RHEL 9/Rocky 9/Alma 9 üzerinde BIND DNS Çözümleyicisini kurmaya yönelik kapsamlı kılavuz.

RHEL 9/ Rocky 9/ Alma 9 üzerinde güvenli bir yerel çözümleyici kurmak ister misiniz?

Bu kılavuz, bir uygulamanın adım adım nasıl gerçekleştirileceğini size gösterecektir. çözümleyici (yerel çözümleyici) Esas alınarak BAĞLA Dağıtımlara dayalı olarak RHEL 9 Beğenmek Kayalık Linux 9 Ve Alma Linux 9 Üzerinde çalışıyoruz. Hedefimiz, dahili ağlarda, bulut sunucularında ve iş yükü kümelerinde kullanılmak üzere güvenli, izlenebilir ve optimize edilmiş bir çözümleyici sağlamak; bu da gecikmeyi azaltmaya ve DNS çözümleme istikrarını artırmaya ihtiyaç duyan web yöneticileri, DevOps uzmanları, yatırımcılar, oyuncular ve yapay zeka ekipleri için mükemmel bir çözüm olacaktır.

Önkoşullar ve ilk kurulum

Ön koşullar

• Sunucu RHEL 9/Kayalık Linux 9/Alma Linux 9 Root veya sudo erişimiyle.
• Kök ipuçlarını/yönlendiricileri güncellemek ve indirmek için internet erişimi gereklidir.
• Paketler bağlamak Ve bağlama yardımcı programları.

İlk kurulum

BIND'i güncellemek ve kurmak için aşağıdaki komutları kullanın:

sudo dnf update -y
sudo dnf install -y bind bind-utils
sudo systemctl enable --now named
sudo systemctl status named

Temel dosyaları kontrol etme ve yapılandırmayı doğrulama

Önemli dosyalar ve yollar:

• /etc/named.conf — Ana yapılandırma
• /var/named — Varsayılan bölge dizini
• /etc/rndc.key (rndc-confgen -a komutundan sonra)
• /var/named/data — Günlükler ve önbellek dökümleri

Yapılandırmayı hızlıca kontrol etmek için aşağıdaki araçları kullanın:

sudo named-checkconf
sudo named-checkzone example.com /var/named/example.com.zone

Önbellek çözümleyici için önerilen yapılandırma (temel)

İçinde /etc/named.conf Bölüm seçenekler Aşağıdaki gibi düzenleyin. Bu, sorgu kısıtlamaları ve yönlendiricileri olan yerel bir çözümleyici için çalışan bir örnektir:

options {
    directory "/var/named";
    listen-on port 53 { 127.0.0.1; 10.10.10.5; };
    listen-on-v6 { none; };
    allow-query { localhost; localnets; 10.10.10.0/24; };
    recursion yes;
    forwarders { 1.1.1.1; 8.8.8.8; };
    dnssec-validation auto;
    managed-keys-directory "/var/named/dynamic";
    minimal-responses yes;
    max-cache-ttl 86400;
    max-ncache-ttl 3600;
    rate-limit {
        responses-per-second 10;
        window 5;
    };
    auth-nxdomain no;
};

Pratik ipuçları:

• nakliyeciler Şirketin Anycast çözümleyicilerine veya Cloudflare/Google'a atanabilir; gecikmeyi azaltmak için en yakın konumun kullanılması önerilir.
• minimal yanıtlar Makul TTL değerleri trafiği azaltır ve performansı artırır.

RNDC anahtar üretimi ve uzaktan yönetimi

BIND'i güvenli bir şekilde yönetmek için RNDC kullanın. Önce anahtarı oluşturun, ardından hizmeti yeniden başlatın:

sudo rndc-confgen -a
sudo systemctl restart named
sudo rndc status

Güvenlik Duvarı ve SELinux

firewalld'da portları açma

sudo firewall-cmd --permanent --add-port=53/udp
sudo firewall-cmd --permanent --add-port=53/tcp
sudo firewall-cmd --reload

SELinux ayarları

SELinux kullanıyorsanız, bağlamı ve izinleri ayarlamak için aşağıdaki komutları kullanın:

sudo restorecon -Rv /var/named
sudo setsebool -P named_write_master_zones on
sudo semanage port -a -t dns_port_t -p tcp 53
sudo semanage port -a -t dns_port_t -p udp 53

Daha fazla güvenlik: Kısıtlama, izleme ve kötüye kullanımın önlenmesi

İzinsiz çoğaltmanın (alan transferinin) yasaklanması

Yetkili bölgelerde yetkisiz AXFR'yi önlemek için TSIG anahtarlarını kullanın. Aşağıdaki örnek, anahtar tanımını ve aktarıma izin verme kısıtlamasını göstermektedir:

key "xfr-key" {
    algorithm hmac-sha256;
    secret "BASE64-SECRET";
};
zone "example.com" IN {
    type master;
    file "example.com.zone";
    allow-transfer { key "xfr-key"; };
};

DDoS ve hız sınırlama çözümleri

• İtibaren hız sınırı Seçeneklerde kullanın.
• Kullanımı RPZ (Yanıt Politikası Bölgesi) Zararlı alan adlarını engellemek için.
• Ağ düzeyinde, kötü amaçlı trafiği dağıtmak için DDoS saldırılarına karşı koruma ve Anycast/BGP çözümlerinden yararlanın.

