Solaris10下DNS服務(wù)器安全攻略

下面我們來介紹如何配置DNS服務(wù)器。

一、從源代碼安裝配置DNS服務(wù)器

(1)為了下載最新的BIND軟件，我們到http://www.isc.org/products/BIND/下載，本例子下載的是bind-9.3.2.tar.gz。

(2)將下載的軟件放到系統(tǒng)中的某個目錄下，本例中放在usr/local/src目錄下。

#cdusr/local/src

#wgethttp://ftp.isc.org/isc/bind9/9.3.2/bind-9.3.2.tar.gz

#cpbind-9.3.2.tar.gz..

#cd..

#gzip-dbind-9.3.2.tar.gz

#tar-vxfbind-9.3.2.tar

#rmbind-9.3.2.tar

#cdbind-9.3.2

#./configure

#make

#makeinstall

#cd/usr/sbin

(3)生成的可執(zhí)行文件位于/usr/local/sbin目錄下。最重要的可執(zhí)行文件為named和rndc。

#/usr/local/sbin/rndc-confgen>/etc/rndc.conf

#cat/etc/rndc.conf

輸出為：

#Startofrndc.conf

key"rndc-key"...{

algorithmhmac-md5;

secret"y9xvvfQjdWv9f/Fo7wquBg==";

};

options...{

default-key"rndc-key";

default-server127.0.0.1;

default-port953;

};

#Endofrndc.conf

#Usewiththefollowinginnamed.conf,adjustingtheallowlistasneeded:

#key"rndc-key"...{

#algorithmhmac-md5;

#secret"y9xvvfQjdWv9f/Fo7wquBg==";

#};

#controls...{

#inet127.0.0.1port953

#allow...{127.0.0.1;}keys...{"rndc-key";};

#};

#Endofnamed.conf

(9)創(chuàng)建rndc.key文件。將rndc.conf文件中注釋部分拷貝生成如下文件：

#vi/etc/rndc.key

key"rndc-key"...{

algorithmhmac-md5;

secret"y9xvvfQjdWv9f/Fo7wquBg==";

};

controls...{

inet127.0.0.1port953\

allow...{127.0.0.1;}keys...{"rndc-key";};\

};

檢查rndc是否正常工作：

#/usr/local/sbin/named-g

Jan1111:56:45.075startingBIND9.2.3-g

Jan1111:56:45.076using1CPU

Jan1111:56:45.079loadingconfigurationfrom'/etc/named.conf'

......

#/usr/local/sbin/rndcstatus

(10)編輯named.conf配置文件。

#vi/etc/named.conf

第一段的內(nèi)容如下：

//generatedbynamed-bootconf.pl

options...{

directory"/var/named";

/**//*

*Ifthereisafirewallbetweenyouandnameserversyouwant

*totalkto,youmightneedtouncommentthequery-source

*directivebelow.PreviousversionsofBINDalwaysasked

*portbydefault.

*/

//query-sourceaddress*port53;

};

上面的部分是在這個文件開頭的options設(shè)定的，首先用directory指定了named的資源記錄(RR-ResourceRecord文件目錄所在位置為：“/var/named”。也就是說，它會到這個目錄下面尋找DNS記錄文件)。所以，我們在后面部分所指定的文件，就無須使用絕對路徑了，但它們一定要放在這個目錄下面。

那一段被注釋文字，如果你仔細閱讀一下，它大致意思是如果你要設(shè)定的DNS服務(wù)器和client之間隔著防火墻的話，要將“//query-sourceaddress*port53;”前面的注解符號“//”拿掉(當(dāng)然，也必須要設(shè)定好你的火墻)。不過，這只對早期的版本有影響，而在bind8.1之后則無須擔(dān)心這個設(shè)定。接下來再讓我們看下一段句子：

//

//acachingonlynameserverconfig

//

zone"."IN...{

typehint;

file"named.root";

};

通過這幾行語句，我們?yōu)閚amed定義了DNS系統(tǒng)中的根區(qū)域“.”(rootzone)的設(shè)定，同時它是一個internet(IN)的區(qū)域類別。這里還指定了rootzone的服務(wù)器種類(type)為“hint”(也只有這個zone會使用這樣的種類)。最后，用file指定這個區(qū)域記錄文件為：“named.root”，也就是“/var/named/named.root”文件。在rootzone后面，你應(yīng)該還會看到如下這兩段：

zone"localhost"IN...{

typemaster;

file"localhost.zone";

allow-update...{none;};

};

zone"0.0.127.in-addr.arpa"IN...{

typemaster;

file"named.local";

allow-update...{none;};

};

這里是定義出關(guān)于本機名稱的DNS解釋：第一個zone是localhost的正解zone，其服務(wù)器種類是master，記錄檔名稱是localhost.zone(在/var/named目錄下面)，但這個zone不允許客戶主機(或服務(wù)器)自行更新DNS的記錄。而第二個zone則是本機區(qū)域的反向解析zone。

再看下面的兩段，這兩段是cjh.com域的正向和反向解析。

zone"cjh.com"IN...{//新加cjh.com的域

typemaster;

file"cjh.com.zone";

allow-update...{none;};

};

zone"9.168.192.in-addr.arpa"IN...{//新加域的反向解析

typemaster;

file"named.192.168.9";

allow-update...{none;};

};

最后一行是bind9.x版本的新功能，用來進行區(qū)域轉(zhuǎn)移或DNS更新所用的加密處理。

include"/etc/rndc.key";

(11)創(chuàng)建/var/named目錄。

#mkdir/var/named

#cd/var/named

(12)匿名登錄到ftp站點FTP.RS.INTERNIC.NET，獲取/domain目錄下的named.root文件，將該文件置于/var/named目錄下。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]