrichten?

Diese Anleitung führt Sie Schritt für Schritt durch die Implementierung eines Resolver (lokaler Resolver) Bezogen auf BINDEN Auf der Grundlage von Verteilungen RHEL 9 Wie Rocky Linux 9 Und Alma Linux 9 Wir arbeiten daran. Ziel ist es, einen sicheren, überwachbaren und optimierten Resolver für den Einsatz in internen Netzwerken, Cloud-Servern und Workload-Clustern bereitzustellen – perfekt für Webmaster, DevOps-Teams, Trader, Gamer und KI-Teams, die die Latenz reduzieren und die Stabilität der DNS-Auflösung erhöhen müssen.

Voraussetzungen und Erstinstallation

Voraussetzungen

  • Server RHEL 9/Rocky Linux 9/Alma Linux 9 Mit Root- oder sudo-Zugriff.
  • Internetzugang zum Aktualisieren und Herunterladen von Root-Hints/Weiterleitungen.
  • Pakete binden Und bind-utils.

Erstinstallation

Verwenden Sie die folgenden Befehle, um BIND zu aktualisieren und zu installieren:

sudo dnf update -y
sudo dnf install -y bind bind-utils
sudo systemctl enable --now named
sudo systemctl status named

Basisdateien prüfen und Konfiguration validieren

Wichtige Dateien und Pfade:

  • /etc/named.conf — Hauptkonfiguration
  • /var/named — Standardzonenverzeichnis
  • /etc/rndc.key (nach rndc-confgen -a)
  • /var/named/data — Protokolle und Cache-Dumps

Nutzen Sie die folgenden Tools, um die Konfiguration schnell zu überprüfen:

sudo named-checkconf
sudo named-checkzone example.com /var/named/example.com.zone

Empfohlene Konfiguration für einen Caching-Resolver (Basis)

In /etc/named.conf Abschnitt Optionen Bearbeiten Sie die folgenden Schritte. Dies ist ein funktionierendes Beispiel für einen lokalen Resolver mit Abfragebeschränkungen und Weiterleitungen:

options {
    directory "/var/named";
    listen-on port 53 { 127.0.0.1; 10.10.10.5; };
    listen-on-v6 { none; };
    allow-query { localhost; localnets; 10.10.10.0/24; };
    recursion yes;
    forwarders { 1.1.1.1; 8.8.8.8; };
    dnssec-validation auto;
    managed-keys-directory "/var/named/dynamic";
    minimal-responses yes;
    max-cache-ttl 86400;
    max-ncache-ttl 3600;
    rate-limit {
        responses-per-second 10;
        window 5;
    };
    auth-nxdomain no;
};

Praktische Tipps:

  • Spediteure Kann den Anycast-Resolvern des Unternehmens oder Cloudflare/Google zugewiesen werden; es wird empfohlen, den nächstgelegenen Standort zu verwenden, um die Latenz zu reduzieren.
  • minimale Reaktionen Angemessene TTLs reduzieren den Datenverkehr und verbessern die Leistung.

RNDC-Schlüsselgenerierung und Fernverwaltung

Verwenden Sie RNDC, um BIND sicher zu verwalten. Generieren Sie zuerst den Schlüssel und starten Sie dann den Dienst neu:

sudo rndc-confgen -a
sudo systemctl restart named
sudo rndc status

Firewall und SELinux

Öffnen von Ports in firewalld

sudo firewall-cmd --permanent --add-port=53/udp
sudo firewall-cmd --permanent --add-port=53/tcp
sudo firewall-cmd --reload

SELinux-Einstellungen

Wenn Sie SELinux verwenden, nutzen Sie die folgenden Befehle, um Kontext und Berechtigungen festzulegen:

sudo restorecon -Rv /var/named
sudo setsebool -P named_write_master_zones on
sudo semanage port -a -t dns_port_t -p tcp 53
sudo semanage port -a -t dns_port_t -p udp 53

Mehr Sicherheit: Einschränkung, Überwachung und Verhinderung von Missbrauch

Verbot der unbefugten Vervielfältigung (Zonenübertragung)

Verwenden Sie TSIG-Schlüssel, um unautorisierte AXFR-Zugriffe in autoritativen Zonen zu verhindern. Das folgende Beispiel zeigt die Schlüsseldefinition und die Übertragungsbeschränkung:

key "xfr-key" {
    algorithm hmac-sha256;
    secret "BASE64-SECRET";
};
zone "example.com" IN {
    type master;
    file "example.com.zone";
    allow-transfer { key "xfr-key"; };
};

DDoS- und Ratenbegrenzungslösungen

  • Aus Ratenbegrenzung In Optionen verwenden.
  • Verwendung von RPZ (Response Policy Zone) Um schädliche Domains zu blockieren.
  • Auf Netzwerkebene sollten Anti-DDoS- und Anycast/BGP-Lösungen eingesetzt werden, um schädlichen Datenverkehr zu verteilen.

