CentOS bind

[aks]

Добре утро, день, вечер.

Продолжаем борьбу с linux
нужно поднять DNS. Выбрал bind
Начал конешно же с установки.

Код: Выделить всё

yum install bind.i386

bind установился

Код: Выделить всё

[root@mail ~]# rpm -qa | grep bind
bind-9.3.4-10.P1.el5_3.3
bind-libs-9.3.4-10.P1.el5_3.3
[root@mail ~]#

посмотрел какие файлы куда поместились

Код: Выделить всё

bind                      /etc/dbus-1/system.d/named.conf
bind                      /etc/logrotate.d/named
bind                      /etc/named.conf
bind                      /etc/rc.d/init.d/named
bind                      /etc/rndc.conf
bind                      /etc/rndc.key
bind                      /etc/sysconfig/named
bind                      /usr/sbin/bind-chroot-admin
bind                      /usr/sbin/dns-keygen
bind                      /usr/sbin/dnssec-keygen
bind                      /usr/sbin/dnssec-signzone
bind                      /usr/sbin/lwresd
bind                      /usr/sbin/named
bind                      /usr/sbin/named-bootconf
bind                      /usr/sbin/named-checkconf
bind                      /usr/sbin/named-checkzone
bind                      /usr/sbin/namedGetForwarders
bind                      /usr/sbin/namedSetForwarders
bind                      /usr/sbin/rndc
bind                      /usr/sbin/rndc-confgen
bind                      /usr/share/dbus-1/services/named.service
bind                      /usr/share/doc/bind-9.3.4
bind                      /usr/share/doc/bind-9.3.4/CHANGES

Пошел смотреть конфиги, а в директоиях их нету.

пусто
/etc/dbus-1/system.d/named.conf
/etc/named.conf

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[weec]

похоже чегото напутал или забыл
интересно посмотреть выводы следующих команд:

Код: Выделить всё

lsb_release -a
yum repolist
rpm -qi bind
rpm -ql bind
rpm -V bind

[aks]

lsb_release -a нету такой команды

Код: Выделить всё

[root@mail etc]# cat /etc/redhat-release
CentOS release 5.3 (Final)

yum repolist

Код: Выделить всё

[root@mail etc]# yum repolist
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.mirror.cdnetworks.com
 * updates: centosl.centos.org
 * addons: centos.mirror.cdnetworks.com
 * extras: ftp.nara.wide.ad.jp
repo id              repo name                                status
addons               CentOS-5 - Addons                        enabled :       0
extras               CentOS-5 - Extras                        enabled :     312
updates              CentOS-5 - Updates                       enabled :     400
[root@mail etc]#

rpm -qi bind

Код: Выделить всё

[root@mail etc]# rpm -qi bind
Name        : bind                         Relocations: (not relocatable)
Version     : 9.3.4                             Vendor: CentOS
Release     : 10.P1.el5_3.3                 Build Date: Чтв 30 Июл 2009 04:56:43
Install Date: Чтв 30 Июл 2009 15:14:15      Build Host: builder16.centos.org
Group       : System Environment/Daemons    Source RPM: bind-9.3.4-10.P1.el5_3.3.src.rpm
Size        : 2191596                          License: BSD-like
Signature   : DSA/SHA1, Чтв 30 Июл 2009 05:05:22, Key ID a8a447dce8562897
URL         : http://www.isc.org/products/BIND/
Summary     : The Berkeley Internet Name Domain (BIND) DNS (Domain Name System) server.
Description :
BIND (Berkeley Internet Name Domain) is an implementation of the DNS
(Domain Name System) protocols. BIND includes a DNS server (named),
which resolves host names to IP addresses; a resolver library
(routines for applications to use when interfacing with DNS); and
tools for verifying that the DNS server is operating properly.
[root@mail etc]#

