WebGoat sendiri berjalan di atas Tomcat, maka untuk meminimalkan resiko saya putuskan untuk men-jail tomcat dan menjalankan sebagai user bukan root. Karena OS yang di gunakan kebetulan linux maka saya berusaha mencari cara untuk melakukan hal tersebut diatas, setelah beberapa lama akhirnya menemukan aplikasi kecil yang bernama jbcroot yang mempunyai kemampuan seperti yang dimaksud diatas. Sourcecode jbchroot dapat di download disini.

Untuk meng-compile sourcecode jbchroot bisa dengan menjalankan perintah sebagai berikut:

# gcc -O jbchroot.c -o jbchroot

Jika berhasil sebaiknya di copy ke direktory /usr/bin/

# cp jbchroot /usr/bin

# chmod ug+x /usr/bin/jbchroot

Untuk menggunakannya jbchroot berikut ini sintax-nya

# jbchroot [-g/G group-yg-dipakai] [-u/U user-yg-dipakai] [newroot-directory] [command]

misal:

# jbchroot -U tomcat /chroot/tomcat /apache-tomcat/bin/startup.sh

Perhatian:

• Sebelum menggunakan jbchroot/chroot harus di buat dulu environment yang dibutuhkan untuk aplikasi yang akan dijalankan.
• Untuk menjalankan service/aplikasi yg menggunakan port dibawah 1024 harus menggunakan root privilege, maka gunakan port diatas 1024 jika user selain root.

Just my 0,002 cents

apt-get install psmisc

Untuk melakukan reverse SSH tunnel berdasarkan skenario yang ada di gambar diatas sebaiknya autentikasi ssh-nya menggunakan key agar kita tidak repot memasukan password dan bisa dijalankan memalui crontab. Berikut langkah-langkah yang harus dilakukan untuk menjalankan ssh dengan autentikasi key.

di server linux(Linux B) kita generate ssh-key dengan perintah sebagai berikut:

# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): <-- enter
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): <-- tekan enter, tanpa passphare
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is: <-- tekan enter, tanpa passphare
f4:58:8a:43:5b:73:2d:89:25:6c:7b:76:25:91:be:3e root@localhost

dari output diatas terdapat 2 key yang sersimpan di direktori /[user-home]/.ssh yaitu id_rsa sebagi private key dan id_rsa.pub sebagai public key.

Selanjutnya kita harus mengkopi public key (id_rsa.pub) ke Workstation linux(10.10.0.5), hal ini bisa dilakukan dengan USB disk atau melalui scp, pada kasus ini jika menggunakan scp berati kita terlebih dahulu harus mengatifkan port forwarding di gateway linux(Linux A) agar bisa melakukan scp ke Workstation linux(10.10.0.5). Untuk kita harus login ke Gateway linux(123.123.123.123) dan jalankan perintah berikut:

# iptables -t nat -I PREROUTING -p tcp -i ppp0 --dport 42222 -j DNAT --to 10.10.0.5:22
# iptables -A FORWARD -i ppp0 -o eth0 -p tcp --dport 22 -j ACCEPT

Setelah port forwarding aktif selajutnya kita login ke Linux B dan untuk melakukan scp dengan perintah sebagai berikut:

# cd /[home user]/.ssh
# scp -P 42222 id_rsa.pub user@123.123.123.123:/home/user

selanjutnya login ke Workstation linux secara langsung atau melalui ssh dari Linux B dengan perintah sebagai berikut:

# ssh user@123.123.123.123 -p 42222

setelah masuk ke Workstation linux baik secara langsung atau melalui ssh maka jalankan perintah berikut:

$ cd /home/user
$ cat id_rsa.pub >> .ssh/authorized_keys
$ rm id_rsa.pub

Kemudian pastikan pada file konfigurasi (/etc/ssh/sshd_config) SSH server dari Workstation linux untuk baris berikut ada dan jika tidak ada maka masukan baris berikut ini:

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

Kemudian restart SSH server-nya, misal untuk ubuntu atau debian dengan perintah(sebagai root):

# /etc/init.d/ssh restart

Selanjutnya kita mengaktifkan port forwarding di gateway linux menggunakan iptables, karena sebelumnya diatas sudah di buat dan menggunakan port yang sama maka bisa dilanjutkan ke langkah berikutnya.

