Пошаговое руководство по установке cPanel DNS Only на Linux

at0mSec
Установка собственного выделенного DNS-сервера обеспечивает повышенную производительность, стабильность и безопасность DNS-инфраструктуры ваших доменов. Только DNS в cPanel это бесплатный и отличный вариант для запуска авторитетного DNS-сервера в Linux.

В этом руководстве вы узнаете, как установить и настроить cPanel DNS Only в Linux. Мы рассмотрим:

  • Преимущества использования DNS Only
  • Подробные требования и предварительные условия
  • Пошаговая установка на Ubuntu или AlmaLinux
  • Настройка после установки
  • Защита вашего DNS-сервера
  • Включение DNSSEC
  • Интеграция с кластерами DNS
  • Устранение распространенных проблем

К концу этой статьи вы получите обширные знания по развертыванию DNS Only в Linux. Давайте приступим!

Почему стоит использовать cPanel DNS Only?

Прежде чем мы приступим к установке, давайте обсудим, почему вы можете захотеть использовать cPanel DNS Only в качестве авторитетного DNS:

Легкий и быстрый

DNS Only включает в себя только службы DNS и инструменты управления без всех дополнительных компонентов в cPanel. Эта оптимизированная кодовая база делает его быстрым и легким.

Простое управление DNS

  • Удобный веб-интерфейс для простого управления зонами, записями и настройками DNS.

Расширенные возможности DNS

  • Поддержка современных DNS, таких как DNSSEC для обеспечения безопасности и anycast для повышения производительности.

Интегрируется с cPanel

  • Может объединять кластеры с WHM-серверами cPanel и синхронизировать DNS-зоны.

Активно разрабатывается

  • Компания cPanel уже давно активно поддерживает свое программное обеспечение и часто обновляет его.

PowerDNS или BIND

  • Можно выбрать PowerDNS или BIND в качестве бэкенда DNS-сервера.

Используя DNS Only в качестве авторитетного DNS, вы можете вернуть контроль над этой критически важной инфраструктурой для ваших доменов и создать более быструю и надежную систему DNS.

Теперь перейдем к рассмотрению требований и предварительных условий.

Требования и предварительные условия только для DNS

Перед установкой cPanel DNS Only вам понадобится сервер Linux, отвечающий этим требованиям:

Поддерживаемый дистрибутив Linux

  • Ubuntu 20.04 LTS — Рекомендуется использовать последнюю версию Ubuntu LTS.
  • AlmaLinux 8 — Общественный форк RHEL 8.

Более старые устаревшие дистрибутивы не рекомендуются.

Свежая минимальная установка

Начните со свежей минимальной установки вашего дистрибутива Linux, без каких-либо существующих настроек или программ. DNS Only должен быть единственным установленным приложением.

Root-доступ

Для установки и настройки программного обеспечения необходимо иметь доступ к SSH на уровне root.

Назначение FQDN

Установите для имени хоста вашего сервера правильное FQDN, например ns1.example.com , а не короткое имя.

Редактировать /etc/hostname и обновите его на нужное вам имя хоста FQDN.

Открытые порты брандмауэра

Следующие порты TCP должны быть открыты в брандмауэре Linux:

  • 53 — Стандартные DNS-запросы
  • 953 — зашифрованные запросы DNS через TLS
  • 2087 — Веб-интерфейс только для DNS
  • 80/443 — При интеграции с сервером cPanel

На Ubuntu используйте UFW для открытия портов:

$ ufw allow 53
$ ufw allow 953
$ ufw allow 2087
$ ufw allow 80/443

В AlmaLinux используйте Firewalld:

$ firewall-cmd --permanent --add-port=953/tcp
$ firewall-cmd --reload

Обеспечение минимальных системных ресурсов

Сервер должен иметь как минимум:

  • 2 ГБ ОПЕРАТИВНОЙ ПАМЯТИ
  • 2 ядра процессора
  • 10 ГБ дискового пространства

Для производственного использования рекомендуется использовать 4+ ядра, 8 ГБ+ ОЗУ и RAID-10 жестких или твердотельных дисков.

Разрешаемое имя хоста

Убедитесь, что имя хоста вашего сервера разрешимо либо через локальный DNS, либо через /etc/hosts запись, указывающую на локальный IP-адрес.

