栏目导航

热点推荐

www.jz123.cn 2009-04-15 来源: IT专家网责任编辑(袁袁) 我要投递新闻

　　如果需要用TSIG签名来进行安全的DNS数据库手工更新，具体操作步骤很简单：

　　① 用BIND自带的dnskeygen工具生成TSIG密钥。

　　# dnskeygen -H 128 -h -n tsig-key.

　　则会生成两个文件，将它们放到本地域名服务器的配置文件中，记住要重启named守护进程。然后将这两个密钥文件复制到客户端系统(或辅助域名服务器)，例如为/etc/tsig目录。最后运行如下命令即可：

　　nsupdate -k /etc/tsig:tsig-key.

　　② 如果需要对区域记录传输(自动或手工)进行TSIG签名，则有两种方法：

　　第一种方法：用dnskeygen生成TSIG密钥，方法同上。

　　第二种方法：主域名服务器配置文件的内容(节选)如下：

　　// 定义认证的方法和共享密钥

　　key master-slave {

　　algorithm hmac-md5;

　　secret "mZiMNOUYQPMNwsDzrX2ENw==";

　　};

　　// 定义辅助域名服务器的一些特性

　　server 61.132.62.137 {

　　transfer-format many-answers;

　　keys { master-slave; };

　　};

　　// 区域记录定义

　　zone "ghq.js.com"

　　type master;

　　file ghq.js.com

　　allow-transfer { 61.132.62.137; };

　　};

　　总之，我们在对BIND进行安全增强配置的基础上，仍然需要密切关注最新的安全公告、安全补丁和安全技术，要经常向有关的安全专家请教，再辅以必要的安全产品和安全服务，才能更充分地保护好企业的网络，抵御各种恶意攻击，确保UNIX系统环境下DNS服务器正常安全稳定的运行。