Masuk lagi ke Linux B dan buatlah script dengan nama /usr/sbin/tunnel.sh isi sebagai berikut

#!/bin/sh
REMOTE_HOST="123.123.123.123" # ip address dari gateway
LISTEN_PORT=22022 # listening port pada Workstation linux

COMMAND="ssh -p 42222 -N -f -R ${LISTEN_PORT}:localhost:22 user@$REMOTE_HOST"
pgrep -f "$COMMAND" > /dev/null 2>&1 || $COMMAND

# end of file

Keterangan

• -p 42222 merupakan port yang di forward oleh gateway, hal ini menyesesuaikan skenario yg ada, jika mesin tujuan tidak di belakang gateway dan port ssh nya tidak dirubah maka opsi ini bisa di hilangkan.
• ${LISTEN_PORT} merupakan listening port mesin tujuan yang pada kasus ini adalah Workstation linux
• localhost:22 port yang di tunnel dari server linux(Linux B), pada kasus ini adalah ssh server.
• user@$REMOTE_HOST user yang di gunakan untuk ssh dan ip address/host dari mesin tujuan.
• pgrep -f "$COMMAND" > /dev/null 2>&1 || $COMMAND, jika COMMAND tersebut masih aktif maka batalkan dan jika tidak aktif maka di jalankan.

Ubah file permission-nya agar bisa dieksekusi

# chmod +x /usr/sbin/tunnel.sh

Nah, sampai sini reverse ssh tunnel sudah bisa di jalankan

# /usr/sbin/tunnel.sh

Sekarang kita bisa melakukan ssh ke Linux B dari Workstation linux dengan perintah:

$ ssh root@localhost -p 22022

Agar koneksi reverse ssh tunnel bisa lancar dan otomatis melakukan koneksi jika down maka masukanlah ke crontab. Misal kita set agar setiap 5 menit melakukan koneksi, maka di Linux B jalankan perintah:

# crontab -e

dan masukan baris berikut ini

0-59/5 * * * * /usr/sbin/tunnel.sh

Untuk kasus lain misal kita ingin memforward port 80(web server) dari remote host melalui reverse ssh tunnel ke port 8088 host/komputer lokal yang melewati port 808 gateway linux berarti tinggal merubah scriptnya dan port forwarding pada gateway, misal sebagai berikut

#!/bin/sh
REMOTE_HOST="123.123.123.123" # ip address dari gateway
LISTEN_PORT=8808 # listening port pada Workstation linux

COMMAND="ssh -p 808 -N -f -R ${LISTEN_PORT}:localhost:80 user@$REMOTE_HOST"
pgrep -f "$COMMAND" > /dev/null 2>&1 || $COMMAND

# end of file

Dan iptables di gateway linux:

# iptables -t nat -I PREROUTING -p tcp -i ppp0 --dport 808 -j DNAT --to 10.10.0.5:22
# iptables -A FORWARD -i ppp0 -o eth0 -p tcp --dport 22 -j ACCEPT

Maka kita dapat mengakses web server dari remote host di komputer lokal kita dengan url sebagai berikut:

http://localhost:8808

Nah, demikian tulisan kali ini dan semoga bermanfaat.

thx.

