栏目导航
热点推荐
- 妙用DNS解析实现防火墙客户的重
- 上网提速,从架设简易DNS开始
- 网管经验谈:激发DNS潜能 自有主
- 网管经验谈:激发DNS潜能 自有主
- DNS欺骗的作用详解
- 使用DNS服务器实现负载均衡
- Win2000动态DNS的安全应用策略
- 如何在Linux服务器上设置DNS
- Windows 2003上网配置DNS的技巧
- 关于DNS服务器的配置问题(推荐)
阅览排行
UNIX下DNS服务器之管理维护篇
www.jz123.cn 2009-04-15 来源: IT专家网 责任编辑(袁袁) 我要投递新闻
如果需要用TSIG签名来进行安全的DNS数据库手工更新,具体操作步骤很简单:
① 用BIND自带的dnskeygen工具生成TSIG密钥。
# dnskeygen -H 128 -h -n tsig-key.
则会生成两个文件,将它们放到本地域名服务器的配置文件中,记住要重启named守护进程。 然后将这两个密钥文件复制到客户端系统(或辅助域名服务器),例如为/etc/tsig目录。最后运行如下命令即可:
nsupdate -k /etc/tsig:tsig-key.
② 如果需要对区域记录传输(自动或手工)进行TSIG签名,则有两种方法:
第一种方法:用dnskeygen生成TSIG密钥,方法同上。
第二种方法:主域名服务器配置文件的内容(节选)如下:
// 定义认证的方法和共享密钥
key master-slave {
algorithm hmac-md5;
secret "mZiMNOUYQPMNwsDzrX2ENw==";
};
// 定义辅助域名服务器的一些特性
server 61.132.62.137 {
transfer-format many-answers;
keys { master-slave; };
};
// 区域记录定义
zone "ghq.js.com"
type master;
file ghq.js.com
allow-transfer { 61.132.62.137; };
};
总之,我们在对BIND进行安全增强配置的基础上,仍然需要密切关注最新的安全公告、安全补丁和安全技术,要经常向有关的安全专家请教,再辅以必要的安全产品和安全服务,才能更充分地保护好企业的网络,抵御各种恶意攻击,确保UNIX系统环境下DNS服务器正常安全稳定的运行。
上一篇:域名系统的安全协议DNSSEC全面解析 下一篇:Windows2003自带的DNS服务配置方法