模板
教程
环境
性能
功能
管理
企业开源域名服务安全防护策略及实战(3)
表 1.named.conf 主配文件配置语句说明
| 配置语句 | 说 明 |
|---|---|
| zone | 定义一个区 |
| options | 定义全局配置选项 |
| include | 将其他文件包含到本配置文件中使用 |
| controls | 定义 rndc 命令使用的控制通道 |
| acl | 定义基于 IP 地址的访问控制 |
| Key | 定义授权的安全密钥 |
根据在实际应用中的广泛程度和重要性,下面我们着重对 option 语句和 zone 声明的使用进行介绍。
使用 option 语句
option 语句的使用语法为:
option {
配置子句 1;
配置子句 2;
};
|
在上述语法中,其配置子句常用的主要有如下两类:
directory:该子句后接目录路径,主要用于定义服务器区配置文件的工作目录,如 /home 等,在 Red Hat Enterprise Linux 5 系统中的默认路径为 /var/named;
forwarders:该子句后接 IP 地址,定义转发器;
使用 zone 声明
区声明是主配置文件中非常常用而且是最重要的部分,它一般要说明域名、服务器类型以及域信息源三个重要部分。它的语法为:
zone “zone_name” IN {
type 子句;
file 子句;
其他子句;
};
|
那么,围绕上述三个重要部分,区声明语句有如下两类子句:
type:其主要有如下三种,master(说明一个区为主域名服务器)、slave(说明一个区为辅助域名服务器)和 hint(说明一个区为启动时初始化高速缓存的域名服务器)。
file:后接文件路径,主要说明一个区的域信息源的路径。
DNS 服务器配置实例
为了方便读者对 DNS 服务器配置文件的使用有个详细的了解,本节将针对一个实际的配置文件例子来进行讲解。该配置文件如下所示。我们虚构了一个域 feixiang.com 来举例说明主服务器的配置,下面是定义 feixiang.com 域的主服务器的 named.conf 文件:
// generated by named-bootconf.pl
options {
directory "/var/named";
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
};
// a caching only nameserver config
//
zone "." {
type hint;
file "named.ca";
};
zone "feixiang.com"{
type master;
file "feixiang.com";
};
zone "0.0.127.in-addr.arpa" {
type master;
file "named.local";
};
zone "198.25.in-addr.arpa"{
type master;
file "named.rev";
};
|
上例中第一个 master 告诉我们这是 feixiang.com 域的主服务器。该域的数据是从 named.hosts 文件中加载的。在我们这个例子中,我们将文件名 named.hosts 作为区文件名。第三个 master 语句指向能将 IP 地址 198.25.0.0 映射为主机名的文件。它假定本地服务器是反向域 198.25.in-addr.arpa 的主服务器,该域的数据从文件 named.rev 中加载。
除了定义上述的主文件外,还需要定义如下的区文件(/var/named/feixiang.com):
$TTL86400 $ORIGIN feixiang.com. @1D IN SOA@ root ( 42; serial (d. adams) 3H; refresh 15M; retry 1W; expiry 1D ); minimum @ IN NS@ @ IN A127.0.0.1 www IN A198.25.25.80 ftp IN A198.25.25.68 web IN CNAMEwww |
回页首
实战二:安全使用 DNS 服务器的高级技巧
配置辅助域名服务器做到冗余备份
辅助服务器可从主服务器中复制一整套域信息。区文件是从主服务器中复制出来的,并作为本地磁盘文件存储在辅助服务器中。这种复制称为“区文件复制”。在辅助域名服务器中有一个所有域信息的完整拷贝,可以有权威地回答对该域的查询。因此,辅助域名服务器也称作权威性服务器。配置辅助域名服务器不需要生成本地区文件,因为可以从主服务器中下载该区文件。
辅助服务器的配置与主服务器的配置不同,它使用 slave 语句代替 master 语句。slave 语句指向用作域信息源的远程服务器,以替代本地磁盘文件。下面的 named.conf 文件可以配置 feixiang.com 域的辅助服务器:
原文转自:http://www.ibm.com/developerworks/cn/linux/1306_liyang_securedns/
