h1. Installation et configuration de bind

{{>toc}}

h2. Installation de bind « chrooté »

h3. Installation

Debian stable (actuellement squeeze) n'est pas très à  jour niveau mise à  jour de sécurité de bind. Personnellement, je préfère installer la version « testing » (wheezy) dans un environnement « chrooté ».

<pre>

# aptitude -t wheezy install bind

</pre>

h3. Création de l'environnement chrooté

<pre>

# mkdir -p /var/bind9/chroot/{etc,dev,var/named/pri,var/named/sec,var/run/named}

# mknod /var/bind9/chroot/dev/null c 1 3

# mknod /var/bind9/chroot/dev/random c 1 8

# chmod 660 /var/bind9/chroot/dev/{null,random}

# mv /etc/bind /var/bind9/chroot/etc/bind

# ln -sv /var/bind9/chroot/etc/bind /etc/bind

# chown -R bind:bind /var/bind9/chroot/etc/bind

# chmod 775 /var/bind9/chroot/var/{named/pri,named/sec,run/named}

# chgrp bind /var/bind9/chroot/var/{named/pri,named/sec,run/named}

</pre>

h3. Configuration des scripts de démarrage de bind et de rsyslog

<pre>

# sed -i -e 's/^OPTIONS=.*$/OPTIONS="-u bind -t \/var\/bind9\/chroot"/' /etc/default/bind9

# sed -i -e 's/^PIDFILE=.*$/PIDFILE=\/var\/bind9\/chroot\/var\/run\/named\/named.pid/' /etc/init.d/bind9

# echo "\$addUnixListenSocket /var/bind9/chroot/dev/log" > /etc/rsyslog.d/bind9-chrooted.conf

</pre>

h3. Configuration de bind

/etc/bind/named.conf : Fichier de configuration lu par le daemon au démarrage. Il est préférable de séparer la configuration par « activité ».

<pre>

include "/etc/bind/named.conf.options";

include "/etc/bind/named.conf.local";

include "/etc/bind/named.conf.default-zones";

include "/etc/bind/named.conf.zones";

</pre>

/etc/bind/named.conf.options : Options du daemon.

<pre>

options {

        directory "/var/named";

        // If there is a firewall between you and nameservers you want

        // to talk to, you may need to fix the firewall to allow multiple

        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable

        // nameservers, you probably want to use them as forwarders.

        // Uncomment the following block, and insert the addresses replacing

        // the all-0's placeholder.

        // forwarders {

        //      0.0.0.0;

        // };

        auth-nxdomain no;    # conform to RFC1035

        listen-on-v6 { any; };

};

controls {

        inet 127.0.0.1 allow { localhost; } keys { "rndc-key"; };

};

include "/etc/bind/rndc.key";

</pre>

/etc/bind/named.conf.local : zones des reverses RFC1918. Le fichier /etc/bind/zones.rfc1918 est fourni par debian.

<pre>

//

// Do any local configuration here

//

// Consider adding the 1918 zones here, if they are not used in your

// organization

include "/etc/bind/zones.rfc1918";

</pre>

/etc/bind/named.conf.default-zones : zones par « défaut » (serveurs root, localhost, reverse 127.0.0.0/8), fichiers fournis par debian.

<pre>

// prime the server with knowledge of the root servers

zone "." {

        type hint;

        file "/etc/bind/db.root";

};

// be authoritative for the localhost forward and reverse zones, and for

// broadcast zones as per RFC 1912

zone "localhost" {

        type master;

        file "/etc/bind/db.local";

};

zone "127.in-addr.arpa" {

        type master;

        file "/etc/bind/db.127";

};

zone "0.in-addr.arpa" {

        type master;

        file "/etc/bind/db.0";

};

zone "255.in-addr.arpa" {

        type master;

        file "/etc/bind/db.255";

};

</pre>

/etc/bind/named.conf.zones : Définition des zones primaires ou secondaires (voir plus loin) hébergées par le serveur.

<pre>

zone "kafe-in.net" IN {

        type slave;

        file "sec/kafe-in.net.zone";

        allow-notify { 2001:910:109c:2::53/128; };

        masters { 2001:910:109c:2::53/128; };

};

zone "k-f.in" IN {

        type master;

        file "pri/k-f.in.zone";

        allow-transfer { 2001:910:109c:2::53/128; };

};

</pre>

Pour que les modifications soient prises en compte, il faut redémarrer rsyslog et bind9.

<pre>

# /etc/init.d/rsyslog restart

# /etc/init.d/bind9 restart

</pre>

h2. Configuration d'un serveur primaire

Un serveur de nom primaire pour une zone est un serveur hébergeant la zone déclarée en type « master » et étant déclaré en tant que « NS » pour cette zone.

Example pour la zone k-f.in :

<pre>

# cat /var/bind9/chroot/var/named/k-f.in.zone

$TTL 864000

@ IN SOA dns2.kafe-in.net. fab.kafe-in.net. (

                2012061701      ; serial

                3600            ; refresh

                900             ; retry

                1209600         ; expire

                43200           ; default_ttl

)

@                     IN NS     dns.kafe-in.net.

@                     IN NS     dns2.kafe-in.net.

@               28800 IN MX     10 mail.kafe-in.net.

@               28800 IN MX     20 mail2.kafe-in.net.

                28800 IN A      91.224.149.142

                28800 IN AAAA   2a01:6600:8081:8e00::fab

; FDN

roussane        28800 IN A      80.67.176.156

roussane        28800 IN AAAA   2001:910:109c:1::2

; Tetaneutral

muscat          28800 IN A      91.224.149.142

muscat          28800 IN AAAA   2a01:6600:8081:8e00::fab

; Services

www             28800 IN CNAME  muscat

</pre>

Le serveur primaire est dns.kafe-in.net (80.67.176.156 et 2001:910:109c:2::53). Ce n'est pas forcément le premier « NS » défini qui est primaire. C'est celui qui héberge la zone avec un type « master » et qui est défini en « SOA » (« Start of Authority »).

Le zone k-f.in doit donc être déclarée de la façon suivante dans le fichier named.conf.zones du serveur primaire :

<pre>

zone "k-f.in" IN {

        type master;

        file "pri/k-f.in.zone";

        allow-transfer { 2a01:6600:8081:8e00::fab/128; };

};

</pre>

La zone k-f.in est de type « master » (serveur primaire) et seul le serveur secondaire 2a01:6600:8081:8e00::fab/128 est autorisé à  la transférer lors de mises à  jour de la zone.

h2. Configuration d'un serveur secondaire

Un serveur de nom secondaire pour une zone est un serveur hébergeant la zone déclarée en type « slave » et étant déclaré en tant que « NS » pour cette zone.

La même zone k-f.in doit donc être déclarée de la façon suivante dans le fichier named.conf.zones du serveur secondaire :

<pre>

zone "k-f.in" IN {

        type slave;

        file "sec/k-f.in.zone";

        allow-notify { 2001:910:109c:2::53/128; };

        masters { 2001:910:109c:2::53/128; };

};

</pre>

La zone est de type « slave » (serveur secondaire) et seul le serveur primaire 2001:910:109c:2::53/128 est autorisé à  notifier le serveur secondaire de la présence de modifications. Le serveur secondaire transfèrera la zone mise à  jour sur le serveur 2001:910:109c:2::53/128 (ici le même, mais pas forcément).

h2. Gestion des zones

h3. Forcer le transfert d'une zone depuis un serveur secondaire :

Le transfert d'une zone est généralement déclenché par le serveur primaire (envoi d'un NOTIFY à chaque modification du serial). Mais il est possible de forcer un téléchargement de la zone depuis le serveur secondaire avec la commande « rndc retransfert nom-de-la.zone ».

Sur le secondaire :

<pre>

# rndc retransfer kafe-in.net

# tail /var/log/daemon.log

Jul 28 11:31:14 muscat named[22111]: received control channel command 'retransfer kafe-in.net'

Jul 28 11:31:14 muscat named[22111]: zone kafe-in.net/IN: Transfer started.

Jul 28 11:31:14 muscat named[22111]: transfer of 'kafe-in.net/IN' from 2001:910:109c:2::53#53: connected using 2a01:6600:8081:8e00::fab#46243

Jul 28 11:31:14 muscat named[22111]: zone kafe-in.net/IN: transferred serial 2012072701

Jul 28 11:31:14 muscat named[22111]: transfer of 'kafe-in.net/IN' from 2001:910:109c:2::53#53: Transfer completed: 1 messages, 30 records, 749 bytes, 0.105 secs (7133 bytes/sec)

Jul 28 11:31:14 muscat named[22111]: zone kafe-in.net/IN: sending notifies (serial 2012072701)

</pre>

Sur le primaire :

<pre>

Jul 28 11:31:14 ve-jail named[288]: client 2a01:6600:8081:8e00::fab#46243: view wan: transfer of 'kafe-in.net/IN': AXFR started

Jul 28 11:31:14 ve-jail named[288]: client 2a01:6600:8081:8e00::fab#46243: view wan: transfer of 'kafe-in.net/IN': AXFR ended

</pre>

h3. Forcer la notification d'une zone

Parfois, surtout pendant la mise en place des serveurs, il faut « forcer » le primaire à notifier les secondaires sur une zone particulière afin qu'ils la téléchargent. Cela se fait avec la commande « rndc notify nom-de-la.zone ».

Sur le primaire :

<pre>

# rndc -k rndc.key notify kafe-in.net

zone notify queued

# tail /var/log/daemon.log

Jul 28 11:39:36 ve-jail named[288]: zone kafe-in.net/IN: sending notifies (serial 2012072701)

</pre>

Sur le secondaire :

<pre>

Jul 28 11:39:36 muscat named[22111]: client 2001:910:109c:2::53#41892: received notify for zone 'kafe-in.net'

Jul 28 11:39:36 muscat named[22111]: zone kafe-in.net/IN: notify from 2001:910:109c:2::53#41892: zone is up to date

</pre>