栏目导航

热点推荐

www.jz123.cn 2009-04-15 来源: IT专家网责任编辑(袁袁) 我要投递新闻

　　2、启动BIND(DNS)安全选项来进行配置。

　　named进程启动选项如下：

　　-r：关闭域名服务器的递归查询功能(缺省为打开)。该选项可在配置文件的

　　options中使用"recursion"选项覆盖。

　　-u 和-g ：定义域名服务器运行时所使用的UID和GID。这用于丢弃启动时所需要的root特权。

　　-t ：指定当服务器进程处理完命令行参数后所要chroot()的目录。

　　在options节中增加自定义的BIND版本信息，可隐藏BIND服务器的真正版本号。

　　version "No know?";

　　// version 8.2.3;

　　此时如果通过DNS服务查询BIND版本号时，返回的信息就是"No know?"。

　　要禁止DNS域名递归查询，在options(或特定的zone区域)节中增加：

　　recursion no;

　　fetch-glue no;

　　要限制对DNS服务器进行域名查询的主机，在options(或特定的zone区域)节中增加：

　　allow-query { };

　　address_match_list是允许进行域名查询的主机IP列表，如"202.102.24.35; 61.132.57/24;"。

　　要限制对DNS服务器进行域名递归查询的主机，在options(或特定的zone区域)节中增加：

　　allow-recursion { };

　　address_match_list是允许进行域名递归查询的主机IP列表，如 "202.102.24.35; 61.132.57/24;"。

　　要限制对DNS服务器进行区域记录传输的主机，在options(或特定的zone区域)节中增加：

　　allow-transfer { };

　　address_match_list是允许进行区域记录传输的主机IP列表，如"202.102.24.35; 61.132.57/24;"。

　　3、通过TSIG(Transaction Signature)对区域记录传输进行认证和校验。

　　首先请确保BIND域名服务器软件已更新到最新版本，因为最新的BIND版本解决了在以前版本中发现的bug和/或安全漏洞。