Synbak menggunakan beberapa metode untuk menjalankan backup, antara lain:
- RSync over ssh, rsync daemon, smb dan cifs protocols
- Tar archives (tar, tar.gz dan tar.bz2)
- Tape devices
- LDAP databases
- MySQL databases
- Oracle databases
- CD-RW/DVD-RW

Kehebatan lainnya, setelah mem-backup synbak akan menghasilkan report berupa :
- email
- html
- RSS feeds

Instalasi synbak
Sebelumnya kita harus mengunduh source synbak di : http://www.initzero.it/portal/en/products/opensource/synbak/download

masuklah ke direktori hasil download source synbak dan jangan lupa untuk login sebagai root. berikut ini perintah yang dijalankan di konsole :

# tar zxvf synbak-1.0.11.tar.gz -C /usr/src/

masuklah ke direktori hasil extrak synbak dan kemudian di install

# cd /usr/src/synbak-1.0.11/
# ./configure
# make
# make install

/home/admin/.synbak/tar/webserver.conf

jika dengan metode rsync :

/home/admin/.synbak/rsync/webserver.conf

jika dengan metode mysql( untuk backup database MySQL) :

/home/admin/.synbak/mysql/webserver.conf

/root/.synbak/rsync/www.conf

Berikut saya contohkan untuk backup serderhana menggunkan beberapa metode baik untuk baukup lokal maupun remote backup.

# cd ~
# mkdir .synbak
# cd .synbak
# pwd
/root/.synbak
# mkdir tar mysql rsync

sistem/komputer lokal yang akan kita backup di beri nama : lok_etc_squid
dengan direktori yang akan dibackup : /etc/squid
direktori penampung hasil backup : /backup/squid-conf
metode : tar
report : html

# mkdir -p /backup/squid-conf <-- membuat direktori untuk menampung hasil backup
# cd ~/.synbak/tar
# cp /usr/src/synbak-1.0.11/examples/example.conf lok_etc_squid.conf
# pico lok_etc_squid.conf

kemudian editlah file tersebut dan sesuaikan seperti pada baris-baris di bawah ini:

#@@ mandatory backup fields
backup_source = /etc/squid
backup_destination = /backup/squid

#@@ email output reporting
#report_email = no
#report_email_on_errors = yes
#report_email_rcpt = support@initzero.it

#@@ html/rss output reporting
report_html = yes
report_html_on_errors = yes
report_html_destination = /var/www/html/admin/log/backup
report_html_uri = http://localhost/admin/log/backup
report_html_logo = yes
report_html_logo_image =
report_html_logo_link = http://www.initzero.it

Perhatian:
pastikan direktori untuk report_html_destination(/var/www/html/admin/log/backup) ada dan user yang menjalankan synbak mempunyai akses untuk menulis ke direktori tersebut.

setelah disimpan kita sudah bisa melakukan backup dengan perintah :

# synbak -s lok_etc_squid -m tar -M gz

Catatan:

Ketika dalam proses backup synbak juga menghasilkan report yang ditampilkan pada layar sehingga jika ada error/kegagalan dapat diketahui.

Menggunakan metode rsync untuk remote backup via ssh

Setelah konfigurasi ssh dengan autentifikasi key sudah dibuat selanjutnya membuat file konfigurasinya, berikut langkah-langkahnya :

# mkdir /backup/www
# cd ~/.synbak/rsync
# cp /usr/src/synbak-1.0.11/examples/example.conf www.conf

kemudian editlah file tersebut dan sesuaikan seperti pada baris-baris di bawah ini:

#@@ mandatory backup fields
backup_source = /var/www/htdocs
backup_destination = /backup/www

#@@ remote backup
backup_remote_uri = ssh://root@192.168.10.7

#@@ email output reporting
#report_email = no
#report_email_on_errors = yes
#report_email_rcpt = support@initzero.it

#@@ html/rss output reporting
report_html = yes
report_html_on_errors = yes
report_html_destination = /var/www/html/admin/log/backup
report_html_uri = http://localhost/admin/log/backup
report_html_logo = yes
report_html_logo_image =
report_html_logo_link = http://www.initzero.it

setelah disimpan kita sudah bisa melakukan backup dengan perintah :

# synbak -s www -m rsync

Membackup database MySQL

# mkdir /backup/mysql
# cd ~/.synbak/mysql
# cp /usr/src/synbak-1.0.11/examples/example.conf lok_mysql.conf

kemudian editlah file tersebut dan sesuaikan seperti pada baris-baris di bawah ini:

#@@ mandatory backup fields
#backup_source = /
backup_destination = /backup/mysql

#@@ remote backup
backup_remote_uri = mysql://user:password@localhost

#@@ email output reporting
#report_email = no
#report_email_on_errors = yes
#report_email_rcpt = support@initzero.it

#@@ html/rss output reporting
report_html = yes
report_html_on_errors = yes
report_html_destination = /var/www/html/admin/log/backup
report_html_uri = http://localhost/admin/log/backup
report_html_logo = yes
report_html_logo_image =
report_html_logo_link = http://www.initzero.it

Perhatian:
pada baris backup_remote_uri = mysql://user:password@localhost, sesuaikan dengan user dan password database MySQL.

setelah disimpan kita sudah bisa melakukan backup dengan perintah :

# synbak -s lok_mysql -m mysql

Hasil backup dengan metode diatas berupa mysql dump yang dikompress dengan format bzip2.

Penjadwalan backup
Jika ingin menjalankan backup secara berkala kita dapat menggunakan cron sehingga kita tidak perlu report menjalankan setiap peride tertentu. Untuk melakukan penjadwalan dengan cron dapat anda lihat di sini. http://www.scrounge.org/linux/cron.html

Referensi

http://www.initzero.it/products/opensource/synbak/

http://www.linux.com/feature/120062

Dengan chroot kita dapat membatasi ruang lingkup(direktori) user/daemon atau di penjarakan, ini dilakukan untuk memperkuat keamanan sistem. Jika suatu user/daemon yang di chroot maka dia tidak akan bisa keluar dari direktori(home directory) yang telah di tetapkan, hal ini sangat bermanfaat misal user/daemon yang di jail(chroot) telah diambil alih oleh penyusup maka dia tidak akan bisa keluar dari direktory tersebut dan akan mengurangi resiko pencurian data, tidak akan menggangu user lain atau kinerja sistem secara keseluruhan tapi hanya sebagian saja. Oleh karena itu untuk melakukan chroot harus menetukan environment dan permission yang tepat untuk user/daemon yang akan di jail.
Rndc(remote name daemon control) merupakan utility dari bind untuk mengontrol akses daemon, dengan menggunakan rndc bisa mencegah akses user ilegal(unauthorized) dari sistem lain untuk mengontrol BIND di server kita.

Perhatian:
pada tutorial ini sebagai contoh digunakan nama domain feedyourmind.org
nameserver :
192.168.10.1 –> gw.feedyourmind.org
client :
192.168.10.3 –> ubs.feedyourmind.org
192.168.10.4 –> dp.feedyourmind.org

Selanjutnya adalah langkah-langkah untuk menginstalasi bind yang di jail dan menggunkana rndc.

Instalasi BIND
Untuk mendapatkan bind versi terbaru bisa di download di http://www.isc.org/products/BIND/. Pada tutorial ini saya menggunakan bind-9.4.1.tar.gz, setelah di download loginlah sebagai root kemudian pindahkan file tersebut ke direktori /usr/src. Jalankan perintah-perintah berikut:

# cd /usr/src
# tar zxvf bind-9.4.1.tar.gz

selanjutnya di konfigur

# cd bind-9.4.1
# ./configure –prefix=/usr/local

dengan menggunakan –prefix=/usr/local maka file hasil istalasi akan di tempatkan dibawah direktori /usr/local. Jika tidak ada error lanjutkan dengan make dan make install

# make
# make install

Membuat user, group dan direktori untuk chroot BIND
Setelah instalasi selesai tanpa error berikutnya membuat group dan user named untuk menjalankan bind(daemon).

