作者:刘颖博
时间:2003-6-6
mail:liuyingbo@126.com,请指正
转载请注明出处及作者
维护
rndc与controls(注:对于bind8就是ndc)
controls {
inet * allow {any;} key {“rndc-key”;};
};
//这决定了rndc用户用什么加密密钥来验证身份
在key子语句中指定的密钥必须在一个key语句中定义:
key “rndc-key” {
algorithm hmac-md5;
secret “Zm9vCg==”;
}
相应的配置文件是rndc.conf文件
维护区数据文件
添加和删除主机:更新db.DOMAIN文件中的序列号;添加A,CNAME,MX记录;更新db.ADDR文件中的序列号;添加PTR记录;重新加载主名字服务器
资源记录类型还有两种:TXT (通用文本信息),RP (负责人)
保持根线索是最新的
dig @a.root-servers.net . ns > db.cache
组织数据文件:$TTL,$ORIGIN(起点),$INCLUDE 三个控制语句
安全
保护DNS的消息安全
TSIG事务签名(transaction sigature)
通过dnssec-keygen程序创建密钥
保护名字服务器
把名字服务器分成两个部分:一部分只服务解析器,另一部分则回答其他名字服务器的查询
a.bind的版本
options {
version “None of your business”;
};
//实际上泄漏了bind是8.2以上的版本
b.限制查询:allow-query子句
限定所有查询:
options {
allow-query {address_match_list;};
};
限定关于某个特定区的查询:
acl “YNCNC-NET” {15/8;};
zone “yncnc.com” {
tupe slave;
file “bak.yncnc.com”;
master {221.3.131.4;};
allow-query {“YNCNC -NET”;};
};
c.防止未授权的区传送:allow-transfer子句
zone “yncnc.net” {
tupe master;
file “db.yncnc.net”;
allow-transfer {221.3.131.5;221.3.131.6;};
//只允许这几个辅域名服务器从 主域名服务器传输yncnc.net区的数据
};
DNS 自动启动
运行ntsysv,选择named,tab键到OK,enter可以了
附:BIND相关的一些工具介绍
dig
dig查询DNS服务器。
host
host是一个DNS查找工具。
rndc
rndc控制BIND的操作。
rndc-confgen
rndc-confgen生成rndc.conf文件
named-checkconf
named-checkconf检查named.conf文件的语法。
named-checkzone
named-checkzone检查区域文件的合法性。
lwresd
lwresd是为本地进程提供的只有缓存的名字服务器。
named
named是名字服务器守护进程。
dnssec-signzone
dnssec-signzone生成带有签名的区域文件。
dnssec-signkey
dnssec-signkey为区域文件密钥集生成签名。
dnssec-keygen
dnssec-keygen是DNS密钥生成器。
dnssec-makekeyset
dnssec-makekeyset利用dnssec-keygen生成的一个或多个密钥创建密钥集。
nsupdate
nsupdate用于提交DNS更新请求。
