Linux DNS Konfigurace serveru je proces instalace, zajištění a ladění DNS služba (např. BIND nebo Unbound) v Linuxu pro řešení nebo autoritativní zodpovídání dotazů na doménu. Zahrnuje plánování zón, vytváření záznamů, nastavování řízení přístupu, povolování DNSSEC, otevření portu 53 (UDP/TCP), přidání sekundárních serverů a validace pomocí dig, delv a logů.
Pokud chcete spolehlivé rozlišení jmen pro webové stránky, poštu a interní služby, zvládnutí Linuxu DNS Konfigurace serveru je nezbytná. Tato příručka krok za krokem vysvětluje, jak plánovat, nasazovat, zabezpečovat a optimalizovat autoritativní a rekurzivní frameworky. DNS na moderních linuxových distribucích v roce 2026, s využitím ověřených konfigurací a zkušeností s reálným hostingem.
Co DNS je a proč na tom záleží?
Systém doménových jmen (DNS) mapuje uživatelsky přívětivá jména (example.com) na IP adresy. Každý webový požadavek, volání API a doručení e-mailu závisí na DNS.
Dobře nakonfigurovaný Linux DNS Server zlepšuje výkon, spolehlivost a zabezpečení vaší sítě a aplikací.
Autoritativní vs. rekurzivní (ukládání do mezipaměti) DNS
Než cokoli nakonfigurujete, rozhodněte se o své roli:
- Autoritativní server: Hostuje vaše zóny a vrací finální odpovědi pro vaše domény (A, AAAA, MX, TXT atd.).
- Rekurzivní (ukládání do mezipaměti) resolver: Vyhledává odpovědi jménem klientů dotazováním na internetu a ukládá výsledky do mezipaměti pro urychlení následného vyhledávání.
Mnoho organizací používá obojí: veřejný autoritativní pár pro své domény a interní resolvery mezipaměti pro uživatele a servery.
Nejprve si naplánujte architekturu
Dobré plánování zabraňuje výpadkům. Definujte rozsah a zabezpečení od prvního dne.
Klíčová rozhodnutí
- RoleAutoritativní, rekurzivní nebo rozdělené (s použitím pohledů pro interní/externí).
- platformy: Ubuntu 22.04/24.04 LTS, Debian 12, RHEL/Rocky/Alma 9.
- Topologie: Dva a více geograficky oddělené autoritativní nameservery; jeden nebo více interních resolverů (pokud možno anycast).
- Zóny a rekordy: Vyberte pojmenování, hodnoty TTL (obvykle 300–3600) a zásady pro sériové číslo (RRRRMMDDnn).
- Zabezpečení ACL, klíče TSIG pro přenosy, DNSPodepisování SEC, omezení rychlosti odezvy (RRL), minimální odezvy a protokolování.
Předpoklady a síťování
- Otevřete port 53 UDP/TCP na firewallech a jakýchkoli vyrovnávače zatížení.
- Zajistěte synchronizaci času (chrony) a stabilní názvy hostitelů.
- Zpevněný operační systém: minimální oprávnění, záplaty, profily AppArmor/SELinux.
- Používejte statické IP adresy (IPv4 a IPv6) pro autoritativní servery.
Možnost A: Konfigurace resolveru mezipaměti s nevázaným nastavením
Unbound je bezpečný, lehký rekurzivní resolver s DNSOvěřování SEC a minimalizace QNAME ve výchozím nastavení – ideální pro interní sítě.
Instalace bez omezení
# Ubuntu/Debian
sudo apt update && sudo apt install -y unbound
# RHEL/Rocky/Alma
sudo dnf install -y unbound
Minimální nevázaná konfigurace
Vytvořte nebo upravte soubor /etc/unbound/unbound.conf (cesty se liší podle distribuce). Tento příklad umožňuje DNSSEC, řízení přístupu a volitelné přeposílácí servery.
server:
username: "unbound"
directory: "/etc/unbound"
interface: 0.0.0.0
interface: ::0
access-control: 10.0.0.0/8 allow
access-control: 172.16.0.0/12 allow
access-control: 192.168.0.0/16 allow
access-control: 127.0.0.0/8 allow
access-control: ::1 allow
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
# Security and privacy
harden-glue: yes
harden-dnssec-stripped: yes
qname-minimisation: yes
hide-identity: yes
hide-version: yes
rrset-roundrobin: yes
# Performance
cache-min-ttl: 60
cache-max-ttl: 86400
msg-cache-size: 64m
rrset-cache-size: 128m
num-threads: 2
# DNSSEC
auto-trust-anchor-file: "/var/lib/unbound/root.key"
# Optional: Forward to upstream (e.g., your ISP or public resolvers)
# Set to your preferred forwarders if you don't want full recursion
forward-zone:
name: "."
forward-tls-upstream: yes
forward-addr: 1.1.1.1@853#cloudflare-dns.com
forward-addr: 9.9.9.9@853#dns.quad9.net
Spusťte a povolte službu a poté ověřte:
sudo systemctl enable --now unbound
unbound-checkconf
dig @127.0.0.1 youstable.com +dnssec
delv youstable.com
Firewall a SELinux
# UFW
sudo ufw allow 53
sudo ufw status
# firewalld
sudo firewall-cmd --permanent --add-service=dns
sudo firewall-cmd --reload
# SELinux (RHEL family) - Unbound default policy is usually sufficient
sudo getenforce
# If enforcing breaks DNS unexpectedly, review AVC logs before changing mode
Možnost B: Konfigurace autoritativního serveru s BIND 9
BIND 9 zůstává nejběžnějším autoritativním DNS v Linuxu. Následující konfigurace je zaměřena na BIND 9.18+ LTS, který bude široce dostupný napříč distribucemi v roce 2026.
Instalace BIND
# Ubuntu/Debian
sudo apt update && sudo apt install -y bind9 bind9-utils
# RHEL/Rocky/Alma
sudo dnf install -y bind bind-utils
Globální volby (named.conf.options)
V Debianu/Ubuntu upravte soubor /etc/bind/named.conf.options. V systémech podobných RHEL použijte soubor /etc/named.conf. Upravte IP adresy a ACL podle svého prostředí.
options {
directory "/var/cache/bind";
listen-on { any; };
listen-on-v6 { any; };
// Authoritative only: no recursion
recursion no;
allow-query { any; };
allow-transfer { none; }; // override per-zone when using secondaries
// Hardening
minimal-responses yes;
rate-limit {
responses-per-second 25;
};
dnssec-enable yes;
dnssec-validation yes;
// Logging (basic)
querylog yes;
};
logging {
channel default_log {
file "/var/log/named/named.log" versions 5 size 10m;
severity info;
print-time yes;
};
category default { default_log; };
category queries { default_log; };
};
Vytvořte dopřednou zónu (example.com)
Přidejte klauzuli zóny a soubor zóny. Nahraďte IP adresy, hostitele a záznamy pošty skutečnými hodnotami.
// named.conf.local (Debian/Ubuntu) or appended to /etc/named.conf on RHEL
zone "example.com" {
type master;
file "/etc/bind/zone.example.com"; // RHEL: /var/named/zone.example.com
allow-transfer { 203.0.113.53; 2001:db8::53; }; // secondaries
also-notify { 203.0.113.53; 2001:db8::53; };
inline-signing yes; // for DNSSEC (optional now; see DNSSEC section)
auto-dnssec maintain; // enables automatic signing/rollover
};
$TTL 300
@ IN SOA ns1.example.com. admin.example.com. (
2026010101 ; serial YYYYMMDDnn
3600 ; refresh
600 ; retry
1209600 ; expire
300 ) ; minimum
IN NS ns1.example.com.
IN NS ns2.example.com.
; A/AAAA records
ns1 IN A 198.51.100.10
ns1 IN AAAA 2001:db8:10::10
ns2 IN A 203.0.113.53
ns2 IN AAAA 2001:db8:53::53
@ IN A 198.51.100.20
@ IN AAAA 2001:db8:20::20
www IN CNAME @
; Mail
@ IN MX 10 mail.example.com.
mail IN A 198.51.100.30
mail IN AAAA 2001:db8:30::30
; Verification / policy
@ IN TXT "v=spf1 a mx ~all"
_dmarc IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com"
; Add DKIM TXT via your MTA tooling
; SRV example (SIP)
_sip._tcp IN SRV 10 60 5060 sip1.example.com.
sip1 IN A 198.51.100.40
Vytvořte reverzní zónu (203.0.113.0/24)
zone "113.0.203.in-addr.arpa" {
type master;
file "/etc/bind/zone.203.0.113.rev";
};
; /etc/bind/zone.203.0.113.rev
$TTL 300
@ IN SOA ns1.example.com. admin.example.com. (
2026010101 3600 600 1209600 300 )
IN NS ns1.example.com.
IN NS ns2.example.com.
10 IN PTR ns1.example.com.
20 IN PTR example.com.
30 IN PTR mail.example.com.
Ověření a spuštění BIND
sudo named-checkconf
sudo named-checkzone example.com /etc/bind/zone.example.com
sudo named-checkzone 113.0.203.in-addr.arpa /etc/bind/zone.203.0.113.rev
sudo systemctl enable --now named # RHEL
sudo systemctl enable --now bind9 # Debian/Ubuntu
dig @127.0.0.1 example.com A
dig @127.0.0.1 -x 198.51.100.20
Registrátor a lepidlo
Vytvořit nameserver Propojte hostitele (ns1/ns2) s protokoly A/AAAA u svého registrátora a poté nastavte svou doménu tak, aby používala tyto nameservery. Šíření se obvykle dokončí během několika minut až 48 hodin v závislosti na registru a TTL.
Rozdělený horizont (pohledy) pro interní a externí
Zobrazení slouží různým klientům k různým účelům, což je ideální pro zpřístupnění veřejných záznamů a zároveň pro zachování soukromí interních IP adres.
acl "internal_nets" { 10.0.0.0/8; 192.168.0.0/16; };
view "internal" {
match-clients { "internal_nets"; };
recursion yes; // if you also want to resolve for internal users
zone "example.com" {
type master;
file "/etc/bind/zone.example.com.internal";
};
};
view "external" {
match-clients { any; };
recursion no;
zone "example.com" {
type master;
file "/etc/bind/zone.example.com";
};
};
umožnit DNSSEC v autoritativních zónách
DNSSEC zabraňuje falšování dat podepisováním vašich záznamů. Díky inline podepisování a automatické údržbě DNSEC se BIND manageklávesy automaticky.
# Ensure these are set in zone config:
# inline-signing yes;
# auto-dnssec maintain;
# Generate keys (if not auto-created)
cd /var/cache/bind
sudo rndc loadkeys example.com
# Check status
sudo rndc signing -list example.com
dig +dnssec example.com DS @ns1.example.com
Po záznamech DS zobrazí se ve vaší podepsané zóně, publikujte DS u svého registrátora, aby resolvery mohly ověřit vaši doménu.
Převody zón a sekundární hráči
Vždy provozujte alespoň jeden sekundární nameserver v samostatné síti nebo regionu. Zabezpečte přenosy pomocí TSIG.
key "xfr-key" {
algorithm hmac-sha256;
secret "YOUR_BASE64_SECRET";
};
server 203.0.113.53 {
keys { "xfr-key"; };
};
zone "example.com" {
type master;
file "/etc/bind/zone.example.com";
allow-transfer { key "xfr-key"; 203.0.113.53; };
also-notify { 203.0.113.53; };
notify yes;
};
Kalení a osvědčené postupy (2026)
- Mezní plocha: Zakázat rekurzi na veřejných autoritativních serverech.
- RRL a minimální odpovědi: Snižte riziko amplifikace.
- Minimalizace QNAME (výchozí nastavení Unbound, podpora BIND): Zvyšte soukromí.
- Sledujte protokoly a dotazy: Používejte journald, BIND logy a exportéry metrik.
- Udržujte balíčky aktuální: BIND 9.18+ nebo aktuální LTS; Unbound nejnovější stabilní verze.
- Použijte IPv6 vedle IPv4 a zajistěte lepidlo pro obě strany.
- Nastavte rozumné TTL: 300–600 s pro rychle se pohybující záznamy; 3600–14400 s pro stabilní záznamy.
- Dokumentujte změny sériových čísel a automatizujte je pomocí CI/CD, abyste se vyhnuli zastaralým zónám.
Kontrolní seznam pro odstraňování problémů
- SERVFAIL na podepsaných doménách: Zkontrolujte neshodu DS nebo vypršelé klíče pomocí delv.
- NXDOMAIN vs. NOERROR: Ověřte obsah zóny pomocí pojmenované kontrolní zóny.
- Zastaralé odpovědi: Nižší hodnoty TTL a vyprázdnění mezipaměti (rndc flush; nevázaný ovládací prvek flush_zone).
- Selhaly přenosy: Ověřte TSIG, otevřete TCP/53 a povolte přenos ACL.
- Žádná externí dosažitelnost: Ověřte, zda veřejný firewall/NAT povoluje UDP/TCP 53.