Проверьте разрешение с самого сервера:

$ ping $(hostname)

Доступ к репозиториям cPanel

Для установки программного обеспечения ваш сервер должен иметь доступ к репозиториям cPanel напрямую или через локальное зеркало.

На этом основные требования и предпосылки исчерпаны. Далее мы рассмотрим процесс установки.

Пошаговое руководство по установке

Когда ваш Linux-сервер готов, давайте пройдем процесс установки шаг за шагом:

Скачать скрипт установки

Сначала зайдите на свой сервер по SSH с правами root и перейдите в каталог /home:

$ cd /home

Затем с помощью curl загрузите последнюю версию скрипта установки cPanel DNS Only:

$ curl -o latest-dnsonly -L https://securedownloads.cpanel.net/latest-dnsonly

Это позволит сохранить скрипт в latest-dnsonly в вашем текущем рабочем каталоге.

Сделать сценарий исполняемым

Перед запуском скрипта нам нужно сделать его исполняемым:

$ chmod +x latest-dnsonly

Запуск сценария установщика

Теперь выполните сценарий, чтобы начать процесс установки:

$ ./latest-dnsonly

Это запустит интерактивную программу установки, которая установит PowerDNS, настроит его для режима DNS Only, установит веб-интерфейс и выполнит другие шаги по настройке.

Принять лицензионное соглашение

Во время установки вам будет предложено принять лицензионное соглашение cPanel. Оно является обязательным, поэтому примите его, чтобы продолжить установку.

Остальная часть установки пройдет автоматически. Обычно это занимает около 5-10 минут в зависимости от скорости подключения к Интернету на вашем сервере.

После завершения установки DNS Only будет установлен, но нам нужно завершить начальную настройку.

Конфигурация после установки

После установки необходимо выполнить несколько важных действий для первоначальной настройки:

Обновление имени хоста

Несмотря на то, что ранее мы уже задали имя хоста, давайте еще раз обновим его в файле /etc/hostname, чтобы оно соответствовало FQDN сервера:

$ vim /etc/hostname
ns1.example.com

Определение имени хоста в /etc/hosts

Далее убедитесь, что имя хоста вашего сервера определено в файле /etc/hosts для сопоставления с 127.0.0.1:

127.0.0.1   localhost ns1.example.com

Это позволит правильно разрешить имя хоста локально.

Перезагрузка сервера

Настроив имя хоста, перезагрузите сервер, чтобы изменения вступили в силу:

$ reboot

Проверка доступа к веб-интерфейсу

После перезагрузки сервера проверьте, что вы можете получить доступ к веб-интерфейсу DNS Only по адресу:

https://your_server_fqdn:2087

Например:

https://ns1.example.com:2087

Примите предупреждение о сертификате SSL и введите имя пользователя и пароль администратора.

Удаление тестовой зоны по умолчанию

Во время установки создается тестовая зона по умолчанию под названием «localhost.localdomain». Эту тестовую зону следует удалить:

  1. В интерфейсе DNS Only перейдите в раздел Configure -> Zones
  2. Найдите зону localhost.localdomain и удалите ее.

На этом настройка после установки завершена! Далее мы обсудим защиту вашего сервера DNS Only.

Защита сервера DNS Only

Поскольку DNS является критически важным компонентом инфраструктуры, важно следовать лучшим практикам безопасности для вашего сервера DNS Only:

Используйте выделенный сервер

Не устанавливайте дополнительное программное обеспечение, кроме DNS Only. Этот сервер должен быть на 100% предназначен для служб DNS.

Отключить вход по SSH для корневого сервера

Предотвратите прямой вход в систему SSH через root, установив PermitRootLogin no в конфигурации вашего демона SSH.

Использование ключей SSH вместо паролей

Для любого доступа по SSH используйте аутентификацию на основе ключей, а не паролей.

Следуйте рекомендациям по безопасности ОС

Обратитесь к руководствам по безопасности вашего дистрибутива Linux, чтобы найти дополнительные способы защиты ОС.

Установка брандмауэра на хосте

Рассмотрите возможность установки CSF, Firewalld или UFW для блокировки доступа. Разрешите только необходимые порты.

