chrooted Nameserver

© Copyright 2002, 2003 Hellmuth Michaelis. All Rights reserved.

Version: $Id: multi-bind.html,v 1.2 2003/02/23 14:40:48 cvs Exp $

mehrere Nameserver - einer pro Lan-Interface - chrooted betreiben (bind 8.3.3, FreeBSD 4.7)

An einem "dual homed" Rechner sind zwei LAN-Segmente angeschlossen, ein externes LAN mit Verbindung zum Internet und ein internes LAN, an dem z.B. Benutzer PC's angeschlossen sind:

Auf diesem Rechner sollen Nameservices (DNS) zur Verfügung gestellt werden, mit folgenden Bedingungen:

auf dem externen LAN sollen nur Namen und Addressen die zum Betrieb des externen LAN's erforderlich sind, zu "sehen" sein bzw. aufgelöst werden. Adressen und Namen des internen LAN's sollen hier unter keinen Umständen sichtbar sein.
auf dem internen LAN sollen nur Namen und Addressen die zum Betrieb des internen LAN's erforderlich sind, zu "sehen" sein bzw. aufgelöst werden. Adressen und Namen des externen LAN's sollen hier unter keinen Umständen sichtbar sein.
die auf dem Rechner selbst laufenden Services (wie z.B. der http-Proxy Server "squid") sollen/müssen in der Lage sein, Namen und Adressen sowohl aus dem internen als auch auf dem externen LAN aufzulösen.
auf dem Rechner läuft ein FreeBSD 4.7 und es soll der zu diesem Betriebsystem mitgelieferte Nameserver bind 8.3.3 zum Einsatz kommen.

manpages lesen: "man 8 chroot" und "man 2 chroot"

Directory anlegen, welches das zukünftige root für den Nameserver sein wird, hier als Beispiel /usr/local/chroot/bind

Unter /usr/local/chroot/bind werden jetzt folgende Verzeichnisse angelegt:

etc
etc/namedb
usr
usr/libexec
usr/lib
var
var/run
var/tmp
var/log

Alle Verzeichnisse bekommen als Eigentümer den Benutzer und die Gruppe bind ("chown bind:bind") und nur für Gruppe und Benutzer Schreib- (für var und tiefer), Lese- bzw. Executerechte.

Kopieren von /etc/localtime nach /usr/local/chroot/bind/etc/. Das dient dazu, das die Log-Einträge des Nameservers später im syslog mit der korrekten lokalen Zeit eingetragen werden.

Kopieren von /usr/lib/libc.so und /usr/lib/libc.so.4 nach /usr/local/chroot/bind/usr/lib/. Dies sind die vom named-Binary benötigten shared libraries.

Kopieren von /usr/libexec/named-xfer nach /usr/local/chroot/bind/usr/libexec/. Dieses Programm wird vom named für Zonentransfers benötigt.

Einen zusätzlichen log-socket für syslogd anlegen: dazu muss man dem syslogd beim Aufruf sagen, wo dieser log-socket liegen soll, das geschieht am besten in der Datei /etc/rc.conf, wo man an den vorhandenen Eintrag syslogd_flags für unser Beispiel den string -l /usr/chroot/bind/var/run/log anfügt.

Der Nameserver wird über das Programm ndc(8) gesteuert, die beiden Programme kommunizieren dafür über einen Unix-domain-socket, normalerweise in /var/run/ndc. Es gibt mehrere Möglichkeiten, diese Kommunikation in einer chroot Umgebung zu ermöglichen, entweder gibt man ndc über den switch -c die Lages des sockets an (in unserem Beispiel also /usr/local/chroot/bind/var/run/ndc) oder man linkt in einem script in /usr/local/etc/rc.d /usr/local/chroot/bind/var/run/ndc nach /var/run/ndc (es muss in einem script jeweils zur boot-Zeit immer neu gelinkt werden, weil /var/run beim boot gelöscht wird und damit auch der Link verloren geht).

Im Verzeichnis /usr/local/chroot/bind/etc/namedb müssen nun wie üblich die Konfigurationsdateien des Nameservers erstellt werden. Wenn schon eine Konfiguration in /etc/namedb vorhanden ist, kann sie natürlich auch von dort kopiert werden, oder aber das gesamte Verzeichnis /etc/namedb wird nach /usr/local/chroot/bind/etc/namedb gelinkt.

Zu guter letzt muss noch in /etc/rc.conf dafür gesorgt werden, das der Nameserver jetzt mit den Parametern für die chroot Umgebung gestartet wird, dazu ändere man die Variable named_flags nach named_flags="-u bind -g bind -t /usr/local/chroot/bind"