rpm -ql bind

Код: Выделить всё

[root@mail etc]# rpm -ql bind
/etc/dbus-1/system.d/named.conf
/etc/logrotate.d/named
/etc/named.conf
/etc/rc.d/init.d/named
/etc/rndc.conf
/etc/rndc.key
/etc/sysconfig/named
/usr/sbin/bind-chroot-admin
/usr/sbin/dns-keygen
/usr/sbin/dnssec-keygen
/usr/sbin/dnssec-signzone
/usr/sbin/lwresd
/usr/sbin/named
/usr/sbin/named-bootconf
/usr/sbin/named-checkconf
/usr/sbin/named-checkzone
/usr/sbin/namedGetForwarders
/usr/sbin/namedSetForwarders
/usr/sbin/rndc
/usr/sbin/rndc-confgen
/usr/share/dbus-1/services/named.service
/usr/share/doc/bind-9.3.4
/usr/share/doc/bind-9.3.4/CHANGES
/usr/share/doc/bind-9.3.4/COPYRIGHT
/usr/share/doc/bind-9.3.4/README
/usr/share/doc/bind-9.3.4/README.DBUS
/usr/share/doc/bind-9.3.4/arm
/usr/share/doc/bind-9.3.4/arm/Bv9ARM-book.xml
/usr/share/doc/bind-9.3.4/arm/Bv9ARM.ch01.html
/usr/share/doc/bind-9.3.4/arm/Bv9ARM.ch02.html
/usr/share/doc/bind-9.3.4/arm/Bv9ARM.ch03.html
/usr/share/doc/bind-9.3.4/arm/Bv9ARM.ch04.html
/usr/share/doc/bind-9.3.4/arm/Bv9ARM.ch05.html
/usr/share/doc/bind-9.3.4/arm/Bv9ARM.ch06.html
/usr/share/doc/bind-9.3.4/arm/Bv9ARM.ch07.html
/usr/share/doc/bind-9.3.4/arm/Bv9ARM.ch08.html
/usr/share/doc/bind-9.3.4/arm/Bv9ARM.ch09.html
/usr/share/doc/bind-9.3.4/arm/Bv9ARM.html
/usr/share/doc/bind-9.3.4/arm/Bv9ARM.pdf
/usr/share/doc/bind-9.3.4/arm/Makefile
/usr/share/doc/bind-9.3.4/arm/Makefile.in
/usr/share/doc/bind-9.3.4/arm/README-SGML
/usr/share/doc/bind-9.3.4/arm/latex-fixup.pl
/usr/share/doc/bind-9.3.4/misc
/usr/share/doc/bind-9.3.4/misc/Makefile
/usr/share/doc/bind-9.3.4/misc/Makefile.in
/usr/share/doc/bind-9.3.4/misc/dnssec
/usr/share/doc/bind-9.3.4/misc/format-options.pl
/usr/share/doc/bind-9.3.4/misc/ipv6
/usr/share/doc/bind-9.3.4/misc/migration
/usr/share/doc/bind-9.3.4/misc/migration-4to9
/usr/share/doc/bind-9.3.4/misc/options
/usr/share/doc/bind-9.3.4/misc/options.edns
/usr/share/doc/bind-9.3.4/misc/rfc-compliance
/usr/share/doc/bind-9.3.4/misc/roadmap
/usr/share/doc/bind-9.3.4/misc/sdb
/usr/share/doc/bind-9.3.4/sample
/usr/share/doc/bind-9.3.4/sample/etc
/usr/share/doc/bind-9.3.4/sample/etc/named.conf
/usr/share/doc/bind-9.3.4/sample/etc/named.rfc1912.zones
/usr/share/doc/bind-9.3.4/sample/etc/named.root.hints
/usr/share/doc/bind-9.3.4/sample/etc/rndc.conf
/usr/share/doc/bind-9.3.4/sample/var
/usr/share/doc/bind-9.3.4/sample/var/named
/usr/share/doc/bind-9.3.4/sample/var/named/data
/usr/share/doc/bind-9.3.4/sample/var/named/localdomain.zone
/usr/share/doc/bind-9.3.4/sample/var/named/localhost.zone
/usr/share/doc/bind-9.3.4/sample/var/named/my.external.zone.db
/usr/share/doc/bind-9.3.4/sample/var/named/my.internal.zone.db
/usr/share/doc/bind-9.3.4/sample/var/named/named.broadcast
/usr/share/doc/bind-9.3.4/sample/var/named/named.ip6.local
/usr/share/doc/bind-9.3.4/sample/var/named/named.local
/usr/share/doc/bind-9.3.4/sample/var/named/named.root
/usr/share/doc/bind-9.3.4/sample/var/named/named.zero
/usr/share/doc/bind-9.3.4/sample/var/named/slaves
/usr/share/doc/bind-9.3.4/sample/var/named/slaves/my.ddns.internal.zone.db
/usr/share/doc/bind-9.3.4/sample/var/named/slaves/my.slave.internal.zone.db
/usr/share/man/man5/named.conf.5.gz
/usr/share/man/man5/rndc.conf.5.gz
/usr/share/man/man8/dnssec-keygen.8.gz
/usr/share/man/man8/dnssec-signzone.8.gz
/usr/share/man/man8/lwresd.8.gz
/usr/share/man/man8/named-checkconf.8.gz
/usr/share/man/man8/named-checkzone.8.gz
/usr/share/man/man8/named.8.gz
/usr/share/man/man8/rndc-confgen.8.gz
/usr/share/man/man8/rndc.8.gz
/var/log/named.log
/var/named
/var/named/data
/var/named/slaves
/var/run/named
[root@mail etc]#