Регулярные обновления

Применяйте исправления безопасности, регулярно обновляя DNS Only, PowerDNS и пакеты ОС.

Мониторинг аномалий

Используйте такие инструменты мониторинга, как Fail2ban, для предупреждения об аномальной активности, например об атаках грубой силы.

Следование передовым методам обеспечения безопасности гарантирует, что инфраструктура DNS будет надежной и безопасной.

Теперь давайте рассмотрим включение DNSSEC.

Настройка DNSSEC

DNSSEC обеспечивает дополнительную защиту данных DNS с помощью криптографической подписи записей.

Здесь описано, как включить DNSSEC для домена с помощью DNS Only:

  1. В веб-интерфейсе перейдите в раздел Configure -> Zones
  2. Выберите доменную зону, для которой необходимо активировать DNSSEC
  3. Перейдите в раздел DNSSEC и нажмите «Включить DNSSEC».
  4. Выполните следующие действия, чтобы сгенерировать и активировать новый ключ DNSSEC

После активации родительский домен (т.е. .com) также должен иметь активный DNSSEC и опубликовать DS-запись. Это позволит обеспечить сквозную проверку.

См. Документация cPanel по DNSSEC для получения более подробной информации о его настройке.

Интеграция с DNS-кластером

Для обеспечения избыточности вы можете присоединить свой сервер DNS Only к существующему кластеру cPanel WHM. Это позволит синхронизировать зоны между серверами.

Чтобы включить синхронизацию кластера:

  1. На вашем сервере cPanel WHM установите лицензию Cluster Sync
  2. Перейдите в раздел Главная >> Службы кластеризации >> Управление кластером синхронизации
  3. Нажмите «Добавить сервер в кластер» и введите IP-адрес вашего сервера DNS Only
  4. Скопируйте ключ аутентификации /etc/dns_cluster.conf из WHM на ваш сервер DNS Only

После подключения DNS-зоны в WHM будут автоматически синхронизироваться с вашим сервером DNS Only. См. Документация по кластеризации cPanel для получения более подробной информации.

Устранение распространенных проблем

Здесь приведены некоторые советы по устранению распространенных проблем с DNS Only:

Не удается получить доступ к веб-интерфейсу:

  • Проверьте подключение к правильному имени хоста и порту 2087
  • Проверьте, разрешен ли брандмауэром порт 2087
  • Попробуйте перезапустить службу cpsrvd

Изменения зон не работают:

  • Увеличение серийника зоны DNS при редактировании
  • Промойте кэш DNS на клиентах и протестируйте снова
  • Перезапустите службу PowerDNS для загрузки новых данных о зонах

Сбои в проверке DNSSEC:

  • Убедитесь, что DS-запись опубликована у регистратора
  • Убедитесь, что в родительской зоне (.com, .net) активен DNSSEC
  • Используйте dig для проверки наличия DNSKEY и DS-записей

Сбои синхронизации кластера:

  • Подтвердите наличие в файле /etc/dns_cluster.conf ключа аутентификации из WHM
  • Убедитесь, что брандмауэр разрешает трафик на порту 40000 для кластера
  • Ищите ошибки в /var/log/cpdnsrsync.log
  • Принудительный push зон из WHM для синхронизации изменений

Здесь описаны наиболее распространенные шаги по устранению неполадок. Дополнительные советы по отладке см. в документации по cPanel.

Заключение

В этом подробном руководстве мы рассказали о преимуществах использования cPanel DNS Only для авторитарного DNS, описали требования к установке и предварительные условия, предоставили пошаговые инструкции по установке для Ubuntu и AlmaLinux, обсудили конфигурацию после установки, например, установку пароля администратора и имени хоста, объяснили важные соображения безопасности для усиления DNS-сервера, подробно рассказали, как включить расширенные функции DNSSEC, и описали интеграцию DNS Only в существующий DNS-кластер. Кроме того, были даны советы по устранению распространенных проблем. Теперь у вас должны быть все знания, необходимые для запуска полнофункционального сервера DNS Only на Linux, и вы можете перевести DNS-инфраструктуру своих доменов на новый уровень! Сообщите мне в комментариях, если у вас остались вопросы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *