BIND9.2.2安装配置终极手册(下)

    技术2022-05-11  31

    作者:刘颖博

    时间:2003-6-6

    mailliuyingbo@126.com,请指正

     

    转载请注明出处及作者

    维护

    rndccontrols(注:对于bind8就是ndc

     

    controls {

           inet * allow {any;} key {“rndc-key”;};

    };

    //这决定了rndc用户用什么加密密钥来验证身份

     

    key子语句中指定的密钥必须在一个key语句中定义:

    key “rndc-key” {       algorithm hmac-md5;

           secret “Zm9vCg==”;

    }

     

    相应的配置文件是rndc.conf文件

     

    维护区数据文件

    添加和删除主机:更新db.DOMAIN文件中的序列号;添加A,CNAME,MX记录;更新db.ADDR文件中的序列号;添加PTR记录;重新加载主名字服务器

     

    资源记录类型还有两种:TXT (通用文本信息),RP (负责人)

     

    保持根线索是最新的

    dig @a.root-servers.net . ns > db.cache

     

    组织数据文件:$TTL,$ORIGIN(起点),$INCLUDE 三个控制语句

     

     

    安全

    保护DNS的消息安全

    TSIG事务签名(transaction sigature)

    通过dnssec-keygen程序创建密钥

    保护名字服务器

    把名字服务器分成两个部分:一部分只服务解析器,另一部分则回答其他名字服务器的查询

    a.bind的版本

    options {

           version “None of your business”;

    };//实际上泄漏了bind8.2以上的版本

    b.限制查询:allow-query子句

    限定所有查询:

    options {

           allow-query {address_match_list;};

    };

    限定关于某个特定区的查询:

    acl “YNCNC-NET” {15/8;};

     

    zone “yncnc.com” {

           tupe slave;

           file “bak.yncnc.com”;

           master {221.3.131.4;};

           allow-query {“YNCNC -NET”;};

    };

    c.防止未授权的区传送:allow-transfer子句

    zone “yncnc.net” {

           tupe master;

           file “db.yncnc.net”;

           allow-transfer {221.3.131.5;221.3.131.6;};

           //只允许这几个辅域名服务器从    主域名服务器传输yncnc.net区的数据

    };

    DNS 自动启动

    运行ntsysv,选择named,tab键到OK,enter可以了

     

    附:BIND相关的一些工具介绍

    dig

    dig查询DNS服务器。

    host

    host是一个DNS查找工具。

    rndc

    rndc控制BIND的操作。

    rndc-confgen

    rndc-confgen生成rndc.conf文件

    named-checkconf

    named-checkconf检查named.conf文件的语法。

    named-checkzone

    named-checkzone检查区域文件的合法性。

    lwresd

    lwresd是为本地进程提供的只有缓存的名字服务器。

    named

    named是名字服务器守护进程。

    dnssec-signzone

    dnssec-signzone生成带有签名的区域文件。

    dnssec-signkey

    dnssec-signkey为区域文件密钥集生成签名。

    dnssec-keygen

    dnssec-keygen是DNS密钥生成器。

    dnssec-makekeyset

    dnssec-makekeyset利用dnssec-keygen生成的一个或多个密钥创建密钥集。

    nsupdate

    nsupdate用于提交DNS更新请求。


    最新回复(0)