基于SUN Solaris 10的DNS域名服务器配置
\\竺竺竺基于SUNSolaris10的DNS域名服务器配置自兴瑞(龙岩学院网络信息中心,福建364000)摘要:SUNSohris10是一种性能优良的操作系统,在该系统上构建DNS域名服务具有明显S
\\
竺竺竺
基于SUNSolaris10的DNS域名服务器配置
自兴瑞
(龙岩学院网络信息中心,福建364000)
摘要:SUN
Sohris
10是一种性能优良的操作系统,在该系统上构建DNS域名服务具有明显
Solaris
的优越性。介绍在SUN安全策略。
10系统下构建DNS域名服务的方法。并给出了相应的
关键词:Solam;操作系统;DNS;服务嚣;BIND
0引言
solaris
l;
gone”32.193.218.in-addr.arpa”{
10是Sun计算机公司开发的企业操作系
typeslave;
统的最新版本,是面向所有用户的免费操作系统.且具有非常强的性能.在Solaris系统下构建DNS域名服务器.有其明显的优越性。
1
};
file”addr.dns'’://218.19332.X的reverselookup文件名masters(218.193.32.1;};zone“lyun.en”I,,域名为lyun.ell
typeslave;
DNS域名服务的构建
在安装完Solaris10操作系统后.系统会自动安装
file”lyun.C11.dns¨:,,存放lyun.cn详细资料的gone文
件位置/ete/namedglyun.cn.dns
nlasters(218.193.32.1;};l;
Bind
9.2.4.且被安装在/usr/sbin/named.但要让系统成第一步.建立named.conf。named.conf文件主要用
为自己所需的DNS服务器,还需下列设置:
来控制域名服务器的操作.在/etc/named.conf文件中提供一些关键字.用于定义操作声明。
下面以我所配置的DNS域名服务器的named.cord"文件来示例:
#more
第二步,建立和下载named。root文件。nareed.root这个文件指定了根服务器的名字到地址的映射.即存放了所有最顶层DNSServer的IP和资料。这个文件的信息作为对in.named进程的提示.in.named名称守护进程会尝试和其中一个根服务器取得联系直到获得响应为止。作出响应的根服务返回一个根服务器群的列表。名称守护进程就使用根服务器响应的根服务器列表。named。root存放的位置由nareed.corff中指定。由于根服务器会不时改变.named.root文件最好每几个月要检查一下.
named.root可以手工编辑或直接下载:#dig@u.
root—servers.net.nfl>/etc/named/rogt.hint。
named.conf
options{directory”/etc/named”;
pid-file”Ivarlnm/named.pid”;
listen-on
f218.193.32.8;};};
controls(产empty奉/};//允许任何人使用DNS
zone”.”ftypehint;file”named.root”;l;//根服务器的地
现代计
址表所在的文件
gone”lyun.edu.cn”ftypeslave;file”lyun.dns”;masters
(218.193.32.1;);l;//定义域名,类型为辅助DNS。如果产主域服务器则type为master。
gone”lvlln.edu.cn”I//域名为lyun.edu.cn
typeslave;
6le”lⅦn.dns”://存放lyun.edu.cn详细资料的gofle
文件位置/ete/named/lyun.dns
masters{218.193.32.1;};
收稿日期:2008—01—11修稿日期:2008—04-25
第三步.在/ete/named/目录下建立named.coM文件中相应的文件,例如上例中的:addr.dns,lyun.cn.dns。lyun.dns。t)2/etc/named/lyun。cn。dns为例:
¥1-ItL
604800
¥ORlGINLyun.edu.cn.@
IN
SOA
lyun.edu.en.root.1yun.edu.en.(
算
祝
^
总第
二
几三
期
v
作者简介:白兴瑞(1971一)。男。福建龙岩人,实验师。研究方向为操作系统、数据库、网络安全
MODERN
COMPUTER
2删.5
万方数据
98
,实践与经验/
2006080401604800864002419200604800
ININ
NSMXAAA
;Sefial;Refresh
部用户来限制对DNS服务器的访问可以防止对域名服务器的欺骗和DoS攻击。
:
;Re呻
;Expim;Negative
ng
首先定义访问控制列表.在/etc/bind/named.conf文件的最上部添加如下内容:include”/etc/bind/
Cache
TrL
;
1
named.conf.aclsII.创建/etc/bind/named.conf.acls文件,内容如下:
acldenied{192.168.0.0/24;);
aci
0
mail.1yun.edu.en.