rpm -V bind
невернул не чего

[weec]

lsb_release -a нету такой команды

Код: Выделить всё

yum provides */lsb_release

rpm -V bind
невернул не чего

Код: Выделить всё

rpm -vV bind

[paix]

поставь следующие пакеты:

Код: Выделить всё

yum install bind-chroot caching-nameserver

конфиг немеда будет в этой директории: /var/named/chroot/etc/
работает по дефолту.

[aks]

Спасибо за помошь.
Я выяснил на одном из форумов что пакет собран криво.
и когфиг надо брать из /usr/share/doc/sample

[paix]

Спасибо за помошь.
Я выяснил на одном из форумов что пакет собран криво.
и когфиг надо брать из /usr/share/doc/sample

извините, но вы говорите чушь.
В редхате все сервисы собраны таким макаром, чтобы запускаться с минимальным телодвижениями.
И уж темболее не "криво".

Ну а то что в unix существует бесчисленное множество вариантов сделать что-то, это правда. И скопировать откуда-то семпл - один из них.

[rusty_angel]

Неа, не чушь говорит. Мы тут оба слегка в шоке.
Файлов действительно нет, но в базе rpm они на самом деле упомянуты. Это свежий апдейт, после позавчера опубликованной уязвимости. Видимо второпях собирали. Не верите - сами посморите на этот файлик.
В предыдущих версиях 9.3.4 named.conf и в rpm -ql нет, и это, видимо, нормально, а вот в 9.3.4-10.P1 появился.

[weec]

Спасибо за помошь.
Я выяснил на одном из форумов что пакет собран криво.
и когфиг надо брать из /usr/share/doc/sample

нашел единомышленников?
на заборе много чего пишут

paix, RHCE )?

[weec]

aks, извиняюсь если обидел чем

в bugtrack смотрели?

[Burner]

/var/named/chroot/etc/named.conf
/etc/named.conf - симлинк на это.

[paix]

Неа, не чушь говорит. Мы тут оба слегка в шоке.
Файлов действительно нет, но в базе rpm они на самом деле упомянуты. Это свежий апдейт, после позавчера опубликованной уязвимости. Видимо второпях собирали. Не верите - сами посморите на этот файлик.
В предыдущих версиях 9.3.4 named.conf и в rpm -ql нет, и это, видимо, нормально, а вот в 9.3.4-10.P1 появился.