# groupadd named
# useradd -g named -g /chroot/named -s /bin/true named

kemudian kunci user named

# passwd -l named

membuat direktori untuk memenjarakan user named

# mkdir -p /chroot/named

opsi -p digunakan agar sekaligus membuat parent direktorinya(/chroot), kemudian masuk ke direktori yang baru dibuat

membuat direktori yang diperlukan dibawah direktori /chroot/named

# cd /chroot/named
# mkdir dev
# mkdir etc
# mkdir -p var/run
# mkdir conf/secondaries

membuat device yang diperlukan dan mengkopi file timezone

# cd /chroot/named
# mknod dev/null c 1 3
# mknod dev/zero c 1 5
# mknod dev/random c 1 8
# cp /etc/localtime etc

Konfigurasi named
setelah direktori untuk men-jail sudah siap selanjutnya membuat file configurasi /chroot/named/etc/named.conf dengan menggunakan teks editor vi, pico atau yang lain.

# pico /chroot/named/etc/named.conf

isi dari file /chroot/named/etc/named.conf sebagai berikut :

#
# /chroot/named/etc/named.conf
#

options {
directory “/conf”;
# direktori letak data file zona
pid-file “/var/run/named.pid”;
statistics-file “/var/run/named.stats”;
dump-file “/var/run/named.db”;

# direktori /conf dan /var/run disini bukanlah terletak di bawah
# direktori root(/) tetapi terletak di bawah direktori
# /chroot/named, hal ini dikarenakan user/daemon named di chroot
# sehingga root direktori dari named adalah /chroot/named.

# hide our “real” version number
version “[secured]“;

// query-source address * port 53;
};

zone “.” IN {
type hint;
file “db.rootcache”;
# file yang memuat record root server
};

zone “localhost” IN {
type master;
file “db.localhost”;
};

zone “0.0.127.in-addr.arpa” IN {
type master;
file “db.127.0.0.”;
notify no;
};

zone “feedyourmind.org” IN {
type master;
file “db.feedyourmind.org”;
};
# pada baris diatas didefinisikan sebuah zona yaitu feedyourmind.org
# dengan nama datafile zonanya db.feedyourmind.org yang terletak di
# direktori /chroot/named/conf

zone “10.168.192.in-addr.arpa” IN {
type master;
file “db.192.168.10″;
};
# pada baris diatas didefinisikan sebuah zona untuk reverse lookup
# yaitu 10.168.192.in-addr.arpa dengan nama datafile zonanya
# db.192.168.10 yang terletak di direktori /chroot/named/conf

setelah disimpan buatlah link dari file named.conf

# ln -s /chroot/named/etc/named.conf /etc/named.conf

Konfigurasi rndc
setelah selesai dengan named.conf selanjutnya mengkonfigurasi rndc dengan men-generate rndc key dengan dnssec-keygen.

# cd /chroot/named/etc
# /usr/local/sbin/dnssec-keygen -a HMAC-MD5 -b 256 -n HOST rndc

jika sukses akan terdapat dua file baru yaitu

# ls -alh /chroot/named/etc
…
-rw——- 1 root root 112 2007-10-30 14:46 Krndc.+157+26911.private
-rw——- 1 root root 68 2007-10-30 14:46 Krndc.+157+26911.key
…

kemudian membuat file configurasi rndc yaitu /chroot/named/etc/rndc.conf

# pico /chroot/named/etc/rndc.conf

isi file rndc.conf sebagai berikut

#
# /chroot/named/etc/rndc.conf
#

options {
default-server 127.0.0.1;
default-key “rndc-key”;
};

server 127.0.0.1 {
key “rndc-key”;
};

key “rndc-key” {
algorithm “hmac-md5″;
secret “secret key;
};

PERHATIAN…!
editlah file rndc.conf diatas pada bagian:

key “rndc-key” {
algorithm “hmac-md5″;
secret “secret key;
};

gantilah “secret key” dengan key pada file Krndc.+157+26911.private yang merupakan hasil generate menggunakan dnssec-keygen. misal:

# cd /chroot/named/etc
# cat Krndc.+157+26911.private
Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: 13Ms0r2NEoJ+ngxsa/fg9×8ed6X5LrvAklZmuUquJ8E= <– secret key
Bits: AAA=

sehingga file rndc.conf pada bagian tersebut menjadi seperti berikut

key “rndc-key” {
algorithm “hmac-md5″;
secret “13Ms0r2NEoJ+ngxsa/fg9×8ed6X5LrvAklZmuUquJ8E=;
};

yang perlu diperhatikan disini bahwa key hasil generate dnssec-keygen selalu berbeda-beda, jadi isilah secret key dengan key hasil generate dnssec-keygen yang outputnya berupa file berekstensi .private. buatlah link dari /chroot/named/etc/rndc.conf

# ln -s /chroot/named/etc/rndc.conf /usr/local/etc/rndc.conf
# ln -s /chroot/named/etc/rndc.conf /etc/rndc.conf

selanjutnya dengan editlah file named.conf, tambahkan beberapa baris di bagian awal sehingga menjadi seperti di bawah ini:

#
# /chroot/named/etc/named.conf
#

# awal tambahan
controls {
inet 127.0.0.1 allow { 127.0.0.1; } keys { rndc-key; };
};

key “rndc-key” {
algorithm “hmac-md5″;
secret “13Ms0r2NEoJ+ngxsa/fg9×8ed6X5LrvAklZmuUquJ8E=;
# pada baris di atas harus sama dengan secret key
# pada /chroot/named/etc/rndc.conf
};
# akhir tambahan

options {
directory “/conf”;
# baris diatas menyatakan direktori letak data file zona pid-file “/var/run/named.pid”; statistics-file “/var/run/named.stats”;
dump-file “/var/run/named.db”;
# direktori /conf dan /var/run disini bukanlah terletak di bawah
# direktori root(/) tetapi terletak di bawah direktori
# /chroot/named, hal ini dikarenakan user/daemon named di chroot
# sehingga root direktori dari named adalah /chroot/named.
# hide our “real” version number
version “[secured]“;
// query-source address * port 53;
};

zone “.” IN {
type hint;
file “db.rootcache”;
# file yang memuat record root server
};

zone “localhost” IN {
type master;
file “db.localhost”;
};

zone “0.0.127.in-addr.arpa” IN {
type master;
file “db.127.0.0.”;
notify no;
};

zone “feedyourmind.org” IN {
type master;
file “db.feedyourmind.org”;
};
# pada baris diatas didefinisikan sebuah zona yaitu feedyourmind.org
# dengan nama datafile zonanya db.feedyourmind.org yang terletak di
# direktori /chroot/named/conf

zone “10.168.192.in-addr.arpa” IN {
type master;
file “db.192.168.10″;
};
# pada baris diatas didefinisikan sebuah zona untuk reverse lookup
# yaitu 10.168.192.in-addr.arpa dengan nama datafile zonanya
# db.192.168.10 yang terletak di direktori /chroot/named/conf

selanjutnya hapuslah file hasil generate dnssec-keygen yang berekstensi .private

# cd /chroot/named/etc
# rm -rf Krndc.+157+26911.private

Konfigurasi zona
Setelah file konfigurasi named dan rndc selesai selanjutnya membuat db.rootcache yang berisi daftar alamat server root, untuk membuatnya bisa dengan menjalankan perintah seperti berikut:

# dig @a.root-servers.net . ns > /chroot/named/conf/db.rootcache

buatlah file zone untuk localhost dengan nama db.localhost.