@瑚w’wmailftpm2
ns3
INININ
192.168.102.47192.168.102.47
intra—net{192.168.102.0/24;l;
J
aelslave{192.168.102.49;
218.193.32.5
218.193.32.2218.193.32.56
IN
ININ
A
AA
如果不想让192.168.0.IM24网段使用DNS服务器,则可以在llamed.conf.options文件的options内部加入:
blaekhole{denied;};
192.168.102.48192。168.102.49
INA、
如果只想相让192.168.102.0124;网段使用DNS
第四步.启动DNS。系统启动脚本/etc/rc3.d/¥83dns.开启in.named进程,此进程读取/etc/named.conf文件。S83dns文件需手工创建,文件内容:SV.
cadmenabledns/server。
服务器.则可以在named.conf.options文件的options内部加入:
allow-query
Iintra-net;l;
最后可以用nslookuD来进行DNS的解析是否正确。也可用whois命令来解析主机名称,或dig命令返回域名查询的IP地址结果来测试所配置的DNS服务器是否正确。2
如果只想对某个区资源作限制.也可将black.hole/allow—query指令加入到named.conf的对应zone中去。例如:
zone”lyun.edu.cn”{typemaster;,fde“/ete/bind/db.myde—bian”;allow—query{intra-net;};
l;
DNS服务器的安全策略
一些安全性问题使得已有的DNS服务容易受到
另一方面,使用业务签名确保DNS交换的双方(客户端和服务器)可以使用数字签名相互进行身份验证.这样可以防止冒充的域名服器对客户端提供虚假DNS记录。3
攻击.对此.DNS提供许多安全性功能,例如禁用区域传输和实现业务签名等选项。禁用区域传输可以确保攻击者无法获取详细的区域列表,从而无法确定攻击目标。同时请求许多区域传输同样也是流行的拒绝服务攻击一种。这可以通过访问控制列表(ACLs)控制名称查询与区域传输来实现安全控制:建立一个访问地址列表并指定名称,使用allow—query、allow—recur-sion、alow—transfer、allow—recursion、blackhole等配置来对访问DNS服务器的用户进行良好的控制.由外
结语
以上论述了如何在SUN
Solaris
10系统下配置域
名服务器.以及相应的一些安全问题。对于解决DNS的安装和配置问题的最好方法是通过提前建立log文件所采取的保护性措施,log文件提供了提示和信息的资源可以用来寻找问题的根源和解决的办法。
Solaris
10操作系统中的DNS服务器安装Bind
9.2.4。
ConfigurationofDNSNameServerBased
Solaris10
BAIXing-rui
(Network
Information
on
SUN
现代计
算
机
^
Center,LongyanUniversity。Longyan
364000)
buildDNSSolaris10,
总
第
Abstract:SUNSolaris10is
nameand
sel-ver
a
highperformance
operating
system,it'sobviousadvantage
naule
to
二
init.Introcucesthe
methodofbuildingDNS
8elwel"inSUN
proposescorrespondingsecurtiypolicy.
Keywords:Solaris;OperatingSystem;DNS;Server;BIND
八三
期
-
MODERN
COMPUTER
2008.5
万方数据
99
,
基于SUN Solaris 10的DNS域名服务器配置
作者:
作者单位:
刊名:
英文刊名:
年,卷(期):
被引用次数:白兴瑞, BAI Xing-rui龙岩学院网络信息中心,福建,364000现代计算机(专业版)MODERN COMPUTER2008(5)1次
引证文献(1条)
1. 许洪超. 轩亚光. 张玲. 张志立 IPv4/IPv6双协议栈下服务器过渡方案的设计与实现[期刊论文]-许昌学院学报2009(2)
本文链接:http://d.g.wanfangdata.com.cn/Periodical_xdjsj-xby200805029.aspx