Nasměrujte hostitele Linuxu na váš nový resolver
Moderní distribuce manage resolv.conf přes systemd resolved nebo NetworkManager. Nakonfigurujte pomocí příslušného nástroje namísto přímé úpravy souboru resolv.conf.
systemd vyřešeno (Ubuntu/Debian)
# Netplan example (Ubuntu)
# /etc/netplan/01-netcfg.yaml
network:
version: 2
ethernets:
ens18:
addresses: [192.0.2.10/24]
routes:
- to: default
via: 192.0.2.1
nameservers:
addresses: [10.0.0.53, 2001:db8::53]
sudo netplan apply
resolvectl status
Správce sítě (RHEL/Rocky/Alma)
nmcli con mod eth0 ipv4.dns "10.0.0.53" ipv4.ignore-auto-dns yes
nmcli con mod eth0 ipv6.dns "2001:db8::53" ipv6.ignore-auto-dns yes
nmcli con up eth0
resolvectl status
Tipy z praxe od hostingových operátorů
- Skrytý hlavní vzor: Hlavní server uchovávejte za firewallem; veřejně zpřístupněte pouze sekundární servery.
- Anycast pro resolvery: Zlepšuje latenci a odolnost pro interní uživatele.
- Zóny přípravy: Před produkčním spuštěním otestujte nové záznamy na subdoméně.
- Nižší TTL před migracemi: 24 hodin předem snižte na 60–120 s a po přerušení konzumace zvyšte.
- Blackholing dotazů: Blokujte zneužívající klienty na firewallu a prostřednictvím ACL BIND.
Kdy zvolit spravované DNS nebo spravované servery
Běh DNS interní systém nabízí kontrolu, ale vyžaduje ostražitost: bezpečnostní záplaty, nepřetržitý monitoring a pečlivé změny managePokud se raději zaměřujete na aplikace, zvažte managed DNS nebo managed VPS/dedikovaný server.
YouStable poskytuje VPS a dedikované servery optimalizované pro výkon s odbornou podporou a může vám pomoci s nasazením bezpečného a vysoce dostupného serveru. DNS v souladu s osvědčenými postupy.
Nejčastější dotazy
Jaký je rozdíl mezi BIND a Unbound v Linuxu?
BIND je plně funkční autoritativní a rekurzivní server, ideální pro hostování zón a DNSPodepisování SEC. Unbound se zaměřuje na bezpečnou a rychlou rekurzi a ukládání do mezipaměti. Mnoho nasazení používá BIND pro autoritativní zóny a Unbound pro interní resolvery.
Potřebuji DNSSEC pro mou doménu v roce 2026?
Ano, důrazně se to doporučuje. DNSSEC brání otravování mezipaměti a manipulaci s databází během procesu. Povolte inline podepisování pomocí BIND, publikujte DS u svého registrátora a ověřujte pomocí delf nebo dig +dnssec. Zavedení je již vyzrálé a nástroje jsou stabilní.
Kolik DNS servery, které bych měl spustit?
Alespoň dva autoritativní servery na různých místech nebo v různých sítích. V případě resolverů nasaďte dva nebo více serverů a zvažte anycast pro odolnost. Vyhněte se jednotlivým bodům selhání a sdíleným oknům údržby.
Jak dlouho DNS šíření trvá?
Šíření závisí na zpracování registrátorem a vašich hodnotách TTL. Většina změn se začne projevovat během několika minut, ale globálně to může trvat až 24–48 hodin. Před většími změnami snižte hodnoty TTL, abyste urychlili přechod na novější technologie.
Které porty musí být otevřené pro DNS pracovat?
Otevřený UDP 53 pro dotazy a TCP 53 pro rozsáhlé odpovědi, DNSSEC a zónové převody. Pro DNS přes TLS (volitelné), otevřete TCP 853 na resolverech. Ujistěte se, že oba IPv4 a IPv6 jsou povoleny tam, kde se používají.
Závěr
Díky pečlivému plánování, propracovaným konfiguracím a neustálému monitorování Linux DNS Konfigurace serveru poskytuje rychlé, bezpečné a odolné jmenné služby. Pro interní ukládání do mezipaměti použijte Unbound, pro autoritativní zóny BIND a povolte… DNSSEC, přidejte sekundární dodavatele a automatizujte změny. Pokud potřebujete pomoc nebo dáváte přednost managepřístup d, YouStableHostingoví experti společnosti dokáží nasadit a spravovat produkční prostředí. DNS zásobník pro vás.
