Bind和DNS安全

静默

DNS的安装

利用yum  info 包名查看是否安装软件包及安装包的一些信息

yum install –y bind caching-nameserverbind-chroot

将DNS的配置文件复制

cp -p /etc/named.caching-nameserver.conf /etc/named.conf

vim /var/named/chroot/etc/named.conf

将下面的localhost

listen-on port 53  { 127.0.0.1;  };

listen-on-v6 port 53 {  ::1; };

allow-query               {  localhost; };

allow-query-cache {  localhost; };

match-clients            {  localhost;  };

match-destinations {  localhost; };

修改为

any

listen-on port 53  { any;  };

listen-on-v6 port 53 {  any; };

allow-query       { any;  };

allow-query-cache  { any;  };

match-clients      { any;  };

match-destinations  { any;  };

修改named.rfc1912.zones

添加一个空间

例如domain118.example.com

zone “domain118.example.com” IN {

type master;

file “domain118. zone”;

allow-update  {  none; };

};

利用named-checkconf检查主配置文件是否正确

named-checkconf name.conf

named-checkconf named.rfc1912.zone

创建一个zone文件

cp –p  named.localhost  domain118.zone

$TTL        86400

@              IN      SOA         server118.domain.example.com.          root.domain118.example.com

                                                                                             2013082201

                                                                                             3H(每过3小时从服务器上获取信息)

                                                                                             15M(过15分钟重试)

                                                                                             1W  (过期以后还可以提供1周的dns信息)

                                                                                             1D）(SOA放在缓存记录的时间)

                            IN      NS           server118.example.com.

server118         IN      A              192.168.0.110

chmod o-r domain118.zone

chgrp named domain118.zone

利用named-check-zone  domain118.zone

重启dns服务

server named restart

利用nslookup测试

rndc reload 重新加载配置文件信息

辅助服务器

在/var/named/chroot/etc/named.rfc1912.zones新建一个区域

zone “domain118.example.com” IN {

type slave;

file “slaves/domain118. zone”;

masters  {  192.168.0.118;  };

};

重启服务，就会在/var/named/chroot/var/named/slaves/下产生domain118.zone文件

由于传输之前不需要经过验证，所以，dns信息就会泄漏

加固方法：

在/var/named/chroot/etc/named.conf中添加

allow-transfer   {  192.168.0.254;  };(这里指定可以传输的ip地址)

重启服务

service named restart

重启后只能192.168.0.254可以接收到dns信息

由于ip地址可以手动改变，所以使用事务签名的方法

进入/var/named/chroot/etc/下生成签名文件

dnssec-keygen  -a HMAC-MD5  -b  128 -n  HOST  dnsserver1-2

然后将rndc.key文件重定向为transfer.key

cat rndc.key > transfer.key

然后查看生成前面的.private文件

将关键的key后面的字段复制到transfer.key中的secret字段后面的引号中

同时修改上面的key的名字为dnsserver1-2

将transfer.key的权限修改

chmod  o-r  transfer.key

chgrp  named  transfer.key

在named的主配置文件中申明使用的key

在/var/named/chroot/etc/name.conf

中添加

Include “/etc/transfer.key”

同时将

allow transfer   {  key  dnsserver1-2; };

重启named服务

service  named  restart

然后将key分给可以传输的服务器，例如用scp

scp  transfer.key192.168.0.18:/var/named/chroot/var/named/

复制到/etc/下

将复制过去的文件属组修改为named

chgrp named transfer.key

然后修改主配置文件中添加

将key文件包含

include “/etc/transfer.key”

server 192.168.0.118｛

  keys {  dnsserver1-2; };

｝;

重启服务

service named restart

然后就可以实现了

同时对辅助服务器也设置allowtransfer

添加

allow-transfer  {  none; };

限制递归查询（权威服务器设置）

在option中添加

recursion no 可以限制递归查询

开启bogus禁止别人从本服务器查询

ct38

我也许是个脆弱的-Man╮经不起打击。

cfsky

海绵宝宝笑的那么的开心，是不是它不会有悲伤。

tianzhig

文字那么深刻旳表现却又那么无力旳诉说，

unijun

◆◇丶时间让我看清楚一个人的嘴脸，一个人的真心，一个人的真面目。╮

(安西)

或许、默契，或许、陌生！沉默诠释了这一切。

beebe_3

没以明净的方式遇见又怎么能奢望一段美好的姻缘呢!