作者：刘颖博

时间：2003-6-6

mail：liuyingbo@126.com，请指正

 

转载请注明出处及作者

维护

rndc与controls（注：对于bind8就是ndc）

 

controls {

       inet * allow {any;} key {“rndc-key”;};

};

//这决定了rndc用户用什么加密密钥来验证身份

 

在key子语句中指定的密钥必须在一个key语句中定义:

key “rndc-key” {       algorithm hmac-md5;

       secret “Zm9vCg==”;

}

 

相应的配置文件是rndc.conf文件

 

维护区数据文件

添加和删除主机：更新db.DOMAIN文件中的序列号；添加A,CNAME,MX记录;更新db.ADDR文件中的序列号；添加PTR记录；重新加载主名字服务器

 

资源记录类型还有两种：TXT (通用文本信息),RP (负责人)

 

保持根线索是最新的

dig @a.root-servers.net . ns > db.cache

 

组织数据文件：$TTL,$ORIGIN(起点),$INCLUDE 三个控制语句

 

 

安全

保护DNS的消息安全

TSIG事务签名(transaction sigature)

通过dnssec-keygen程序创建密钥

保护名字服务器

把名字服务器分成两个部分：一部分只服务解析器，另一部分则回答其他名字服务器的查询

a.bind的版本

options {

       version “None of your business”;

};//实际上泄漏了bind是8.2以上的版本

b.限制查询：allow-query子句

限定所有查询：

options {

       allow-query {address_match_list;};

};

限定关于某个特定区的查询：

acl “YNCNC-NET” {15/8;};

 

zone “yncnc.com” {

       tupe slave;

       file “bak.yncnc.com”;

       master {221.3.131.4;};

       allow-query {“YNCNC -NET”;};

};

c.防止未授权的区传送：allow-transfer子句

zone “yncnc.net” {

       tupe master;

       file “db.yncnc.net”;

       allow-transfer {221.3.131.5;221.3.131.6;};

       //只允许这几个辅域名服务器从    主域名服务器传输yncnc.net区的数据

};

DNS 自动启动

运行ntsysv，选择named，tab键到OK，enter可以了

 

附：BIND相关的一些工具介绍

dig

dig查询DNS服务器。

host

host是一个DNS查找工具。

rndc

rndc控制BIND的操作。

rndc-confgen

rndc-confgen生成rndc.conf文件

named-checkconf

named-checkconf检查named.conf文件的语法。

named-checkzone

named-checkzone检查区域文件的合法性。

lwresd

lwresd是为本地进程提供的只有缓存的名字服务器。

named

named是名字服务器守护进程。

dnssec-signzone

dnssec-signzone生成带有签名的区域文件。

dnssec-signkey

dnssec-signkey为区域文件密钥集生成签名。

dnssec-keygen

dnssec-keygen是DNS密钥生成器。

dnssec-makekeyset

dnssec-makekeyset利用dnssec-keygen生成的一个或多个密钥创建密钥集。

nsupdate

nsupdate用于提交DNS更新请求。