作者:刘颖博
时间:2003-6-6
mail:[email protected],请指正
转载请注明出处及作者
维护 rndc与controls(注:对于bind8就是ndc)
controls {
inet * allow {any;} key {“rndc-key”;};
};
//这决定了rndc用户用什么加密密钥来验证身份
在key子语句中指定的密钥必须在一个key语句中定义:
key “rndc-key” {
algorithm hmac-md5;
secret “Zm9vCg==”;
}
相应的配置文件是rndc.conf文件
维护区数据文件
添加和删除主机:更新db.DOMAIN文件中的序列号;添加A,CNAME,MX记录;更新db.ADDR文件中的序列号;添加PTR记录;重新加载主名字服务器
资源记录类型还有两种:TXT (通用文本信息),RP (负责人)
保持根线索是最新的
dig @a.root-servers.net . ns > db.cache
组织数据文件:$TTL,$ORIGIN(起点),$INCLUDE 三个控制语句
安全 保护DNS的消息安全
TSIG事务签名(transaction sigature)
通过dnssec-keygen程序创建密钥
保护名字服务器把名字服务器分成两个部分:一部分只服务解析器,另一部分则回答其他名字服务器的查询
a.bind的版本
options {
version “None of your business”;
};
//实际上泄漏了bind是8.2以上的版本
b.限制查询:allow-query子句
限定所有查询:
options {
allow-query {address_match_list;};
};
限定关于某个特定区的查询:
acl “YNCNC-NET” {15/8;};
zone “yncnc.com” {
tupe slave;
file “bak.yncnc.com”;
master {221.3.131.4;};
allow-query {“YNCNC -NET”;};
};
c.防止未授权的区传送:allow-transfer子句
zone “yncnc.net” {
tupe master;
file “db.yncnc.net”;
allow-transfer {221.3.131.5;221.3.131.6;};
//只允许这几个辅域名服务器从 主域名服务器传输yncnc.net区的数据
};
DNS 自动启动运行ntsysv,选择named,tab键到OK,enter可以了
附:BIND相关的一些工具介绍 dig
dig查询DNS服务器。
hosthost是一个DNS查找工具。
rndcrndc控制BIND的操作。
rndc-confgenrndc-confgen生成rndc.conf文件
named-checkconfnamed-checkconf检查named.conf文件的语法。
named-checkzonenamed-checkzone检查区域文件的合法性。
lwresdlwresd是为本地进程提供的只有缓存的名字服务器。
namednamed是名字服务器守护进程。
dnssec-signzonednssec-signzone生成带有签名的区域文件。
dnssec-signkeydnssec-signkey为区域文件密钥集生成签名。
dnssec-keygendnssec-keygen是DNS密钥生成器。
dnssec-makekeysetdnssec-makekeyset利用dnssec-keygen生成的一个或多个密钥创建密钥集。
nsupdatensupdate用于提交DNS更新请求。
本文地址:http://com.8s8s.com/it/it37197.htm