# pico /chroot/named/conf/db.localhost

berikut isi dari file tersebut:

;
; db.localhost
;
$TTL 86400

@ IN SOA @ root (
1001 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum

IN NS @
IN A 127.0.0.1

buatlah file zone untuk 0.0.127.in-addr.arpa dengan nama db.localhost.

# pico /chroot/named/conf/db.127.0.0

berikut isi dari file tersebut:

;
; db.127.0.0
;
$TTL 86400
@ IN SOA localhost. root.localhost. (
1 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS localhost.
1 IN PTR localhost.

Selanjutnya, kriteria zona yang akan dibuat adalah sebagai berikut:

domain :
feedyourmind.org
nameserver :
192.168.10.1 –> gw.feedyourmind.org
client :
192.168.10.7 –> ubs.feedyourmind.org
192.168.10.8 –> dp.feedyourmind.org
maka buatlah dua buah file zona feedyourmind.org untuk forward-mapping (memetakan nama ke IP Address) dengan nama db.feedyourmind.org dan file zona untuk reverse-mapping (memetakan IP Address ke nama) dengan nama db.192.168.10 (sesuai nama file yang telah didefinisikan di named.conf).

# pico /chroot/named/conf/db.feedyourmind.org

berikut ini isi dari file tersebut:

$ORIGIN feedyourmind.org.
$ttl 86400
@ IN SOA gw.feedyourmind.org. root.gw.feedyourmind.org. (
1001 ; serial
3H ; refresh 3 jam
15M ; retry 15 menit
1W ; expiry 1 minggu
1D ) ; minimum 1 hari
IN NS gw
IN MX 10 gw
gw IN A 192.168.10.1
ubs IN A 192.168.10.7
dp IN A 192.168.10.8
www IN CNAME dp

Keterangan:

@ IN SOA gw.feedyourmind.org. root.gw.feedyourmind.org.
Maksud baris diatas adalah gw.feedyourmind.org.(penulisan host diakhiri dengan tanda titik) sebagai host yang diberi otoritas dan root.gw.feedyourmind.org. personal(mail) yang bertanggungjawab.

1001 ;serial
Merupaka penomoran terhadap perubahan pada file zona tersebut, ketika kita melakukan perubahan terhadap file zona tersebut maka serial tersebut juga harus dinaikan agar slave(secondary) name server mengenalinya dan melakukan update/backup(zona transfer).

3H ; refresh 3 jam
Agar slave(secondary) mengecek untuk update setiap 3 jam.

15M ; retry 15 menit
Jika master DNS server gagal menjawab request dari slave maka baris diatas memberitahukan jangka waktu untuk mencoba update lagi bagi slave.

1W ; expiry 1 minggu
Jika DNS master tidak berfungsi dalan jangka waktu tertentu, maka baris diatas akan menjadi acuan bagi slave untuk meneruskan menggunakan data yang telah ada sampai expired.

1D ) ; minimum 1 hari
Negatif-caching TTL

IN NS gw
NS nameserver zona feedyourmind.org (gw.feedyourmind.org)

IN MX 10 gw
Prioritas mail exchanger(MX) pada domain, jika mempunyai lebih dari satu mail server pada domain tersebut maka prioritasnya berdasarkan angka terkecil.

gw IN A 192.168.10.1
ubs IN A 192.168.10.7
dp IN A 192.168.10.8
memetakan nama ke IP Address, misal host dp(dp.feedyourmind.org) IP Addressnya 192.168.10.8

www IN CNAME dp
CNAME (canonical name) atau nama alias dari A record, jadi baris diatas menyatakan bahwa www(www.feedyourmind.org) merupakan nama alias dari dp(dp.postix.org). Satu A record bisa mempunyai beberapa nama alias(canonical name).

