服务器知识手册（十九）-文学教育读本.pdfVIP

服 务 器 知 识 手 册 狄 十 登 峰 九 主 编 目 录 域名服务器1 数据库应用23 MySQL数据导入与导出 1 服务器知识手册 十九 域名服务器 BIND8+域名服务器安全增强 为什么要写这篇文章 第一个原因当然就是前段时 间出现的BIND8.2.xTSIG 安全漏洞 还有去年公布的B IND8.1.x/8.2.xNXT 安全漏洞 直到目前为止 国内也 还没有关于 DNS 服务安全配置方面的较为完整的文章 即使是国外也不多见 另一个原因是经过调查发现 几乎任何一种 UNIX 家族的操作系统 都使用BIND 软件作为其DNS 的唯一 实现 比起其它诸如ftp/http/pop3 等网络服务有各种各 样的发行版本 所以一旦被发现有安全问题 则受影响 的主机之多也是其它漏洞很难比拟的 所以觉得应该写 一份针对 BINDDNS 服务软件的安全配置资料 充分利 用BIND 自身已经实现的保护功能 加强BIND 安全性 从而能抵御目前已知的 BIND 安全漏洞 并使潜在的安 全漏洞所可能对服务器造成的影响尽可能地减少 一配置环境 . FreeBSD4.1-RELEASE BIND8.2.3 二 启动安全选项 . named 进程启动选项 -r 关闭域名服务器的递归查询功能 缺省为打开 该选项可在配置文件的 2 服务器知识手册 十九 options 中使用recursion选项覆盖 -u -g UID G 和 定义域名服务器运行时所使用的 和 ID 这用于丢弃启动时所需要的root 特权 -t 指定当服务器进程处理完命令行参数后所要chr oot() 的目录 三 配置文件中的安全选项 . 1 假如希望记录安全事件到文件中 但同时还希望 保持原有的日志模式 可以添加以下内容 logging { channelmy_security_channel{ filemy_security_file.logversions3size20m; severityinfo; }; categorysecurity{ m