у меня, апдейт неймеда прошел как всегда - отлично.
причем вывод rpm -ql bind не отличается в новой версии от старой.

версии:

Код: Выделить всё

do# rpm -qa|grep bind
bind-utils-9.3.4-10.P1.el5
bind-9.3.4-10.P1.el5
bind-libs-9.3.4-10.P1.el5
bind-chroot-9.3.4-10.P1.el5

posle update# rpm -qa|grep bind
bind-9.3.4-10.P1.el5_3.3
bind-libs-9.3.4-10.P1.el5_3.3
bind-chroot-9.3.4-10.P1.el5_3.3
bind-utils-9.3.4-10.P1.el5_3.3

ну в самом деле, как это "собирали второпях", после сборки по 25раз все тестируется. Вы представляете сколько в мире серверов под редхат? Это не те ребята, которые ломают пакеты от апдейта к апдейту

Ну реально, посмотрите ченжлог, откуда там взятся новому конфигурационному файлу?

Код: Выделить всё

rpm -q bind --changelog | head -n 5

Я не поленился и посмотрел src.rpm

Код: Выделить всё

$ rpm -ivh bind-9.3.4-10.P1.el5_3.3.src.rpm 
$ find . -name "named.conf*"
./rpmbuild/SOURCES/named.conf.sample

никакого named.conf там нет.
Если же вы утвержаете об обратном, пожалуйста факты в студию.

paix, RHCE )?

с удовольствием бы прослушал различные курсы, но, увы, не имею такой возможности.
А покуда отсутствие корочек стараюсь компенсировать практическими знаниями

[weec]

paix, в "инвенте" на август хорошие скидки
http://rhd.ru/training/summer2009.html

[helloworld]

CentOS 5.0
Вот рабочие конфиги и директории.
Bind in chroot.

Код: Выделить всё

# rpm -qa | grep bind
bind-utils-9.3.3-9.0.1.el5
bind-9.3.3-9.0.1.el5
bind-libs-9.3.3-9.0.1.el5
bind-chroot-9.3.3-9.0.1.el5

Код: Выделить всё

# pwd
/var/named/chroot/etc

Код: Выделить всё

# ls -la
total 28
drwxr-x--- 2 root  named 4096 Nov 17  2007 .
drwxr-x--- 6 root  named 4096 Nov 16  2007 ..
-rw-r--r-- 1 root  root  2046 Sep 13  2007 localtime
-rw-r----- 1 named named 1100 Jul 24  2007 named.caching-nameserver.conf
-rw-r--r-- 1 named named 1481 Nov 17  2007 named.conf
-rw-r----- 1 named named  955 Jul 24  2007 named.rfc1912.zones
-rw-r--r-- 1 named named  113 Nov 15  2007 rndc.key

Код: Выделить всё

# cat named.conf 
logging {
    channel systemlog {
	file "log/named.log";
	severity debug;
        print-time yes;
        };
   channel audit_log {
	file "log/security.log";
        severity debug;
	print-time yes;
        };
   channel xfer_log {
	file "log/xfer.log";
	severity debug;
	print-time yes;
	};
    category default { systemlog; };
    category security { audit_log; systemlog; };
    category config { systemlog; };
    category xfer-in { xfer_log; };
    category xfer-out { xfer_log; };
    category notify { audit_log; };
    category update { audit_log; };
    category queries { audit_log; };
    category lame-servers { audit_log; };
};	

options {
    directory "/var/named";
    pid-file "/var/run/named/named.pid";
};

                
zone "." IN {
    type hint;
    file "named.ca";
};
                
zone "localdomain" IN {
    type master;
    file "localdomain.zone";
    allow-update { none; };
};
                                        
zone "localhost" IN {
    type master;
    file "localhost.zone";
    allow-update { none; };
};
                        
zone "0.0.127.in-addr.arpa" IN {
    type master;
    file "named.local";
    allow-update { none; };
};