# pico /chroot/named/conf/db.192.168.10

berikut ini isi dari file tersebut :

$ORIGIN 10.168.192.in-addr.arpa.
$ttl 86400
@ IN SOA gw.feedyourmind.org. root.gw.feedyourmind.org. (
20060706
21600
3600
604800
21600 )

IN NS gw.feedyourmind.org.
1 IN PTR gw.feedyourmind.org.
7 IN PTR ubs.feedyourmind.org.
8 IN PTR dp.feedyourmind.org.

Keterangan:

1 IN PTR gw.feedyourmind.org.
baris(record) diatas menyatakan bahwa IP Address 1(192.168.10.1) bernama gw.feedyourmind.org.

kemudian jangan lupa untuk mengedit file /etc/resolv.conf dengan memasukan IP Address dari nameserver.

# pico /etc/resolv.conf

berikut isi dari file tersebut

#
# /etc/resolv.conf
#
nameserver 192.168.10.1

Seting file permission dan membuat script untuk mejalankan BIND
Mengatur file permission untuk linkungan tempat named di jail

# cd /chroot/named
# chown root:root var/
# chmod u=rwx,og=x var/
# chown root:named var/run/
# chmod u=rwx,og=x var/run/

# chown -R root:named etc/
# chmod u=rw,og=r etc/localtime
# chmod u=rw,og=r etc/*.key
# chmod u=rw,g=r,o= etc/*.conf

# chown root:named conf/
# chown root:named conf/secondaries/
# chmod ug=rwx,o= conf/secondaries/

Untuk mempermudah menjalankan daemon named yang di chroot maka buatlah script dengan nama named.sh di direktori /chroot/.

# pico /chroot/named.sh

berikut isi file tersebut

#!/bin/sh
# Start/Stop/Restart the BIND
# /chroot/named.sh
PIDWD=/chroot/named/var/run

named_start() {
/usr/local/sbin/named -t /chroot/named -u named -c /etc/named.conf
}

named_stop() {
killall named
}

named_restart() {
if [ -r $PIDWD/named.pid ]; then
named_stop
fi
named_start
}

case “$1″ in
’start’)
echo “Starting: BIND”
named_start
;;
’stop’)
echo “Stopping: BIND”
named_stop
;;
‘restart’)
echo “Restarting: BIND”
named_restart
;;
*)
echo “cara menggunakan # $0 start|stop|restart”
esac

untuk menggunakan cukup dengan perintah

# /chroot/named.sh start
untuk menjalankan service BIND

# chroot/named.sh stop
untuk menghentikan service BIND

# chroot/named.sh restart
untuk merestart service BIND

Sampai pada tahap ini BIND sudah dapat berfungsi dan bisa di ujicoba, untuk mengujinya bisa menggunakan utility dig seperti contoh dibawah ini:

# /chroot/named.sh start
Starting: BIND
# dig www.feedyourmind.org

; <<>> DiG 9.4.1 <<>> www.feedyourmind.org
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63041
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;www.feedyourmind.org. IN A

;; ANSWER SECTION:
www.feedyourmind.org. 86400 IN CNAME dp.feedyourmind.org.
dp.feedyourmind.org. 86400 IN A 192.168.10.8

;; AUTHORITY SECTION:
feedyourmind.org. 86400 IN NS gw.feedyourmind.org.

;; ADDITIONAL SECTION:
gw.feedyourmind.org. 86400 IN A 192.168.10.1

;; Query time: 5 msec
;; SERVER: 192.168.10.1#53(192.168.10.1)
;; WHEN: Thu Nov 1 18:48:09 2007
;; MSG SIZE rcvd: 99
Seperti contoh diatas, jika BIND berfungsi dengan baik maka akan memberi jawaban terhadap query kita untuk host www.feedyourmind.org bahwa host tersebut merupakan CNAME (canonical name) dari dp.feedyourmind.org dengan IP Address 192.168.10.8 seperti tertera pada ANSWER SECTION diatas.

CMIIW

referensi

http://id.wikipedia.org/wiki/DNS

http://www.unixwiz.net/