17/06/2017 Instalando Bind9 + chroot no Debian [Artigo]

INSTALANDO BIND9 + CHROOT NO DEBIAN

Autor: Aldefax G. Kuhn <aldefax at gmail.com>

Data: 05/10/2005

INTRODUO

Todos ns sabemos que o servio de DNS no 100% seguro e cabe a ns, administradores de rede, tomar
as precaues para que no sejam causados danos maiores aos nossos sistemas.

Neste artigo demonstrarei como extremamente fcil instalar o Bind9 em modo chroot no Debian deixando
seu servidor DNS menos vulnervel.

Utilizei para a instalao o Debian Woody com kernel 2.4.18 e Bind9 v. 3.2.1. Tambm testei com o Debian
Sarge e funcionou perfeitamente.

No abordarei a parte de configurao do servidor DNS, pois j existem vrios artigos sobre esse assuntos
aqui no VOL e seria redundante repetir isso novamente neste artigo. Para quem se interessar e quiser saber
um pouco mais sobre servidor DNS:

http://www.vivaolinux.com.br/beta_buscar.php?procura=bind...
(http://www.vivaolinux.com.br/beta_buscar.php?procura=bind&artigos=on)

INSTALANDO E CONFIGURANDO

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=2610 1/5
17/06/2017 Instalando Bind9 + chroot no Debian [Artigo]

Instalando o pacote:

# apt-get install bind9

Sero instaladas automaticamente as seguintes dependncias:

libisccc0;
libisccfg0

Importante: aps a instalao e antes de comear as configuraes necessrio parar o servio DNS, caso
contrrio, poder ocorrer um erro com a chave rndc-key. Para parar o servio faa o seguinte:

# /etc/init.d/bind9 stop

Criando os diretrios necessrios ao funcionamento do Bind9 em chroot. Crie os seguintes diretrios em

/var/lib:

# mkdir -p /var/lib/named/etc
# mkdir -p /var/lib/named/dev
# mkdir -p /var/lib/named/var/cache/bind
# mkdir -p /var/lib/named/var/run/bind/run

Em seguida mova o diretrio de configurao de /etc para /var/lib/named/etc:

# mv /etc/bind /var/lib/named/etc

Para evitar problemas futuros com atualizaes, crie um link simblico de /etc/bind9 para
/var/lib/named/etc/bind9:

# ln -s /var/lib/named/etc/bind /etc/bind

Criando os dispositivos null e random e dando as permisses aos diretrios e dispositivos:

# mknod /var/lib/named/dev/null c 1 3
# mknod /var/lib/named/dev/random c 1 8
# chmod 666 /var/lib/named/dev/null
# chmod 666 /var/lib/named/dev/random
# chown -R nobody:nogroup /var/lib/named/var/*
# chown -R nobody:nogroup /var/lib/named/etc/bind

Pronto, a parte comum a maioria das distribuies est concluda. Agora vem a parte que especfica do
Debian.

Com os diretrios e dispositivos criados e as permisses setadas, temos que configurar o Bind9 para
trabalhar em chroot e configurar o sysklogd para capturar os logs do seu servidor de DNS.

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=2610 2/5
17/06/2017 Instalando Bind9 + chroot no Debian [Artigo]

CONFIGURANDO O MODO CHROOT

Esse passo extremamente simples se voc estiver utilizando Debian. Edite o arquivo /etc/init.d/bind9,
procure pela linha OPTS="" e deixe ela assim:

OPTS="-u nobody -t /var/lib/named"

Onde:
-u = especifica o usurio, que no caso nobody.
-t = especifica o diretrio onde vai ser montado o chroot, no nosso caso /var/lib/named.

Bastante simples, no ?

Para capturar os log's do nosso servidor DNS dentro do chroot:

Edite o arquivo /etc/init.d/sysklogd, procure pela linha SYSLOGD="" e deixe ela assim:

SYSLOGD="-a /var/lib/named/dev/log"

TESTANDO SEU SERVIDOR DNS

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=2610 3/5
17/06/2017 Instalando Bind9 + chroot no Debian [Artigo]

Abra outro terminal e digite:

# tail -f /var/log/syslog

Para poder monitorar os log's e saber o que est acontecendo se algo estiver dando errado.

Reinicie os servios sysklogd e bind9:

# /etc/init.d/sysklogd restart
# /etc/init.d/bind9 start

Para saber se o servio iniciou corretamente:

# ps aux | grep named

O resultado dever aparecer mais ou menos assim:

root 3622 0.0 0.1 2468 904 ? Ss Apr13 0:00 /sbin/syslogd -a /var/lib/named/dev/log
nobody 4085 0.0 0.5 29448 2648 ? Ss Apr13 0:00 /usr/sbin/named -u nobody -t /var/lib/named
root 5508 0.0 0.1 1844 704 pts/3 S+ 16:19 0:00 grep named

Observe que agora seu Bind est rodando com o usurio nobody e em chroot no diretrio /var/lib/named.

Teste bsico para verificar se o servidor est funcionando:

Edite o arquivo /etc/resolv.conf e altere a linha nameserver para:

nameserver 200.200.200.200

Onde 200.200.200.200 o endereo IP do seu servidor DNS recm criado.

Agora tente pingar em algum endereo da internet, por exemplo:

# ping www.uol.com.br

Se obtiver resposta, seu servidor DNS j est funcionando como cache-only (consultas), agora basta
configurar o seu domnio nele.

Agradecimentos a toda a comunidade Linux, que no mede esforos e sempre auxilia seus usurios quando
estes necessitam.

Crticas, dvidas e sugestes so bem vindas, espero que tenham gostado do artigo.

REFERNCIAS
https://www.vivaolinux.com.br/artigos/impressora.php?codigo=2610 4/5
17/06/2017 Instalando Bind9 + chroot no Debian [Artigo]

http://www.falkotimme.com/howtos/debian_bind_chroot/index.php
(http://www.falkotimme.com/howtos/debian_bind_chroot/index.php)
Manual do Bind9 - Bind9-doc

Para quem quiser instalar a documentao do Bind:

# apt-get install bind9-doc

Nessa documentao voc encontra a informao necessria para colocar seu Bind9 para funcionar,
realmente foi a melhor fonte que eu encontrei, apesar de estar todo em ingls (algum se habilita a traduzir
ela?) e so cerca de 112 pginas somente sobre Bind9.

Voltar (verArtigo.php?codigo=2610)

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=2610 5/5