Код: Выделить всё

# pwd
/var/named/chroot/var/named

Код: Выделить всё

# ls -la
total 56
drwxr-x--- 5 named named 4096 Nov 17  2007 .
drwxr-x--- 5 named named 4096 Nov 16  2007 ..
-rw-r----- 1 named named  396 Jun  3  2005 127.0.0.1.zone
drwxrwx--- 2 named named 4096 Aug 26  2004 data
-rw-r----- 1 named named  198 Jul 24  2007 localdomain.zone
-rw-r----- 1 named named  195 Jul 24  2007 localhost.zone
-rw-r----- 1 named named  395 Jun  3  2005 localhost.zone.2007-11-15_17-12-18.661758000
drwxr-xr-x 2 named named 4096 Nov 16  2007 log
-rw-r----- 1 named named  427 Jul 24  2007 named.broadcast
-rw-r----- 1 named named 2518 Jul 24  2007 named.ca
-rw-r----- 1 named named  424 Jul 24  2007 named.ip6.local
-rw-r----- 1 named named  426 Jul 24  2007 named.local
-rw-r----- 1 named named  427 Jul 24  2007 named.zero
drwxrwx--- 2 named named 4096 Jan 11  2008 slaves

[Alex Keda]

чудаки...
во фре он в базовой системе идёт.
и просто работает. без бубнов...

[Alex_hha]

чудаки...
во фре он в базовой системе идёт.
и просто работает. без бубнов...

но версия скорее всего старая. Та и при обнаружении уязвимости прикажешь мир обновлять?

[Alex Keda]

зачем? недавно была уязвимость.
инструкция в три строки что делать - патч, пеерсобрать кусок сситемы, проинсталлить
всё

[Alex_hha]

yum update както проще и быстрее

[Alex Keda]

make world
ещё быстрей, по командам. и что?

[rusty_angel]

Что, и соберётся мир быстрее, чем несколько пакетов скачается и установится?

[Alex Keda]

в школу идите обратно.
там вас научат читать и вы наконец осилите обе строки моего поста целиком.
на данный моемнт осилили лишь половину от первой.

[rusty_angel]

Дёшево. Не умеешь спорить - не лезь в споры. А ежели лезешь - умей призанавать, что слил. Пользователям нормальных линуксов не пришлось читать никакие инструкции и накладывать патчи. yum update - и всё.

[Alex Keda]

слил ты, так и не осилив ни школу, ни того что я писал.

пользователям винды даже таких команд знать не надо - само скачалось и обновилось
значит у них магия круче, получается?

[Гость]

Если когда оно у них и работает без проблем - таки да, круче.

Тебе шашечки, или ехать? При равных условиях (был байнд, нашлась уязвимость, на следующий день и у бздунов и пингвиноёбов уязвимость закрыта) линуксоидам гораздо меньне движений пришлось сделать:
- Не надо откуда-то узнавать, что уязвимость есть
- Не надо качать патч
- Не надо патчить
- Не надо пересобирать байнд

Достаточного одного только yum update. Не надо даже знать заранее, что уязвимость была.

А если кому надо было срочно (вроде меня на трёх серверах с уже неподдерживаемыми официально системами), то нужно всего лишь:
- взять .src.rpm и патч
- поправить .spec (две строки)
- rpmbuild -ba
- rpm -i
- (опционально) обновить внутренний конторский репозиторй

Число телодвижений тоже самое, но при этом система будет знать о каждом установленном файле. И другой админ, прийдя на моё место, обнаружит все файлы именно там, где ожидает их увидеть.

[Alex Keda]

всё хорошо и красиво...
вот тока...
> Достаточного одного только yum update. Не надо даже знать заранее, что уязвимость была.
каждый день делаете? месяц? год?
а мне портаудит ночью пришлёт отчёт где всё расписано - что, где, когда, с ссылками на описание и патчами/мерами если они существуют.
в самом поганом случае - по ссылке будет рекомендация загасить сервис, если патча/новой версии/решения ещё нет.

а вы так и будете сидеть в незнании, пока не набредёте в прошлогодних новостях на описание бага...