DNSSEC ve Doğrulama

Etkinleştirerek dnssec-doğrulama otomatikÇözümleyici DNSSEC imzasını kontrol eder ve kötü amaçlı yanıtlar reddedilir. managed-keys'in mevcut olduğundan emin olun:

sudo ls /var/named/dynamic

İzleme, kayıt tutma ve sorun giderme

Kayıtları tutun ve döndürün.

BIND varsayılan olarak günlük kayıtlarını tutar. /var/named/data/ Dosyaları yönetmek için log döndürme Günlük kayıtlarını syslog/journal'a yönlendirin veya mevcut kayıtları kullanın.

İşlevsel komutlar

dig @10.10.10.5 example.com +stats
dig @10.10.10.5 google.com +short
sudo rndc flush
sudo named-checkconf
sudo named-checkzone example.com /var/named/example.com.zone
sudo systemctl status named
sudo journalctl -u named -f

Gelişmiş senaryolar: görünümler, bölünmüş ufuk ve dağıtılmış sunucular

bölünmüş ufuk için görünümler

İç ve dış müşterilere farklı şekilde yanıt vermek için görüşler Kullanım. Örnek:

acl "internal" { 10.10.10.0/24; localhost; };
view "internal" {
    match-clients { "internal"; };
    recursion yes;
    zone "example.com" {
        type master;
        file "zones/db.example.internal";
    };
};
view "external" {
    match-clients { any; };
    recursion no;
    zone "example.com" {
        type master;
        file "zones/db.example.public";
    };
};

Coğrafi dağıtım ve Anycast

Düşük gecikme süresi gereksinimleri olan hizmetler (alışveriş yapanlar, oyuncular) için, çözümleyicileri farklı konumlara dağıtmak ve Anycast/BGP kullanmak en iyi sonuçları verir. Bu çözümü sağlayan şirket, 100 yılı aşkın süredir bu alanda faaliyet göstermektedir. 85 küresel lokasyon Ayrıca dağıtılmış çözümleyicilerin, DDoS korumasının ve BGP bağlantısının devreye alınması için Anycast ve CDN altyapısı.

Farklı uygulamalar için pratik ipuçları

Web sitesi ve WordPress yöneticileri için

• DNS sorgularını azaltmak için bulut sunucularında dahili çözümleyici önbelleklemesini kullanın.
• Ayar minimal yanıtlar ve sayfa yükleme hızını iyileştirmek için TTL'leri rasyonelleştirmek.
• Gecikmeyi azaltmak ve kullanılabilirliği artırmak için CDN ve DNS'nin birleştirilmesi önerilir.

DevOps ve Yapay Zeka/Render kümeleri için

• Kayıt defterlerine ve kaynaklara daha hızlı erişim için her düğümde yerel bir çözümleyici veya yüksek kapasiteli merkezi bir çözümleyici çalıştırın.
• CI/CD işlerinde ve paket indirmelerinde DNS önbelleklemesini kullanın.
• Büyük ölçekli ortamlarda, iç ve dış hizmetleri ayırmak için bölünmüş ufuk (split-horizon) yaklaşımını kullanın.

Tüccarlar ve oyuncular için

• Çözümleyiciyi en yakın coğrafi konuma yerleştirmek 85 lokasyon Ping süresini azaltmak için önerilir.
• İstikrarı artırmak ve saldırılara karşı korunmak için Anycast çözümleyicileri ve DDoS karşıtı sunucular kullanın.

Tam Özet Yapılandırma Örneği (Hızlı Örnek)

Önemli bir parçası /etc/named.conf:

options {
    directory "/var/named";
    listen-on port 53 { 127.0.0.1; 10.10.10.5; };
    allow-query { localhost; localnets; 10.10.10.0/24; };
    recursion yes;
    forwarders { 1.1.1.1; 8.8.8.8; };
    dnssec-validation auto;
    minimal-responses yes;
    rate-limit { responses-per-second 10; window 5; };
};

Son İpuçları ve En İyi Uygulamalar

• Her zaman Yeniden başlatmadan önce named-checkconf ve named-checkzone komutlarını çalıştırın.
• Erişimi alt ağlarla sınırlandırın; çözümleyiciyi herkese açık bırakmaktan kaçının.
• Bölge transferleri için TSIG anahtarlarını kullanın ve rndc-confgen -a Güvenli yönetim için kullanın.
• Günlük kayıtlarını izleyin ve artan trafik veya hatalar için uyarı eşiklerini tanımlayın.
• Kamuya hizmet ediyorsanız, DDoS saldırılarına karşı koruma sağlayan altyapıdan ve coğrafi dağıtımdan yararlanın.

Bu hizmeti sağlayıcının bulut altyapısı üzerinde neden uygulamalıyız?

Avantajları:

• Ping süresini azaltmak ve hızlı yanıt sağlamak için çözümleyicileri farklı coğrafi konumlara yerleştirin.
• Gelişmiş DDoS saldırılarına karşı koruma ve ağ güvenlik duvarları.
• CDN'ler ve dağıtılmış ağlarla entegrasyon, kullanılabilirliği artırır ve gecikmeyi azaltır.
• Yönetilen planlar (Yönetilen DNS) ve GitLab, veritabanları ve yapay zeka altyapısını barındırma olanağı.

Sıkça Sorulan Sorular