Solaris 10下DNS服务器安全攻略(上)
2018-06-11 来源:
下面我们来介绍如何配置DNS服务器。
一、从源代码安装配置DNS服务器
(1)为了下载最新的BIND软件,我们到http://www.isc.org/products/BIND/ 下载,本例子下载的是bind-9.3.2.tar.gz。
(2)将下载的软件放到系统中的某个目录下,本例中放在usr/local/src目录下。
#cd usr/local/src
# wget http://ftp.isc.org/isc/bind9/9.3.2/bind-9.3.2.tar.gz
# cp bind-9.3.2.tar.gz ..
# cd ..
# gzip -d bind-9.3.2.tar.gz
# tar -vxf bind-9.3.2.tar
# rm bind-9.3.2.tar
# cd bind-9.3.2
# ./configure
# make
# make install
# cd /usr/sbin
(3)生成的可执行文件位于/usr/local/sbin目录下。最重要的可执行文件为named和rndc。
# /usr/local/sbin/rndc-confgen > /etc/rndc.conf
# cat /etc/rndc.conf
输出为:
# Start of rndc.conf
key "rndc-key" ...{
algorithm hmac-md5;
secret "y9xvvfQjdWv9f/Fo7wquBg==";
};
options ...{
default-key "rndc-key";
default-server 127.0.0.1;
default-port 953;
};
# End of rndc.conf
# Use with the following in named.conf, adjusting the allow list as needed:
# key "rndc-key" ...{
# algorithm hmac-md5;
# secret "y9xvvfQjdWv9f/Fo7wquBg==";
# };
# controls ...{
# inet 127.0.0.1 port 953
# allow ...{ 127.0.0.1; } keys ...{ "rndc-key"; };
# };
# End of named.conf
(9)创建rndc.key文件。将rndc.conf文件中注释部分拷贝生成如下文件:
# vi /etc/rndc.key
key "rndc-key" ...{
algorithm hmac-md5;
secret "y9xvvfQjdWv9f/Fo7wquBg==";
};
controls ...{
inet 127.0.0.1 port 953
allow ...{ 127.0.0.1; } keys ...{ "rndc-key"; };
};
检查rndc是否正常工作:
#/usr/local/sbin/named -g
Jan 11 11:56:45.075 starting BIND 9.2.3 -g
Jan 11 11:56:45.076 using 1 CPU
Jan 11 11:56:45.079 loading configuration from '/etc/named.conf'
......
#/usr/local/sbin/rndc status
(10)编辑named.conf配置文件。
# vi /etc/named.conf
第一段的内容如下:
// generated by named-bootconf.pl
options ...{
directory "/var/named";
/**//*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* port by default.
*/
// query-source address * port 53;
};
上面的部分是在这个文件开头的options设定的,首先用directory指定了named的资源记录(RR - Resource Record文件目录所在位置为:“/var/named”。也就是说,它会到这个目录下面寻找DNS记录文件)。所以,我们在后面部分所指定的文件,就无须使用绝对路径了,但它们一定要放在这个目录下面。
那一段被注释文字,如果你仔细阅读一下,它大致意思是如果你要设定的 DNS 服务器和client之间隔着防火墙的话,要将“//query-source address * port 53;”前面的注解符号“//”拿掉(当然,也必须要设定好你的火墙)。不过,这只对早期的版本有影响,而在bind 8.1之后则无须担心这个设定。接下来再让我们看下一段句子:
//
// a caching only nameserver config
//
zone "." IN ...{
type hint;
file "named.root";
};
通过这几行语句,我们为named定义了DNS系统中的根区域“.”(root zone)的设定,同时它是一个internet(IN)的区域类别。这里还指定了root zone的服务器种类(type)为“hint”(也只有这个zone会使用这样的种类)。最后,用file指定这个区域记录文件为:“named.root”,也就是“/var/named/named.root”文件。在root zone后面,你应该还会看到如下这两段:
zone "localhost" IN ...{
type master;
file "localhost.zone";
allow-update ...{ none; };
};
zone "0.0.127.in-addr.arpa" IN ...{
type master;
file "named.local";
allow-update ...{ none; };
};
这里是定义出关于本机名称的DNS解释:第一个zone是localhost的正解zone,其服务器种类是master,记录档名称是localhost.zone(在/var/named目录下面),但这个zone不允许客户主机(或服务器)自行更新DNS的记录。而第二个zone则是本机区域的反向解析zone。
再看下面的两段,这两段是cjh.com域的正向和反向解析。
zone "cjh.com" IN ...{ //新加cjh.com的域
type master;
file "cjh.com.zone";
allow-update ...{ none; };
};
zone "9.168.192.in-addr.arpa" IN ...{ //新加域的反向解析
type master;
file "named.192.168.9";
allow-update ...{ none; };
};
最后一行是bind 9.x版本的新功能,用来进行区域转移或DNS更新所用的加密处理。
include "/etc/rndc.key";
(11)创建/var/named目录。
# mkdir /var/named
# cd /var/named
(12)匿名登录到ftp站点FTP.RS.INTERNIC.NET,获取/domain目录下的named.root文件,将该文件置于/var/named目录下。
(13)创建localhost.zone文件。
# vi /var/named/localhost.zone
$TTL 86400
$ORIGIN localhost.
@ 1D IN SOA @ root (
42 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
1D IN NS @
1D IN A 127.0.0.1
(14)创建named.local文件。
# vi named.local
$TTL 86400
@ IN SOA localhost. root.localhost. (
2005022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS localhost.
1 IN PTR localhost.
[root@Linux etc]# mkdir /var/named
//进入/var/named
[root@Linux etc]# cd /var/named
//建立localhost.zone文件
[root@Linux named]#vi localhost.zone
$TTL 86400
$ORIGIN localhost.
@ 1D IN SOA @ root (
42 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
1D IN NS @
1D IN A 127.0.0.1
//建立named.local文件
[root@Linux named]#vi named.local
$TTL 86400
@ IN SOA localhost. root.localhost. (
1997022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 61.177.252 ; Expire
86400 ) ; Minimum
IN NS localhost.
1 IN PTR localhost.
(15)创建cjh.com.zone文件。
# vi cjh.zone
$TTL 1D
@ IN SOA cjh.com. root.cjh.com. (
1053891162
3H
15M
1W
1D )
IN NS cjh.com.
IN MX 5 cjh.com.
www IN A 192.168.9.9
(16)创建named.192.168.9文件。
# vi named.192.168.9
$TTL 86400
@ IN SOA cjh.com. root.cjh.com.(
20031001;
7200;
3600;
43200;
86400);
@ IN NS cjh.com.
9 IN PTR dns.cjh.com.
标签: dns dns 服务器 dns服务 dns服务器 dns系统 linux 代码 防火墙 服务器 服务器种类 漏洞 配置dns服务器 网络 网站 域名 域名解析
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
下一篇:微软倾向于对雅虎实施敌意收购