作者:劉穎博 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
時間:2003-6-6
mail:[email protected],請指正
轉載請註明出處及作者
維護
rndc與controls(注:對於bind8就是ndc)
controls {
inet * allow {any;} key {“rndc-key”;};
};
//這決定了rndc用戶用什麼加密密鑰來驗證身份
在key子語句中指定的密鑰必須在一個key語句中定義:
key “rndc-key” {
algorithm hmac-md5;
secret “Zm9vCg==”;
}
相應的配置文件是rndc.conf文件
維護區數據文件
添加和刪除主機:更新db.DOMAIN文件中的序列號;添加A,CNAME,MX記錄;更新db.ADDR文件中的序列號;添加PTR記錄;重新加載主名字服務器
資源記錄類型還有兩種:TXT (通用文本信息),RP (負責人)
保持根線索是最新的
dig @a.root-servers.net . ns > db.cache
組織數據文件:$TTL,$ORIGIN(起點),$INCLUDE 三個控制語句
安全
保護DNS的消息安全
TSIG事務簽名(transaction sigature)
通過dnssec-keygen程序創建密鑰
保護名字服務器
把名字服務器分成兩個部分:一部分只服務解析器,另一部分則回答其他名字服務器的查詢
a.bind的版本
options {
version “None of your business”;
};
//實際上泄漏了bind是8.2以上的版本
b.限制查詢:allow-query子句
限定所有查詢:
options {
allow-query {address_match_list;};
};
限定關於某個特定區的查詢:
acl “YNCNC-NET” {15/8;};
zone “yncnc.com” {
tupe slave;
file “bak.yncnc.com”;
master {221.3.131.4;};
allow-query {“YNCNC -NET”;};
};
c.防止未授權的區傳送:allow-transfer子句
zone “yncnc.net” {
tupe master;
file “db.yncnc.net”;
allow-transfer {221.3.131.5;221.3.131.6;};
//只允許這幾個輔域名服務器從 主域名服務器傳輸yncnc.net區的數據
};
DNS 自動啓動
運行ntsysv,選擇named,tab鍵到OK,enter可以了
附:BIND相關的一些工具介紹
dig
dig查詢DNS服務器。
host
host是一個DNS查找工具。
rndc
rndc控制BIND的操作。
rndc-confgen
rndc-confgen生成rndc.conf文件
named-checkconf
named-checkconf檢查named.conf文件的語法。
named-checkzone
named-checkzone檢查區域文件的合法性。
lwresd
lwresd是爲本地進程提供的只有緩存的名字服務器。
named
named是名字服務器守護進程。
dnssec-signzone
dnssec-signzone生成帶有簽名的區域文件。
dnssec-signkey
dnssec-signkey爲區域文件密鑰集生成簽名。
dnssec-keygen
dnssec-keygen是DNS密鑰生成器。
dnssec-makekeyset
dnssec-makekeyset利用dnssec-keygen生成的一個或多個密鑰創建密鑰集。
nsupdate
nsupdate用於提交DNS更新請求。