BIND-chroot 服务是利用 chroot 机制为 BIND 服务创建伪根目录以限制其访问范围，增强安全性，但配置与维护相对较为复杂的一种服务机制。

本章我们将部署chroot模式的DNS服务，以增加安全性

案例要求：

此案例域名为xjh.com

www 解析为A记录 IP地址为192.168.100.101（本机）

Web  解析为A记录IP地址为192.168.100.102

test   解析为A记录IP地址为192.168.100.103

1.先安装DNS服务

DNS服务是由bind程序提供，所以要实现DNS服务器就需先安装bind程序包

yum -y install bind bind-chroot bind-utils

注释：

Bind #DNS主程序包

Bind-chroot #DNS安全包，可以改变DNS根目录，将DNS运行在监牢模式

bind-utils #用于测试DNS解析效果，富含多种DNS解析测试命令工具

2.拷贝文件和目录

把需要用到的文件和目录拷贝到chroot监牢模式的根目录

#主配置文件

cp -p /etc/named.conf /var/named/chroot/etc/

选项：

-p          保持源文件的属性不变

cd /var/named/
cp -rp data chroot/var/named/
cp -rp dynamic chroot/var/named/
cp -p named.* /var/named/chroot/var/named/

3.启动named-chroot（DNS）并设置开机自启

systemctl enable named-chroot --now

4.配置正向解析

（1）编辑主配

vim /var/named/chroot/etc/named.conf

##允许访问地址为所有

zone "xjh.com." IN {
        type master;
        file "L.xjh.com.zone";
};

（2）配置区域文件

#复制模版文件，此文件默认是没有的

cp -p /var/named/named.localhost /var/named/chroot/var/named/L.xfh.com.zone

（3）编辑区域文件

vim /var/named/chroot/var/named/L.xjh.com.zone

$TTL 1D
@       IN SOA  xjh.com.        rname.invalid. (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
        NS      www.xjh.com.
web     A       192.168.100.102
www     A       192.168.100.101
test    CNAME   www

（4）重启生效

systemctl restart named-chroot

----------------------------------------------------------------------------------------------------------

重启报错：

#检查主配置文件语法

named-checkconf /var/named/chroot/etc/named.conf

#检查区域文件：

named-checkzone test.xjh.com /var/named/chroot/var/named/L.xjh.com.zone

##注释：named-checkzone 子域名 区域文

----------------------------------------------------------------------------------------------------------------

5.配置反向解析

（1）编辑主配

vim /var/named/chroot/etc/named.conf

zone "100.168.192.in-addr.arpa" IN {
         type master;
         file "L.192.168.100.zone";
};

（2）配置反向解析区域文件

cd /var/named/chroot/var/named/
cp -p named.loopback L.192.168.100.zone
vim L.192.168.100.zone

$TTL 1D
@       IN SOA  @ rname.invalid. (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
        NS      xjh.com.
101     PTR     www.xjh.com.

 （4）重启生效

systemctl restart named-chroot

验证：

可使用host、nslookup等

host web.xjh.com

正向解析：可以正常通过域名解析出ip地址

host 192.168.100.101

 反向解析：可以通过ip地址正常解析出域名