블로그 이미지
Email : admin(앳)sosnote.com
재능을키워라
sol
DNS server, DNS service
Statistics Graph

calendar

        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

DNS 서버 보안 설정

2015.11.30 12:44 | Posted by 재능을키워라

DNS 서버 보안 설정


DNS 서버 보안 기본사항

1) 네임서버에 대한 접근 통제

-방화벽 UDP/TCP 53번 포트 허용, 인가된 사용자만 접근


2)최소한의 서비스 운영


3)최소 사용자 및 관리자 계정 유지 및 암호 관리 철저


4)물리적 접근 통제

-서로 다른 네트워크에 Master, Slave DNS 서버 구축

-서로 다른 건물에 Master, Slave DNS 서버 구축

-서로 다른 OS에 Master, Slave DNS 서버 구축


----------------------------------------------------------------------


DNS 서버 S/W 보안 설정 종류

1)DNS 서버 용도에 따른 네트워크 구성

-Master, Slave DNS 서버 이중화/다중화 구성


2)DNS 서버 운영에 따른 구성

-권한(Authority) DNS와 캐시(Caching) DNS를 구분하여 설치 운영


3)DNS 서버 보안 설정

-BIND 버전 정보 유출 제한(/etc/named.conf 파일 수정)

# options { version "Unknown"; };    // 의미없는 문자열로 대체 설정

# options { version none; };    // 버전 정보 문자열 레코드 제거

-캐시 DNS 서버가 아니라면 Recursion 질의 제한

# options { recursion no; };

-Zone-Transfer 제한

# options { zone-transfer { none; }; };    // zone파일을 다른 서버에서 동기화할 수 없도록 설정


4)TSIG를 이용한 보안 강화

-Zone Transfer, notifiy, 순환 질의, Dynamic update 시 암호화


5) DNS 서버 프로그램 최신 버전 사용


'리눅스 > DNS' 카테고리의 다른 글

DNS 서버 보안 설정  (0) 2015.11.30
base64 인코딩/디코딩 사이트  (0) 2015.11.27
DNSSEC 교육 기록  (0) 2015.11.27
BIND 보안 설정 - recursion 설정  (0) 2015.11.26
bind 포워딩 설정  (0) 2015.11.25
리버스 도메인 경로 점검  (0) 2015.11.25

base64 인코딩/디코딩 사이트

2015.11.27 10:59 | Posted by 재능을키워라

base64를 인코딩/디코딩 해주는 사이트

http://www.panlab.co.kr

 

'리눅스 > DNS' 카테고리의 다른 글

DNS 서버 보안 설정  (0) 2015.11.30
base64 인코딩/디코딩 사이트  (0) 2015.11.27
DNSSEC 교육 기록  (0) 2015.11.27
BIND 보안 설정 - recursion 설정  (0) 2015.11.26
bind 포워딩 설정  (0) 2015.11.25
리버스 도메인 경로 점검  (0) 2015.11.25

DNSSEC 교육 기록

2015.11.27 10:38 | Posted by 재능을키워라

-본 문서는 글쓴이의 개인적인 기록입니다.-

 

DNSSEC 문서(KISA제공)

http://dns.kisa.kr - 정보 - 자료실
DNSSEC 도입적용 및 운영관리 가이드 배포 (2015-09-22 문서)

 

[DNSSEC 추진 이유]
DNS 질의, 응답 통신 프로토콜은 인터넷 발전 초창기 시기에 보안이 고려되지 않음으로써 스푸핑 등의 해킹에 취약하여 도메인 정보 위*변조 시 사용자가 의도하지 않은 사이트로 접속될 우려가 있음

 

[DNSSEC 성향]
DNS의 특징은 널리 누구나 공개되어서 알아야한다.
(KISA.COM 이라는 도메인의 IP는 0.0.0.0 인 것을 알아야하는 것처럼)
그래서 DNSSEC같은 경우에는 암호화하는 것이 아니고, 전자서명을 추가하는 개념이다.

 

[특징]
공개키 암호화 처리 방식의 전자서명 방식을 응용

보증 OK 

 데이터 무결성 검증 가능

(위*변조 여부)

 DNS 데이터 부재의 인증 제공(NSEC, NSEC3)

 보증 NO

 DDOS 공격에는 보장하지 않음

 데이터를 암호화하는 것이 아니고, 위*변조 검출 수단을 제공함(서명을 추가하는 것)

 

[추세]

DNSSEC이 보안상 공격을 막고자함 보다는, 좀 더 건설적이고 긍정적으로 SMTP등의 프로토콜의 방식으로도 응용되어 사용될 수 있음 (전자메일 암호화 등)

 

[문제점]

쿼리 패킷의 용량이 늘어남

도메인 질의 응답 처리시에 부하가 상승할 수 있음

도메인 등록 업체에서도 변경 필요

root, .com 등 상위 서버에서도 레코드값 수정 필요 (주기적인 업데이트 필요)

Client도 DNSSEC을 사용할 수 있어야 됨 (Windows 7 or 8 이상 지원)

+@


[점검 사이트]

http://dnsviz.net

DNSSEC의 구성을 한눈에 확인할 수 있도록 구성되어 있는 사이트. (트러블 슈팅시 유용)

'리눅스 > DNS' 카테고리의 다른 글

DNS 서버 보안 설정  (0) 2015.11.30
base64 인코딩/디코딩 사이트  (0) 2015.11.27
DNSSEC 교육 기록  (0) 2015.11.27
BIND 보안 설정 - recursion 설정  (0) 2015.11.26
bind 포워딩 설정  (0) 2015.11.25
리버스 도메인 경로 점검  (0) 2015.11.25
TAG DNSSEC

BIND 보안 설정 - recursion 설정

2015.11.26 10:57 | Posted by 재능을키워라

자체 네임서버를 구축해서 이용하지만 보안 설정을 하지 않아서, 필요 없는 질의에 의해 트래픽이 소모되는 경우가 있습니다. (기본 "recursion" 설정은 "Any"이며 누구나 응답합니다.)

이럴 때 적용할만한 보안 설정이 있습니다. 크게는 두 가지로 나뉠 수 있습니다.


작업 환경

CentOS release 6.6 (Final) 64bit

bind-9.8.2-0.37

 

1) 캐싱 네임서버로 사용 못하도록 설정 (권한 네임서버로만 이용 가능)

 # vi /etc/named.conf
options {
~

allow-query { any; };
recursion no;
}

위의 설정은 캐싱 네임서버로는 사용할 수 없고, 이 서버의 존파일에 있는 내용만 답변합니다.


2) 허용하는 대역의 아이피만 캐싱 네임서버를 이용할 수 있도록 설정

 # vi /etc/named.conf

acl trust { 127.0.0.1/32; 00.00.00.00/32; [허용할 IP]; };

options {
~

allow-query { any; };
recursion no;
allow-recursion { trust; };
}

위의 설정으로 적용 시, acl에 등록한 IP에 대하여서만 캐싱 네임서버로 이용할 수 있도록 합니다. ("acl"로 지정한 "trust"는 임의로 지정한 값 입니다.)

 

*참고
각 상황에 맞춰서 충분히 고려하여 BIND의 보안 설정을 하시기 바랍니다.

위의 설정은 글쓴이 개인적인 견해입니다.


******************************************************************************************

예시)

query 값이 any여서 있는 도메인에 대하여서는 질의 응답을 하고 있지만, 없는 도메인에 대해서는 acl에 등록해 준 IP에서만 응답합니다.


네임서버 named.conf 설정

1
2
3
4
5
6
7
acl trust { 192.168.9.20; };   // 허용할 아이피 입력
options {
~
    allow-query { any; };

    allow-recursion { trust; }; // 옵션 항목 위에 설정한 acl 입력
};
cs


acl 그룹 설정으로 허용한 PC에서 질의

1
2
3
4
5
6
$ nslookup [도메인] 192.168.9.58
Server:        192.168.9.58
Address:    192.168.9.58#53
 
Non-authoritative answer:
*** Can't find [도메인]: No answer
cs


허용 설정을 하지않은 PC에서 질의

1
2
3
4
5
# nslookup [도메인] 192.168.9.58
Server:        192.168.9.58
Address:    192.168.9.58#53
 
** server can't find [도메인]: REFUSED
cs


네임서버 messages 로그 확인

Nov 30 11:29:07 localhost named-sdb[18288]: client 192.168.9.40#12870: query (cache) '[도메인]/A/IN' denied

위와 같은 로그를 남기며, 없는 도메인에 대해서 응답을 하지않습니다.

'리눅스 > DNS' 카테고리의 다른 글

base64 인코딩/디코딩 사이트  (0) 2015.11.27
DNSSEC 교육 기록  (0) 2015.11.27
BIND 보안 설정 - recursion 설정  (0) 2015.11.26
bind 포워딩 설정  (0) 2015.11.25
리버스 도메인 경로 점검  (0) 2015.11.25
도메인 trace 경로 확인  (0) 2015.11.24

bind 포워딩 설정

2015.11.25 15:42 | Posted by 재능을키워라

bind forwarding 설정

도메인 질의에 대한 처리를 해당 DNS서버에서 하지 않고, 특정 DNS서버로 전달하는 방식

 

-모든 도메인 질의에 대한 포워딩

# vi /etc/named.conf

options {

forwarders {168.126.63.1; 8.8.8.8.8; };

};

 

위와 같은 방식으로 해당 DNS서버에 없는 도메인에 대하여 특정 서버에 물어봐서 처리될 수 있도록 설정

'리눅스 > DNS' 카테고리의 다른 글

DNSSEC 교육 기록  (0) 2015.11.27
BIND 보안 설정 - recursion 설정  (0) 2015.11.26
bind 포워딩 설정  (0) 2015.11.25
리버스 도메인 경로 점검  (0) 2015.11.25
도메인 trace 경로 확인  (0) 2015.11.24
네임서버 취약점 확인  (0) 2015.03.30

리버스 도메인 경로 점검

2015.11.25 10:19 | Posted by 재능을키워라

역방향 도메인 질의할 경우에 중간의 서버가 사라질 수 있다고합니다.

이때에 중간에 어떤 아이피가 삭제가 되어서 메일 서비스가 스팸처리되는지 확인할 수 있습니다.

 

-x 옵션으로 역방향 질의가 가능

+trace 옵션으로 경로 확인이 가능

 

예시)

# dig -x 8.8.4.4 +trace

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.4 <<>> -x 8.8.4.4 +trace
;; global options: +cmd
.                       494736  IN      NS      i.root-servers.net.
.                       494736  IN      NS      d.root-servers.net.
.                       494736  IN      NS      a.root-servers.net.
.                       494736  IN      NS      l.root-servers.net.
.                       494736  IN      NS      f.root-servers.net.
.                       494736  IN      NS      h.root-servers.net.
.                       494736  IN      NS      k.root-servers.net.
.                       494736  IN      NS      m.root-servers.net.
.                       494736  IN      NS      j.root-servers.net.
.                       494736  IN      NS      c.root-servers.net.
.                       494736  IN      NS      e.root-servers.net.
.                       494736  IN      NS      b.root-servers.net.
.                       494736  IN      NS      g.root-servers.net.
;; Received 496 bytes from 164.124.101.2#53(164.124.101.2) in 572 ms

 

in-addr.arpa.           172800  IN      NS      a.in-addr-servers.arpa.
in-addr.arpa.           172800  IN      NS      b.in-addr-servers.arpa.
in-addr.arpa.           172800  IN      NS      c.in-addr-servers.arpa.
in-addr.arpa.           172800  IN      NS      d.in-addr-servers.arpa.
in-addr.arpa.           172800  IN      NS      e.in-addr-servers.arpa.
in-addr.arpa.           172800  IN      NS      f.in-addr-servers.arpa.
;; Received 414 bytes from 192.58.128.30#53(192.58.128.30) in 680 ms

 

8.in-addr.arpa.         86400   IN      NS      ns1.level3.net.
8.in-addr.arpa.         86400   IN      NS      ns2.level3.net.
;; Received 84 bytes from 203.119.86.101#53(203.119.86.101) in 80 ms

 

4.8.8.in-addr.arpa.     3600    IN      NS      ns4.google.com.
4.8.8.in-addr.arpa.     3600    IN      NS      ns1.google.com.
4.8.8.in-addr.arpa.     3600    IN      NS      ns3.google.com.
4.8.8.in-addr.arpa.     3600    IN      NS      ns2.google.com.
;; Received 120 bytes from 209.244.0.2#53(209.244.0.2) in 152 ms

 

4.4.8.8.in-addr.arpa.   86400   IN      PTR     google-public-dns-b.google.com.
;; Received 82 bytes from 216.239.38.10#53(216.239.38.10) in 173 ms

'리눅스 > DNS' 카테고리의 다른 글

BIND 보안 설정 - recursion 설정  (0) 2015.11.26
bind 포워딩 설정  (0) 2015.11.25
리버스 도메인 경로 점검  (0) 2015.11.25
도메인 trace 경로 확인  (0) 2015.11.24
네임서버 취약점 확인  (0) 2015.03.30
네임서버 구동시 멈춤 /etc/rndc.key  (0) 2014.08.06

도메인 trace 경로 확인

2015.11.24 09:45 | Posted by 재능을키워라

도메인의 질의응답하는 과정을 살펴보는 명령어

 

# dig [도메인] +trace

명령어를 이용하여 도메인의 질의응답하는 과정을 확인할 수 있다.

예시는 아래의 과정을 다루고 있다.

사용자 -> root  DNS -> .com DNS -> 실제 DNS -> 요청 서버

 

# dig www.sosnote.com +trace

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.4 <<>> www.sosnote.com +trace
;; global options: +cmd

[root DNS]
.                       505403  IN      NS      d.root-servers.net.
.                       505403  IN      NS      k.root-servers.net.
.                       505403  IN      NS      e.root-servers.net.
.                       505403  IN      NS      g.root-servers.net.
.                       505403  IN      NS      a.root-servers.net.
.                       505403  IN      NS      b.root-servers.net.
.                       505403  IN      NS      j.root-servers.net.
.                       505403  IN      NS      f.root-servers.net.
.                       505403  IN      NS      c.root-servers.net.
.                       505403  IN      NS      m.root-servers.net.
.                       505403  IN      NS      l.root-servers.net.
.                       505403  IN      NS      h.root-servers.net.
.                       505403  IN      NS      i.root-servers.net.
;; Received 496 bytes from 164.124.101.2#53(164.124.101.2) in 459 ms

[com DNS]

com.                    172800  IN      NS      c.gtld-servers.net.
com.                    172800  IN      NS      h.gtld-servers.net.
com.                    172800  IN      NS      e.gtld-servers.net.
com.                    172800  IN      NS      j.gtld-servers.net.
com.                    172800  IN      NS      m.gtld-servers.net.
com.                    172800  IN      NS      f.gtld-servers.net.
com.                    172800  IN      NS      d.gtld-servers.net.
com.                    172800  IN      NS      a.gtld-servers.net.
com.                    172800  IN      NS      l.gtld-servers.net.
com.                    172800  IN      NS      g.gtld-servers.net.
com.                    172800  IN      NS      k.gtld-servers.net.
com.                    172800  IN      NS      b.gtld-servers.net.
com.                    172800  IN      NS      i.gtld-servers.net.
;; Received 493 bytes from 192.228.79.201#53(192.228.79.201) in 2270 ms

[실제 사용중인 DNS]

sosnote.com.            172800  IN      NS      ns18.dnsever.com.
sosnote.com.            172800  IN      NS      ns53.dnsever.com.
sosnote.com.            172800  IN      NS      ns231.dnsever.com.
sosnote.com.            172800  IN      NS      ns259.dnsever.com.
sosnote.com.            172800  IN      NS      ns104.dnsever.com.
;; Received 219 bytes from 192.54.112.30#53(192.54.112.30) in 436 ms

www.sosnote.com.        600     IN      A       110.45.229.135
;; Received 49 bytes from 162.252.53.173#53(162.252.53.173) in 199 ms

'리눅스 > DNS' 카테고리의 다른 글

bind 포워딩 설정  (0) 2015.11.25
리버스 도메인 경로 점검  (0) 2015.11.25
도메인 trace 경로 확인  (0) 2015.11.24
네임서버 취약점 확인  (0) 2015.03.30
네임서버 구동시 멈춤 /etc/rndc.key  (0) 2014.08.06
2차 네임서버 구축 (존 트랜스퍼)  (0) 2013.08.16

네임서버 취약점 확인

2015.03.30 10:11 | Posted by 재능을키워라

KISA에서 제공하는 네임서버 취약점 확인 URL 

http://krnic.or.kr/jsp/business/operate/dnsModify.jsp


DNS 자가 점검 페이지

'리눅스 > DNS' 카테고리의 다른 글

리버스 도메인 경로 점검  (0) 2015.11.25
도메인 trace 경로 확인  (0) 2015.11.24
네임서버 취약점 확인  (0) 2015.03.30
네임서버 구동시 멈춤 /etc/rndc.key  (0) 2014.08.06
2차 네임서버 구축 (존 트랜스퍼)  (0) 2013.08.16
bind 버전 확인  (0) 2013.07.01

네임서버 구동시 멈춤 /etc/rndc.key

2014.08.06 09:50 | Posted by 재능을키워라

centos 6 에서 네임서버 실행시 Generating /etc/rndc.key :  멈춤현상

 또한 rndc 관련 rndc: no server specified and no default 에러발생

 

RHEL6-bind rndc 키 만들기 및 등록
rndc 키는 rndc 명령을 실행하는 데 필요하다.
RHEL6에서 패키지 도입 후 서비스를 시작하려고하면
다음 rndc 키 관련 멈춘다


# service named start
Generating /etc/rndc.key :


● rndc 키 만들기
rndc 키 생성을 생성하여 상기는 해결 가능.
기본적으로 /etc/rndc.key는 존재하지 않는다

 

# rndc-confgen -a -r /dev/urandom
wrote key file "/etc/rndc.key"

 


/etc/rndc.key 소유자 변경
(root → named)
 
# chown named:named /etc/rndc.key

 

참조 : http://lonmoon.tistory.com/406


서버에서 실제구현 예시

[증상]

# /etc/init.d/named start

Generating /etc/rndc.key:

[해결]

# rndc-confgen -a -r /dev/urandom 

wrote key file "/etc/rndc.key"

# ll /etc/rndc.key 

-rw------- 1 root root 77 2014-08-06 09:46 /etc/rndc.key

# chown named.named /etc/rndc.key 

changed ownership of `/etc/rndc.key' to named:named

# ll /etc/rndc.key 

-rw------- 1 named named 77 2014-08-06 09:46 /etc/rndc.key

# rndc status

rndc: connect failed: 127.0.0.1#953: connection refused

[확인]

# /etc/init.d/named start

named 시작 중:                                             [  OK  ]


'리눅스 > DNS' 카테고리의 다른 글

도메인 trace 경로 확인  (0) 2015.11.24
네임서버 취약점 확인  (0) 2015.03.30
네임서버 구동시 멈춤 /etc/rndc.key  (0) 2014.08.06
2차 네임서버 구축 (존 트랜스퍼)  (0) 2013.08.16
bind 버전 확인  (0) 2013.07.01
DNS cache poisoning  (0) 2013.04.22

2차 네임서버 구축 (존 트랜스퍼)

2013.08.16 10:40 | Posted by 재능을키워라

1차 네임서버에서

/etc/named.conf 내용중...
options { } 안에 allow-transfer  { 2차네임서버IP; }; 를 넣습니다.

/etc/named.rfc1912.zones 내용중...
zone "neulwon.com" IN {
    type master;
    file "neulwon.com.zone";
    allow-update { 2차네임서버IP; }; 를 넣습니다.
};


2차 네임서버에서

/etc/named.conf 내용중...
options { } 안에 allow-transfer  { 1차네임서버IP; }; 를 넣습니다.

 

/etc/named.rfc1912.zones 내용중...
zone "neulwon.com" IN {
    type slave;
    masters { 1차네임서버IP; }; 를 넣습니다.
    file "neulwon.com.zone";
};

/var/named/chroot/var/named 디렉토리 퍼미션 조정
> named 사용자가 쓸수 있게 합니다. (아래 예에서는 그룹으로 허용)
# chmod 770 /var/named/chroot/var/named


[작성] 차동훈 (http://system.neulwon.com)

 

추가 내용 (2015-11-25)

bind 9.9.x 버전부터 파일의 형식이 ASCII TEXT에서 DATA로 변경되어 발생

읽을 수 있도록 TEXT로 변환해서 출력되게 하려면 추가 설정이 필요.

# vi /etc/named.conf

options {

~

masterfile-format text ;    << 내용 삽입

~}

'리눅스 > DNS' 카테고리의 다른 글

네임서버 취약점 확인  (0) 2015.03.30
네임서버 구동시 멈춤 /etc/rndc.key  (0) 2014.08.06
2차 네임서버 구축 (존 트랜스퍼)  (0) 2013.08.16
bind 버전 확인  (0) 2013.07.01
DNS cache poisoning  (0) 2013.04.22
recursion 재귀  (0) 2013.04.18

bind 버전 확인

2013.07.01 15:18 | Posted by 재능을키워라

서버에 설치되어있는 바인드의 버전 확인 방법


[root@sosnote mysql-bind-0.1]# dig @아이피 txt chaos version.bind.

~

;; ANSWER SECTION:

version.bind.           0       CH      TXT     "9.9.2-P2"

~
9.9.2버전을 이용중인 것을 확인 가능


*참고 ip가 아닌 domain 또한 가능함

 

-추가 내용 2015-11-26-

버전 정보 숨김 설정<

# vi /etc/named.conf

options {

~

version none;

또는

version "UNKNOWN";

}

 

'리눅스 > DNS' 카테고리의 다른 글

네임서버 구동시 멈춤 /etc/rndc.key  (0) 2014.08.06
2차 네임서버 구축 (존 트랜스퍼)  (0) 2013.08.16
bind 버전 확인  (0) 2013.07.01
DNS cache poisoning  (0) 2013.04.22
recursion 재귀  (0) 2013.04.18
기존사용하던 네임서버 자체 변경  (0) 2013.03.14

DNS cache poisoning

2013.04.22 12:06 | Posted by 재능을키워라

DNS cache poisoning 공격 참조 URL


http://support.oullim.co.kr/portal/Techletter/20080815/news4.htm


지정 서버 reqursion 오픈 확인 URL

http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl

'리눅스 > DNS' 카테고리의 다른 글

2차 네임서버 구축 (존 트랜스퍼)  (0) 2013.08.16
bind 버전 확인  (0) 2013.07.01
DNS cache poisoning  (0) 2013.04.22
recursion 재귀  (0) 2013.04.18
기존사용하던 네임서버 자체 변경  (0) 2013.03.14
리눅스 vhost 도메인 추가  (0) 2013.02.26

recursion 재귀

2013.04.18 23:49 | Posted by 재능을키워라

DNS 관련 공격에 이용될 수있는 recursion

분산서비스거부공격(DDoS)으로 사용되어왔던
icmp 기반의 스머프(smurf) 공격과 유사한 방식으로,

recursion이 허용(open)되어 있는 DNS서버를 일종의 증폭기(ampilfier) 또는

좀비(zombie)로 악용하여 특정 시스템 또는 네트워크에 대한 공격

 

따라서 공격자가 수 백만개의 recursion이 허용되어 있는 전 세계의 DNS서버를 일종의
zombie로 하여 특정 네트워크에 대한 분산서비스거부공격을 한다면 어렵지 않게 수
Gigabyte의 트래픽을 생성할 수 있게 되므로 그 피해는 엄청날 것이다.

BIND 9.4.1-P1이후 버전의 관련 기능 변경 사항

-기본으로 reqursion 기능 해제 상태로 동작 

 

예방법

vi /etc/named.conf

options {
allow-recursion {none;};
};

또는

options {
recursion no;
};

그리고 특정아이피에서만 재귀 허용하기

options {
allow-recursion {127.0.0.1; 192.168.2.0/24; };
};

 

참조 주소 :http://codeengn.com/archive/Network/%EB%B3%B4%EC%9D%B4%EC%A7%80%20%EC%95%8A%EB%8A%94%20%EC%9C%84%ED%98%91,%20recursion%EC%9D%B4%20%ED%97%88%EC%9A%A9%EB%90%9C%20DNS%20%5B%ED%99%8D%EC%84%9D%EB%B2%94%5D.pdf



윈도우 2008 R2서버 참조

http://technet.microsoft.com/ko-kr/library/cc771738.aspx

'리눅스 > DNS' 카테고리의 다른 글

bind 버전 확인  (0) 2013.07.01
DNS cache poisoning  (0) 2013.04.22
recursion 재귀  (0) 2013.04.18
기존사용하던 네임서버 자체 변경  (0) 2013.03.14
리눅스 vhost 도메인 추가  (0) 2013.02.26
대형 ISP 네임서버  (0) 2013.02.18

기존사용하던 네임서버 자체 변경

2013.03.14 16:13 | Posted by 재능을키워라

기존에 네임서버 변경하기

# vi /var/named/chroot/var/named/localhost.zone

@ IN SOA 에서 test.com root.test.com. 변경


IN NS @ ns.test.com변경


'리눅스 > DNS' 카테고리의 다른 글

DNS cache poisoning  (0) 2013.04.22
recursion 재귀  (0) 2013.04.18
기존사용하던 네임서버 자체 변경  (0) 2013.03.14
리눅스 vhost 도메인 추가  (0) 2013.02.26
대형 ISP 네임서버  (0) 2013.02.18
리눅스 메일 도메인 추가  (0) 2013.01.29

리눅스 vhost 도메인 추가

2013.02.26 16:38 | Posted by 재능을키워라

/etc/named.rfc1912.zones   <<설정


/var/named/chroot/var/named/test.co.kr.zone  <<파일 생성

/usr/local/apache/conf/extra/httpd-vhosts.conf    <<설정

 

네임서버 3가지 설정할것

완료후에는 apache restart !!!!

'리눅스 > DNS' 카테고리의 다른 글

recursion 재귀  (0) 2013.04.18
기존사용하던 네임서버 자체 변경  (0) 2013.03.14
리눅스 vhost 도메인 추가  (0) 2013.02.26
대형 ISP 네임서버  (0) 2013.02.18
리눅스 메일 도메인 추가  (0) 2013.01.29
리버스 도메인 추가 ptr  (0) 2013.01.28

대형 ISP 네임서버

2013.02.18 17:51 | Posted by 재능을키워라

 

데이콤(LG)
    1차 : 164.124.101.2
    2차 : 203.248.240.31
코넷(KT)
    1차 : 168.126.63.1
    2차 : 168.126.63.2

'리눅스 > DNS' 카테고리의 다른 글

기존사용하던 네임서버 자체 변경  (0) 2013.03.14
리눅스 vhost 도메인 추가  (0) 2013.02.26
대형 ISP 네임서버  (0) 2013.02.18
리눅스 메일 도메인 추가  (0) 2013.01.29
리버스 도메인 추가 ptr  (0) 2013.01.28
dns 셋팅 방법  (0) 2013.01.18

리눅스 메일 도메인 추가

2013.01.29 13:29 | Posted by 재능을키워라

리눅스 메일 송수신 설정


# netstat -nltp
ㄴ 사용중인 서비스확인 ex) sendmail

# cat local-host-names
ㄴ 이용중인 도메인 확인

# cat virtusertable
ㄴ 이용중인 호스트+도메인 확인

sendmail 설정 내역 ( loca-host-names, virtusertable )
도메인 추가 작업시 설정해주어야함

'리눅스 > DNS' 카테고리의 다른 글

리눅스 vhost 도메인 추가  (0) 2013.02.26
대형 ISP 네임서버  (0) 2013.02.18
리눅스 메일 도메인 추가  (0) 2013.01.29
리버스 도메인 추가 ptr  (0) 2013.01.28
dns 셋팅 방법  (0) 2013.01.18
서브도메인 추가  (0) 2012.12.07

리버스 도메인 추가 ptr

2013.01.28 11:59 | Posted by 재능을키워라

리버스 도메인 추가
/chroot/var/named/rev
디렉토리에서
3번째 대역대의 아이피검색
그 대역대에서 4번째 ip를 호스트로넣고 설정
named reload

설정 확인 ptr
nslookup
set type=ptr
4.3.2.1.in-addr.arpa


답: 아이피.in-addr.arpa   name=mail.~~~
확인한다


*참고

nslookup

set type=ptr

아이피

'리눅스 > DNS' 카테고리의 다른 글

대형 ISP 네임서버  (0) 2013.02.18
리눅스 메일 도메인 추가  (0) 2013.01.29
리버스 도메인 추가 ptr  (0) 2013.01.28
dns 셋팅 방법  (0) 2013.01.18
서브도메인 추가  (0) 2012.12.07
도메인 변경 및 네임서버 확인  (0) 2012.11.28

dns 셋팅 방법

2013.01.18 16:30 | Posted by 재능을키워라

쩝 시간이 나서 리눅스 깔고 DNS 설정을 했는데 되더군요 책을 보면 복잡한 설명과 함께

초보자가 보기에는 넘 어렵더군요 그런데 이자료는 한번보고 그대로 하니깐 바로 되더군요

설정하시기전에 DNS정의랑 윈도우 2000서버 DNS설정을 반드시보시고 하시길바랍니다

리눅스 서버에는 rpm 을 이용해서 bind 라는 프로그램을 깔고하세요 특히

그래픽 형태의 리눅스라면 프로그램 추가/삭제하기 라는 곳에서 DNS설정하면 됩니다

하고나서 nslookup으로 해서 서버 번호가 뜬다면 되는겁니다 그럼..

 

실습1. 부여받은 IP가 192.168.1.125이고 신청한 도메인이 linux.co.kr일 때 DNS서버 세팅하기
1. /etc/named.conf파일의 설정 : 이 파일에는 기본적으로 zone파일의 위치하는 디렉토리와 2개의
                                존파일이 선언되어 있는 데, 기본설정은 건드리지 말고 내용만 추
                                가해야 한다.

 vi /usr/share/doc/bind-9.3.6/sample/etc/named.conf 여기일수도


   zone "linux.co.kr" {                  // 사용하고자 하는 도메인을 선언한다.
         type master;                    // 기본 primary로 사용시에는 master로 선언한다.
          file "linux.zone";             // 사용하고자하는 zone파일의 이름을 선언한다. 물론 이
   };                                    //름은 임의로 선언한다. 여기서는 linux.zone이라고 함.

   zone "1.168.192.in-addr.arpa" {       // 부여받은 IP중 마지막 자리를 뺀 나머지를 역으로 선
           type master;                  //언한다. 물론 이 선언은 안해도 무방하나, nslookup명
           file "linux.rev";             //령등을 원할히 사용하려면 꼭 선언해야 한다. 역시 타
   };                                    //입은 maseter이고 zone파일의 이름은 임의로 linux.rev
                                         //라 함.
2. /var/named에 위치하는 zone파일의 설정
  (1) linux.zone파일의 설정
     @       IN      SOA     ns.linux.co.kr. root.linux.co.kr.  (  // 네임서버와 관리자의 메일
                                      2001071500 ; Serial       //을 설정한다. 꼭 도메인명 뒤
                                      28800      ; Refresh      //에 '.'를 표기한다.
                                      14400      ; Retry
                                      3600000    ; Expire
                                      86400 )    ; Minimum
                IN      NS      ns.linux.co.kr.
     linux.co.kr.           IN      A       192.168.1.125
                  IN      MX      10      linux.co.kr.        // 메일서버의 우선순위를 지정
     www.linux.co.kr.       IN      A       192.168.1.125
  (2) linux.rev 파일의 설정 : 설정안해도 무방하나 nslookup등의 명령을 사용하려면 필요하다.
     @       IN      SOA     ns.linux.co.kr. root.linux.co.kr.  (
                                           2001020201 ; Serial
                                           28800      ; Refresh
                                           14400      ; Retry
                                           3600000    ; Expire
                                           86400 )    ; Minimum
                   IN      NS      ns.linux.co.kr.
     125             IN      PTR     ns.linux.co.kr.    // 125는 부여받은 IP의 맨 마지막을 표
                                                        //기한 것이며. PTR은 리버스존에서 정의
                                                        //해주는 것으로 IP주소로 도메인을 변환
                                                        //할 때 사용한다.

실습2. 위의 설정에 추가로 linux.com이라는 도메인 추가하기
1. /etc/named.conf의 설정 : 현재 네임서버에서 사용하는 모든 도메인은 이 파일에 꼭 등록을 해야
                            한다. linux.com이라는 도메인을 사용하려면 당연히 이 파일에서 추가
                            하여 설정해야 한다.
  예1) zone파일을 공유한 경우
     zone "linux.co.kr" {
            type master;
             file "linux.zone";
     };
     zone "1.168.192.in-addr.arpa" {
             type master;
             file "linux.rev";      // 리버스존파일은 한 서버에 여러도메인을 사용하는 경우에도
     };                               //하나만 만들어 사용한다.

    zone "linux.com" {
          type master;
          file "linux.zone";        // 존파일은 만약 그냥 웹페이지만 공유할 경우에는 그냥 동일
    };                              //한 존파일을 사용해도 무방하지만, 별도로 2차도메인을 부여
                                    //하고자 할 경우에는 별도로 존파일을 생성해야 한다. 현재의
                                    //설정은 그냥 zone파일을 공유한 경우이다.
  예2) zone파일을 공유하지 않은 경우 : 각 도메인에 해당하는 2차도메인을 사용할 경우에는 새로운
                                      존파일을 생성해야 한다.
     zone "linux.co.kr" {
            type master;
             file "linux.zone";
     };
     zone "1.168.192.in-addr.arpa" {
             type master;
             file "linux.rev";
     };
     zone "linux.com" {
          type master;
          file "linuxcom.zone";   // 새로운 zone파일을 생성하였다.
     };
2. /var/named에 위치하는 zone파일의 설정 : 새로설정하는 도메인인 linux.com 도메인의 존파일을
                                           linuxcom.zone이라고 만들고, 리버스존파일은 하나만
                                           존재해야 하므로, 기존의 리버스존파일인 linux.rev
                                           파일에 linux.com도메인 관련된 세팅만 해주면 된다.
  (1)linuxcom.zone의 설정
   @       IN      SOA     ns.linux.com. root.linux.com.  (     // 네임서버를 별도로 구성함.
                                        2001071500 ; Serial
                                        28800      ; Refresh
                                        14400      ; Retry
                                        3600000    ; Expire
                                        86400 )    ; Minimum
                IN      NS      ns.linux.com.
   linux.com.              IN      A       192.168.1.125
                           IN      MX      10      linux.com.    // 메일의 우선순위지정
   www.linux.com.          IN      A       192.168.1.125
  (2)linux.rev파일의 설정
   @       IN      SOA     ns.linux.co.kr. root.linux.co.kr.  (
                                         2001020201 ; Serial
                                         28800      ; Refresh
                                         14400      ; Retry
                                         3600000    ; Expire
                                         86400 )    ; Minimum
                 IN      NS      ns.linux.co.kr.
   125             IN      PTR     ns.linux.co.kr.
   125             IN      PTR     ns.linux.com.     // 기존의 설정에 이 부분만 추가한다.
3. apache의 설정 : 웹서비스와 연계되므로 아파치의 환경파일인 httpd.conf에서도 설정해줘야 한
                   다.
          NameVirtualHost 192.168.1.125              // 이 부분에 사용하는 IP를 적는다.
          ------------------------------------
          <VirtualHost 192.168.1.125>
              ServerAdmin admin@linux.com
              DocumentRoot /usr/local/apache/htdocs
              ServerName www.linux.com
              ServerAlias linux.com www.linux.com    // 브라우저상에서 linux.com과 www.linux.
                                                     //com를 입력했을 경우에 웹페이지가 열리도
                                                     //록 설정. 만약 2차도메인이 전부 이 동일
                                                     //한 웹페이지가 열리도록 하려면 *.linux.
                                                     //com이라고 설정하면 된다.
          ErrorLog logs/linux-error-log
          CustomLog logs/linux-access_log common
       </VirtualHost>

(실습3) mybestone.com이라는 도메인으로 서버가 한 대 운영중이다. linux.mybestone.com
이라는 서브도메인(2차도메인) 을 부여하여 이 서버가 독자적인 IP를 가지고 있고, 웹서버
및 메일서버도 독자적으로 운영하려고 한다. 또한 이 서버의 서브도메인(3차도메인)도
가능하게 세팅하려고 한다. 설정하도록 한다.


(조건)
1. mybestone.com (주 도메인)
   IP 주소         : 192.168.0.3
   zone 파일       : mybestone.zone
   Reverse zone파일: mybestone.rev
2. linux.mybestone.com (서브 도메인)
   IP 주소         : 192.168.0.4

(설정)
(1) 주 네임서버(ns.mybestone.com)의 설정
  1) /var/named 디렉토리에 존재하는 mybestone.zone파일의 설정 추가
    linux            IN      NS      ns.linux
    ns.linux         IN      A       192.168.0.4
      => 첫번째줄의 설정을 풀어쓰면 다음과 같다.
        linux.mybestone.com.         IN       NS      ns.linux.mybestone.com.
        즉 linux.mybestone.com이라는 도메인의 네임서버를 ns.linux.mybestone.com이라는 것으로
       정한다는 뜻이다.
        두번째줄의 설정을 풀어쓰면 다음과 같다.
        ns.linux.mybestone.com.      IN       A      192.168.0.4
       즉, ns.linux.mybestone.com의 IP주소는 192.168.0.4라는 뜻이 된다.
   (참고) 단순히 2차 도메인 사용만 지정하려면
         linux             IN      A      192.168.0.4
         라고 한줄만 지정해도 된다.
  2) /var/named 디렉토리에 존재하는 mybestone.rev파일의 설정 추가
    linux            IN      NS      ns.linux.mybestone.com.
    4                IN      NS      ns.linux.mybestone.com.
(2) 서브 네임서버(ns.linux.mybestone.com)의 설정
  1) /etc/named.conf파일의 설정
    zone "linux.mybestone.com" {        // 위임받은 2차도메인 설정
          type master;
          file "linux.mybestone.zone";
    };

    zone "linux.0.168.192.in-addr.arpa" { // 위임받은 2차도메인의 역존 설정법
            type master;
            file "linux.mybestone.rev";
     };
  2) linux.mybestone.zone파일의 설정
    @       IN      SOA     ns.linux.mybestone.com. root.linux.mybestone.com.  (
                                     2001071500 ; Serial
                                     28800      ; Refresh
                                     14400      ; Retry
                                     3600000    ; Expire
                                     86400 )    ; Minimum
               IN      NS      ns.linux.mybestone.com.
    linux.mybestone.com.           IN      A       192.168.0.4
                 IN      MX      10      linux.mybestone.com.
    www.linux.mybestone.com.       IN      A       192.168.0.4
   3) linux.mybestone.rev 파일의 설정
     @       IN      SOA     ns.linux.mybestone.com. root.linux.mybestone.com.  (
                                           2001020201 ; Serial
                                           28800      ; Refresh
                                           14400      ; Retry
                                           3600000    ; Expire
                                           86400 )    ; Minimum
                   IN      NS      ns.linux.mybestone.com.
     4             IN      PTR     ns.linux.mybestone.com.
(3) httpd.conf파일에 설정한다.
   <VirtualHost 192.168.0.4>
       ServerAdmin root@linux.mybestone.com
       ServerName linux.mybesone.com.com
       DocumentRoot /usr/local/apache/html
       ErrorLog logs/linux.mybestone.com-error_log
       CustomLog logs/linux.mybestone.com-access_log common
   </VirtualHost>

 

 

[출처] : cafe.daum.net/oranix 정성재 강사님의 리눅스 특별강좌 중...

'리눅스 > DNS' 카테고리의 다른 글

리눅스 메일 도메인 추가  (0) 2013.01.29
리버스 도메인 추가 ptr  (0) 2013.01.28
dns 셋팅 방법  (0) 2013.01.18
서브도메인 추가  (0) 2012.12.07
도메인 변경 및 네임서버 확인  (0) 2012.11.28
도메인 삭제  (0) 2012.11.28

서브도메인 추가

2012.12.07 12:27 | Posted by 재능을키워라

서브도메인 추가

vi /chroot/var/named/colocation/도메인

존파일 검색하여 추가한다.

서브도메인 IN A 아이피

추가한 후에 named reload

확인

'리눅스 > DNS' 카테고리의 다른 글

리버스 도메인 추가 ptr  (0) 2013.01.28
dns 셋팅 방법  (0) 2013.01.18
서브도메인 추가  (0) 2012.12.07
도메인 변경 및 네임서버 확인  (0) 2012.11.28
도메인 삭제  (0) 2012.11.28
네임서버 데몬설치  (0) 2012.11.27

도메인 변경 및 네임서버 확인

2012.11.28 17:52 | Posted by 재능을키워라


%s/바꿀아이피/바뀔아이피/g
vi에디터에서 일괄적으로 아이피 바꾸는 방법

dig @ns1.kr 도메인
도메인 네임서버 확인하는 방법

 

'리눅스 > DNS' 카테고리의 다른 글

dns 셋팅 방법  (0) 2013.01.18
서브도메인 추가  (0) 2012.12.07
도메인 변경 및 네임서버 확인  (0) 2012.11.28
도메인 삭제  (0) 2012.11.28
네임서버 데몬설치  (0) 2012.11.27
레코드 추가 및 변경  (0) 2012.11.21

도메인 삭제

2012.11.28 10:24 | Posted by 재능을키워라

도메인 삭제


vi /etc/named.rfc1912.zones
에서 리스트 지울 것

지우지말고 /chroot/var/named 에 delete 로 mv 시킬 것

1234다 확인할 것!

vi /chroot/var/named/colocation/000.000
들어가서 리스트있는거 울것?

