企业开源域名服务安全防护策略及实战-2

look_w

实战一：DNS 服务安全配置在使用 DNS 服务器之前，需要对与之相关的配置文件进行配置，因而首先需要了解这些基本文件，下面列表给出了几种主要的与 DNS 有关的文件：

• /etc/name.conf 文件：它是 DNS 服务器的主文件，通过它可以设置一般的 name 参数，指向该服务器使用的域数据库的信息源。
• /var/named/named.ca 文件：它是根域名配置服务器指向文件，通过它来指向根域名服务器，用于高速缓存服务器初始化。
• /var/named/localhost.zone 文件：localhost 区文件，用于将名字 localhost 转换为本地回送 IP 地址（127.0.0.1）。
• /var/named/localhost.zone 文件：localhost 区反向域名解析文件，用于将本地 IP 地址（127.0.0.1）转化为会送方 localhost 名字。
• /var/named/name2ip.conf 文件：用户配置的正向解析文件，将主机名映射为 IP 地址。
• /var/named/ip2name.conf 文件：用户配置的反向解析文件，将 ip 地址映射为主机名。

named.conf 主配置文件在使用 named.conf 进行配置时，需要了解如下常用的配置语句，如表 1 所示。
表 1.named.conf 主配文件配置语句说明配置语句说    明 zone 定义一个区 options 定义全局配置选项 include 将其他文件包含到本配置文件中使用 controls 定义 rndc 命令使用的控制通道 acl 定义基于 IP 地址的访问控制 Key 定义授权的安全密钥
根据在实际应用中的广泛程度和重要性，下面我们着重对 option 语句和 zone 声明的使用进行介绍。
使用 option 语句option 语句的使用语法为：

1 2 3 4

option { 配置子句 1； 配置子句 2； };

在上述语法中，其配置子句常用的主要有如下两类：

• directory：该子句后接目录路径，主要用于定义服务器区配置文件的工作目录，如 /home 等，在 Red Hat Enterprise Linux 5 系统中的默认路径为 /var/named；
• forwarders：该子句后接 IP 地址，定义转发器；

使用 zone 声明区声明是主配置文件中非常常用而且是最重要的部分，它一般要说明域名、服务器类型以及域信息源三个重要部分。它的语法为：

1 2 3 4 5

zone “zone_name” IN { type 子句； file  子句； 其他子句； };

那么，围绕上述三个重要部分，区声明语句有如下两类子句：

• type：其主要有如下三种，master（说明一个区为主域名服务器）、slave（说明一个区为辅助域名服务器）和 hint（说明一个区为启动时初始化高速缓存的域名服务器）。
• file：后接文件路径，主要说明一个区的域信息源的路径。

DNS 服务器配置实例为了方便读者对 DNS 服务器配置文件的使用有个详细的了解，本节将针对一个实际的配置文件例子来进行讲解。该配置文件如下所示。我们虚构了一个域 feixiang.com 来举例说明主服务器的配置，下面是定义 feixiang.com 域的主服务器的 named.conf 文件：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35

// generated by named-bootconf.pl options { directory "/var/named"; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default. */ // query-source address * port 53; }; // a caching only nameserver config // zone "." { type hint; file "named.ca"; }; zone "feixiang.com"{ type master; file "feixiang.com"; }; zone "0.0.127.in-addr.arpa" { type master; file "named.local"; }; zone "198.25.in-addr.arpa"{ type master; file "named.rev"; };

上例中第一个 master 告诉我们这是 feixiang.com 域的主服务器。该域的数据是从 named.hosts 文件中加载的。在我们这个例子中，我们将文件名 named.hosts 作为区文件名。第三个 master 语句指向能将 IP 地址 198.25.0.0 映射为主机名的文件。它假定本地服务器是反向域 198.25.in-addr.arpa 的主服务器，该域的数据从文件 named.rev 中加载。
除了定义上述的主文件外，还需要定义如下的区文件（/var/named/feixiang.com）：

1 2 3 4 5 6 7 8 9 10 11 12 13 14

$TTL86400 $ORIGIN feixiang.com. @1D IN SOA@ root ( 42; serial (d. adams) 3H; refresh 15M; retry 1W; expiry 1D ); minimum @ IN NS@ @ IN A127.0.0.1 www IN A198.25.25.80 ftp IN A198.25.25.68 web IN CNAMEwww