静默 发表于 2013-12-5 01:34:13

Bind和DNS安全

DNS的安装利用yuminfo 包名查看是否安装软件包及安装包的一些信息yum install –y bind caching-nameserverbind-chroot将DNS的配置文件复制cp -p /etc/named.caching-nameserver.conf /etc/named.confvim /var/named/chroot/etc/named.conf将下面的localhostlisten-on port 53{ 127.0.0.1;};listen-on-v6 port 53 {::1; };allow-query               {localhost; };allow-query-cache {localhost; };match-clients            {localhost;};match-destinations {localhost; };修改为any listen-on port 53{ any;};listen-on-v6 port 53 {any; };allow-query       { any;};allow-query-cache{ any;};match-clients      { any;};match-destinations{ any;};修改named.rfc1912.zones添加一个空间例如domain118.example.comzone “domain118.example.com” IN {type master;file “domain118. zone”;allow-update{none; };};利用named-checkconf检查主配置文件是否正确named-checkconf name.confnamed-checkconf named.rfc1912.zone创建一个zone文件cp –pnamed.localhostdomain118.zone$TTL      86400@            IN      SOA         server118.domain.example.com.          root.domain118.example.com                                                                                             2013082201                                                                                             3H(每过3小时从服务器上获取信息)                                                                                             15M(过15分钟重试)                                                                                             1W(过期以后还可以提供1周的dns信息)                                                                                             1D)(SOA放在缓存记录的时间)                            IN      NS         server118.example.com.server118         IN      A            192.168.0.110chmod o-r domain118.zonechgrp named domain118.zone利用named-check-zonedomain118.zone重启dns服务server named restart利用nslookup测试rndc reload 重新加载配置文件信息辅助服务器在/var/named/chroot/etc/named.rfc1912.zones新建一个区域zone “domain118.example.com” IN {type slave;file “slaves/domain118. zone”;masters{192.168.0.118;};};重启服务,就会在/var/named/chroot/var/named/slaves/下产生domain118.zone文件由于传输之前不需要经过验证,所以,dns信息就会泄漏加固方法:在/var/named/chroot/etc/named.conf中添加allow-transfer   {192.168.0.254;};(这里指定可以传输的ip地址)重启服务service named restart重启后只能192.168.0.254可以接收到dns信息 由于ip地址可以手动改变,所以使用事务签名的方法进入/var/named/chroot/etc/下生成签名文件dnssec-keygen-a HMAC-MD5-b128 -nHOSTdnsserver1-2然后将rndc.key文件重定向为transfer.keycat rndc.key > transfer.key然后查看生成前面的.private文件将关键的key后面的字段复制到transfer.key中的secret字段后面的引号中同时修改上面的key的名字为dnsserver1-2将transfer.key的权限修改chmodo-rtransfer.keychgrpnamedtransfer.key在named的主配置文件中申明使用的key在/var/named/chroot/etc/name.conf中添加Include “/etc/transfer.key”同时将allow transfer   {keydnsserver1-2; };重启named服务servicenamedrestart然后将key分给可以传输的服务器,例如用scpscptransfer.key192.168.0.18:/var/named/chroot/var/named/复制到/etc/下将复制过去的文件属组修改为namedchgrp named transfer.key然后修改主配置文件中添加将key文件包含include “/etc/transfer.key”server 192.168.0.118{keys {dnsserver1-2; };};重启服务service named restart 然后就可以实现了同时对辅助服务器也设置allowtransfer添加allow-transfer{none; }; 限制递归查询(权威服务器设置)在option中添加recursion no 可以限制递归查询 开启bogus禁止别人从本服务器查询

ct38 发表于 2013-12-5 13:51:07

我也许是个脆弱的-Man╮经不起打击。

cfsky 发表于 2013-12-6 14:59:14

海绵宝宝笑的那么的开心,是不是它不会有悲伤。

tianzhig 发表于 2013-12-7 05:10:41

文字那么深刻旳表现却又那么无力旳诉说,

unijun 发表于 2013-12-7 14:31:08

◆◇丶时间让我看清楚一个人的嘴脸,一个人的真心,一个人的真面目。╮

(安西) 发表于 2013-12-7 19:50:08

或许、默契,或许、陌生!沉默诠释了这一切。

beebe_3 发表于 2013-12-8 07:19:19

没以明净的方式遇见又怎么能奢望一段美好的姻缘呢!
页: [1]
查看完整版本: Bind和DNS安全