DNSSEC und Validierung

Durch Aktivierung dnssec-validation autoDer Resolver prüft die DNSSEC-Signatur und weist schädliche Antworten zurück. Stellen Sie sicher, dass managed-keys vorhanden ist.

sudo ls /var/named/dynamic

Überwachung, Protokollierung und Fehlerbehebung

Protokolle und Rotation

BIND protokolliert standardmäßig. /var/named/data/ Zum Verwalten von Dateien von logrotate Protokolle können an syslog/journal umgeleitet werden.

Funktionsbefehle

dig @10.10.10.5 example.com +stats
dig @10.10.10.5 google.com +short
sudo rndc flush
sudo named-checkconf
sudo named-checkzone example.com /var/named/example.com.zone
sudo systemctl status named
sudo journalctl -u named -f

Erweiterte Szenarien: Ansichten, Split-Horizon und verteilte Server

Ansichten für geteilten Horizont

Um auf interne und externe Kunden unterschiedlich zu reagieren Ansichten Anwendung. Beispiel:

acl "internal" { 10.10.10.0/24; localhost; };
view "internal" {
    match-clients { "internal"; };
    recursion yes;
    zone "example.com" {
        type master;
        file "zones/db.example.internal";
    };
};
view "external" {
    match-clients { any; };
    recursion no;
    zone "example.com" {
        type master;
        file "zones/db.example.public";
    };
};

Geografische Verteilung und Anycast

Für Dienste mit geringen Latenzanforderungen (z. B. Händler, Gamer) erzielt die Verteilung von Resolvern an verschiedenen Standorten und die Verwendung von Anycast/BGP die besten Ergebnisse. Das Unternehmen, das diese Lösung anbietet, verfügt über mehr als 85 Standorte weltweit Und Anycast- und CDN-Infrastruktur zur Bereitstellung verteilter Resolver, DDoS-Schutz und BGP-Konnektivität.

Praktische Tipps für verschiedene Anwendungen

Für Website- und WordPress-Administratoren

  • Nutzen Sie internes Resolver-Caching auf Cloud-Servern, um DNS-Abfragen zu reduzieren.
  • Einstellung minimale Reaktionen und die Rationalisierung von TTLs zur Verbesserung der Seitenladegeschwindigkeit.
  • Die Kombination von CDN und DNS wird empfohlen, um die Latenz zu reduzieren und die Verfügbarkeit zu erhöhen.

Für DevOps- und KI/Render-Cluster

  • Führen Sie auf jedem Knoten einen lokalen Resolver oder einen zentralen Resolver mit hoher Kapazität aus, um einen schnelleren Zugriff auf Registries und Ressourcen zu ermöglichen.
  • Verwenden Sie DNS-Caching in CI/CD-Jobs und Paket-Downloads.
  • In großen Umgebungen sollte Split-Horizon verwendet werden, um interne und externe Dienste zu trennen.

Für Händler und Gamer

  • Platzierung des Resolvers am nächstgelegenen geografischen Standort 85 Standorte Zur Reduzierung des Pings wird empfohlen.
  • Nutzen Sie Anycast-Resolver und Anti-DDoS-Server, um die Stabilität zu erhöhen und sich vor Angriffen zu schützen.

Vollständige Zusammenfassung – Konfigurationsbeispiel (Kurzbeispiel)

Ein wichtiger Bestandteil von /etc/named.conf:

options {
    directory "/var/named";
    listen-on port 53 { 127.0.0.1; 10.10.10.5; };
    allow-query { localhost; localnets; 10.10.10.0/24; };
    recursion yes;
    forwarders { 1.1.1.1; 8.8.8.8; };
    dnssec-validation auto;
    minimal-responses yes;
    rate-limit { responses-per-second 10; window 5; };
};

Abschließende Tipps und bewährte Vorgehensweisen

  • Stets Führen Sie vor dem Neustart die Befehle named-checkconf und named-checkzone aus.
  • Legen Sie fest, dass der Zugriff auf Subnetze beschränkt ist; vermeiden Sie es, den Resolver für alle zugänglich zu machen.
  • Verwenden Sie TSIG-Schlüssel für Zonentransfers und rndc-confgen -a Zur sicheren Verwaltung verwenden.
  • Protokolle überwachen und Alarmschwellenwerte für erhöhten Datenverkehr oder Fehler definieren.
  • Wenn Sie der Öffentlichkeit dienen, nutzen Sie die Anti-DDoS-Infrastruktur und die geografische Verteilung.

Warum sollte dieser Dienst auf der Cloud-Infrastruktur des Anbieters implementiert werden?

Vorteile:

  • Durch den Einsatz von Resolvern an verschiedenen geografischen Standorten können Ping-Zeiten reduziert und schnelle Reaktionszeiten ermöglicht werden.
  • Erweiterter Schutz mit Anti-DDoS- und Netzwerk-Firewalls.
  • Integration mit CDNs und verteilten Netzwerken zur Steigerung der Verfügbarkeit und Reduzierung der Latenz.
  • Managed-Tarife (Managed DNS) und die Möglichkeit, GitLab, Datenbanken und KI-Infrastruktur zu hosten.

Häufig gestellte Fragen

In diesem Artikel:
,,
Beitrag verfasst von:
Folgen
Vorheriger Artikel
Nächster Artikel
Das könnte Ihnen auch gefallen