'리눅스 > DNS' 카테고리의 다른 글

서브도메인 추가  (0) 2012.12.07
도메인 변경 및 네임서버 확인  (0) 2012.11.28
도메인 삭제  (0) 2012.11.28
네임서버 데몬설치  (0) 2012.11.27
레코드 추가 및 변경  (0) 2012.11.21
도메인 등록 네임서버 접속정보  (0) 2012.11.16

네임서버 데몬설치

2012.11.27 08:59 | Posted by 재능을키워라

1. 리눅스 네임서버 데몬(프로그램) 설치

리눅스의 네임서버는 bind 패키지를, 페도라의 설정파일은 caching-nameserver 패키지를 사용합니다. 이 두 패키지를 yum 을 이용해 설치합니다.

yum install bind caching-nameserver

2. named.conf 설정

caching-nameserver 를 설치하였기 때문에 named.conf 파일 대신 named.caching-nameserver.conf 파일을 사용합니다. 다음 소스코드에서 붉은 색 부분만 추가해줍니다.

vi /etc/named.caching-nameserver.conf

options {
        listen-on port 53 { 127.0.0.1; };
        listen-on port 53 { 자신의 서버 아이피; }; // 아이피 추가
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        query-source    port 53;
        query-source-v6 port 53;
        allow-query     { any; }; // localhost 에서 any 로 변경
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};
view localhost_resolver {
        // match-clients      { localhost; };  // 주석처리
        // match-destinations { localhost; };  // 주석처리
        recursion yes;
        include "/etc/named.rfc1912.zones";
};

3. zone 파일 설정

네임서버에서 사용할 도메인의 zone 파일을 설정해줘야 합니다. /etc/named.rfc1912.zones 파일을 열어 다음 코드를 추가해줍니다.

vi /etc/named.rfc1912.zones

zone "도메인" IN {
        type master;
        file "도메인의 존(zone) 파일 이름";
        allow-update { none; };
};

예 :
zone "miwit.com" IN {
        type master;
        file "miwit.com.zone";
        allow-update { none; };
};

4. zone 파일 생성

이제 실질적으로 도메인 네임서버를 컨트롤할 zone 파일을 생성합니다. 다음 예제를 보고 자신의 도메인에 맞게 설정하면 됩니다.

vi /var/named/adminplay.com.zone

$TTL 3600 ; 해당정보를 가져간 DNS서버에서 그 서버 캐쉬에 얼마동안 보관할 것인가에 대한 설정(캐시활성시간), 초단위이며 기본값은 24시간

@ IN  SOA ns.adminplay.com.  root.adminplay.com. ( ; 네임서버. 관리자email (root @ miwit.com 로 인식)
  2007051007  ; 시리얼값 (년월일시간)으로 대부분 설정합니다.
  30M         ; 2차 네임서버가 1차 네임서버에 접속하는 시간
  15M         ; 접속 실패시 다시 시작할 시간 간격
  1W          ; 1차 네임서버에 데이터가 없다면 1주 이후에 지워진다.
  1H )        ; 위에서 설정한 TTL값과 같은 의미

IN    NS      ns.adminplay.com.  ; 도메인을 소유한 DNS의 도메인
IN    MX  10  mail.adminplay.com. ; 메일을 보낼 도메인 또는 주소
IN    A       111.111.111.11  ; 도메인이 찾아갈 IP주소
www   IN  A   111.111.111.11
*     IN  A   111.111.111.11  ; 모든 서브 도메인이 찾아갈 서버 IP

5. zone 파일 권한설정

파일의 소유자는 root.named 로 권한은 640 으로 맞춰줍니다.

chown root.named miwit.com.zone
chmod 640 miwit.com.zone

6. 부팅시 named 시작 설정

리부팅시 자동으로 named 가 실행될 수 있도록 setup > 시스템 서비스 에서 named 에 체크를 해줍니다.

'리눅스 > DNS' 카테고리의 다른 글

서브도메인 추가  (0) 2012.12.07
도메인 변경 및 네임서버 확인  (0) 2012.11.28
도메인 삭제  (0) 2012.11.28
네임서버 데몬설치  (0) 2012.11.27
레코드 추가 및 변경  (0) 2012.11.21
도메인 등록 네임서버 접속정보  (0) 2012.11.16

레코드 추가 및 변경

2012.11.21 17:50 | Posted by 재능을키워라

MX 레코드 추가 및 변경

mx 레코드값 변경
@               IN      MX  10  mail.도메인.com.
@               IN      TXT     "v=spf1 ip4:0.0.0.0 ~all"
mail         IN      A       0.0.0.0

수정후에
/etc/init.d/named reload 
명령어로 리로드한다 (주의: restart 가 아님!!)

확인은
dig 도메인 mx
로 확인 할수있다.

****참고

존파일에서의 주석처리는 #이아닌  ;(세미콜론)임을 명심할 것

'리눅스 > DNS' 카테고리의 다른 글

서브도메인 추가  (0) 2012.12.07
도메인 변경 및 네임서버 확인  (0) 2012.11.28
도메인 삭제  (0) 2012.11.28
네임서버 데몬설치  (0) 2012.11.27
레코드 추가 및 변경  (0) 2012.11.21
도메인 등록 네임서버 접속정보  (0) 2012.11.16

도메인 등록 네임서버 접속정보

2012.11.16 13:51 | Posted by 재능을키워라

도메인등록

하기전에 확인사항!!

고객에게 전화해서 도메인명, IP확인한다.

도메인하나당 부가세포함 5,500원 임을 알린다.

작업진행한다.


푸티로 4개의 창을 띄운다. (아래의 도메인으로)
ns1.kr
ns2.kr
ns8.kr
ns9.kr

ㄴ포트번호 222

 

로그인을 한다.
ID: worker

Pass: !ajwhgdmsrjfkeh?
ㄴ !머좋은거라도? ---해석임

su -

Pass: @$dlsclshxmqnr
ㄴ @$인치노트북  ---해석임


ex)예를 보여줌

고객이 요청한 도메인 두개

ltesoft.co.kr

hdspider.com


그리고 아이피

222.122.46.93

 

상호명: 비엘테크

작업자: 곽동환

끝내기: exit

 

******확인 및 기록사항

nslookup 도메인 ns1.kr
ㄴ명령어를 사용하면 아이피와 확인된 내용이 나온다
  이것을 작업일지에 기록한다.

 

 

 

 

'리눅스 > DNS' 카테고리의 다른 글

서브도메인 추가  (0) 2012.12.07
도메인 변경 및 네임서버 확인  (0) 2012.11.28
도메인 삭제  (0) 2012.11.28
네임서버 데몬설치  (0) 2012.11.27
레코드 추가 및 변경  (0) 2012.11.21
도메인 등록 네임서버 접속정보  (0) 2012.11.16
이전 1 다음