7.2. 도메인 네임 서버 (DNS) 의 설정과 관리

우리 회사에서는 리눅스를 DNS 서버로 사용하고 있다. 성능은 상상이상으로 뛰어나다. 이 섹션에서는 레드햇 배포판에서 표준으로 따라오는 BIND 8.x 를 이용하여 도메인 네임 서비스를 할 수 있도록 DNS 테이블을 설정하는 방법을 다룬다.

리눅스에서 DNS 서비스를 설정하는데에는 다음과 같은 과정을 밟게 된다:

1. DNS 서비스가 작동하게 하려면 ``/etc/host.conf'' 파일이 다음과 같이 되어 있어야 한다:

   # Lookup names via /etc/hosts first, then by DNS query order hosts, bind # We don't have machines with multiple addresses multi on # Check for IP address spoofing nospoof on # Warn us if someone attempts to spoof alert on

   스푸핑 탐지 기능을 추가하면 DNS 참조할 때 성능상의 약간의 (비록 무시할 수 있는 수준이지만) 저하를 가져온다. 따라서, 이런 것을 크게 걱정하지 않는다면 "nospoof" 과 "alert" 항목은 사용하지 않도록 하여도 된다.

2. ``/etc/hosts'' 파일을 필요에 따라 설정한다. 전형적인 경우에 여기에 많은 항목을 넣을 필요는 없다. 하지만 성능의 향상을 위해서 (로컬 서버와 같이) 자주 엑세스되는 호스트는 DNS 참조를 하지 않도록 항목을 추가할 수 있다.

3. ``/etc/named.conf'' 파일은 아래의 예에서도 볼 수 있듯이 DNS 테이블을 가리키도록 설정되어야 한다.

   참고: (주의: 여기에서 예로 든 IP 주소는 어디까지나 예시일 뿐이며 반드시 당신이 쓰는 주소로 바꾸어주어야 한다!):

   options { // DNS tables are located in the /var/named directory directory "/var/named"; // Forward any unresolved requests to our ISP's name server // (this is an example IP address only -- do not use!) forwarders { 123.12.40.17; }; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default. */ // query-source address * port 53; }; // Enable caching and load root server info zone "named.root" { type hint; file ""; }; // All our DNS information is stored in /var/named/mydomain_name.db // (eg. if mydomain.name = foobar.com then use foobar_com.db) zone "mydomain.name" { type master; file "mydomain_name.db"; allow-transfer { 123.12.41.40; }; }; // Reverse lookups for 123.12.41.*, .42.*, .43.*, .44.* class C's // (these are example Class C's only -- do not use!) zone "12.123.IN-ADDR.ARPA" { type master; file "123_12.rev"; allow-transfer { 123.12.41.40; }; }; // Reverse lookups for 126.27.18.*, .19.*, .20.* class C's // (these are example Class C's only -- do not use!) zone "27.126.IN-ADDR.ARPA" { type master; file "126_27.rev"; allow-transfer { 123.12.41.40; }; };

   작은 정보: 팁: 위의 내용 중에서 allow-transfer 옵션에 주목하기 바란다. 이는 DNS 영역의 전달을 주어진 IP 주소로 제한한다. 앞의 예에서, 우리는 123.12.41.40 에 있는 (아마 우리 도메인의 보조 DNS 서버) 호스트에게만 영역 전달을 허용하고 있다. 만약 이 옵션을 빼먹는다면, 인터넷에 있는 임의의 사용자가 그러한 전달을 요청할 수 있게된다. 이렇게 해서 제공되는 정보는 스팸 메일을 보내는 사람이나 IP 스푸핑을 하는 사람들에 의하여 악용될 수 있으므로, 영역 전달은 보조 DNS 서버 아니면 루프백 주소 ``127.0.0.1'' 로만 제한할 것을 강력히 추천한다.

4. 이제 ``var/named/'' 디렉토리에 있는 DNS 테이블을 세번째 단계에서 ``/etc/named.conf'' 파일에 설정한 내용에 따라 셋업할 수 있다. DNS 데이터베이스를 처음으로 설정하는 막중한 일로서 이 문서의 범위를 넘어선다. 참조할 만한 가이드라인이 온라인이나 인쇄된 책으로 몇가지 있다. 어쨌든 아래에 몇가지의 예를 제시하였다.

   ``/var/named/mydomain_name.db'' 전달 참조 파일에 들어 있는 항목의 예:

   ; This is the Start of Authority (SOA) record. Contains contact ; & other information about the name server. The serial number ; must be changed whenever the file is updated (to inform secondary ; servers that zone information has changed). @ IN SOA mydomain.name. postmaster.mydomain.name. ( 19990811 ; Serial number 3600 ; 1 hour refresh 300 ; 5 minutes retry 172800 ; 2 days expiry 43200 ) ; 12 hours minimum ; List the name servers in use. Unresolved (entries in other zones) ; will go to our ISP's name server isp.domain.name.com IN NS mydomain.name. IN NS isp.domain.name.com. ; This is the mail-exchanger. You can list more than one (if ; applicable), with the integer field indicating priority (lowest ; being a higher priority) IN MX mail.mydomain.name. ; Provides optional information on the machine type & operating system ; used for the server IN HINFO Pentium/350 LINUX ; A list of machine names & addresses spock.mydomain.name. IN A 123.12.41.40 ; OpenVMS Alpha mail.mydomain.name. IN A 123.12.41.41 ; Linux (main server) kirk.mydomain.name. IN A 123.12.41.42 ; Windows NT (blech!) ; Including any in our other class C's twixel.mydomain.name. IN A 126.27.18.161 ; Linux test machine foxone.mydomain.name. IN A 126.27.18.162 ; Linux devel. kernel ; Alias (canonical) names gopher IN CNAME mail.mydomain.name. ftp IN CNAME mail.mydomain.name. www IN CNAME mail.mydomain.name.

   ``/var/named/123_12.rev'' 역 참조 파일의 항목 예:

   ; This is the Start of Authority record. Same as in forward lookup table. @ IN SOA mydomain.name. postmaster.mydomain.name. ( 19990811 ; Serial number 3600 ; 1 hour refresh 300 ; 5 minutes retry 172800 ; 2 days expiry 43200 ) ; 12 hours minimum ; Name servers listed as in forward lookup table IN NS mail.mydomain.name. IN NS isp.domain.name.com. ; A list of machine names & addresses, in reverse. We are mapping ; more than one class C here, so we need to list the class B portion ; as well. 40.41 IN PTR spock.mydomain.name. 41.41 IN PTR mail.mydomain.name. 42.41 IN PTR kirk.mydomain.name. ; As you can see, we can map our other class C's as long as they are ; under the 123.12.* class B addresses 24.42 IN PTR tsingtao.mydomain.name. 250.42 IN PTR redstripe.mydomain.name. 24.43 IN PTR kirin.mydomain.name. 66.44 IN PTR sapporo.mydomain.name. ; No alias (canonical) names should be listed in the reverse lookup ; file (for obvious reasons).

   다른 B 클래스 (126.27.* 과 같은) 주소를 매핑 시키기 위해서는 추가로 역 참조 파일을 만들 수 있으며 그 내용은 앞에서 본 것과 유사하다.

5. named 데몬이 실행중인지 확인한다. 이 데몬은 대개 시스템이 부팅할 때 ``/etc/rc.d/init.d/named'' 파일에서 시작된다. 수작업으로 데몬은 시작 또는 중지시킬 수도 있다; 이를 위하여는 각기 ``named start'' 와 ``named stop'' 라고 타이핑하면 된다.

6. DNS 테이블에 변화가 생길 때마다, DNS 서버는 ``/etc/rc.d/init.d/named restart'' 라고 타이핑하여 재시작되어야 한다. 새로 추가하거나 변경한 기계에 대하여 제대로 동작하는지 확인하기 위해서는 "nslookup" 와 같은 툴을 사용하면 된다.

DNS 서비스 설정에 대한 자세한 정보는 http://metalab.unc.edu/Linux/HOWTO/DNS-HOWTO-5.html 에 있는 ``DNS-HOWTO'' 가이드를 참조하면 된다.