栏目导航
热点推荐
- 妙用DNS解析实现防火墙客户的重
- 上网提速,从架设简易DNS开始
- 网管经验谈:激发DNS潜能 自有主
- 网管经验谈:激发DNS潜能 自有主
- DNS欺骗的作用详解
- 使用DNS服务器实现负载均衡
- Win2000动态DNS的安全应用策略
- 如何在Linux服务器上设置DNS
- Windows 2003上网配置DNS的技巧
- 关于DNS服务器的配置问题(推荐)
阅览排行
UNIX下DNS服务器之管理维护篇
www.jz123.cn 2009-04-15 来源: IT专家网 责任编辑(袁袁) 我要投递新闻
2、启动BIND(DNS)安全选项来进行配置。
named进程启动选项如下:
-r:关闭域名服务器的递归查询功能(缺省为打开)。该选项可在配置文件的
options中使用"recursion"选项覆盖。
-u 和-g :定义域名服务器运行时所使用的UID和GID。 这用于丢弃启动时所需要的root特权。
-t :指定当服务器进程处理完命令行参数后所要chroot()的目录。
在options节中增加自定义的BIND版本信息,可隐藏BIND服务器的真正版本号。
version "No know?";
// version 8.2.3;
此时如果通过DNS服务查询BIND版本号时,返回的信息就是"No know?"。
要禁止DNS域名递归查询,在options(或特定的zone区域)节中增加:
recursion no;
fetch-glue no;
要限制对DNS服务器进行域名查询的主机,在options(或特定的zone区域)节中增加:
allow-query { };
address_match_list是允许进行域名查询的主机IP列表,如"202.102.24.35; 61.132.57/24;"。
要限制对DNS服务器进行域名递归查询的主机,在options(或特定的zone区域)节中增加:
allow-recursion { };
address_match_list是允许进行域名递归查询的主机IP列表,如 "202.102.24.35; 61.132.57/24;"。
要限制对DNS服务器进行区域记录传输的主机,在options(或特定的zone区域)节中增加:
allow-transfer { };
address_match_list是允许进行区域记录传输的主机IP列表,如"202.102.24.35; 61.132.57/24;"。
3、通过TSIG(Transaction Signature)对区域记录传输进行认证和校验。
首先请确保BIND域名服务器软件已更新到最新版本,因为最新的BIND版本解决了在以前版本中发现的bug和/或安全漏洞。
上一篇:域名系统的安全协议DNSSEC全面解析 下一篇:Windows2003自带的DNS服务配置方法