【内容导航】
第1页:UNIX系统DNS管理维护
第2页:UNIX的DNS测试与调试工具
第3页:DNS日常的安全管理维护
前面几篇文章介绍了UNIX的概念、创建等。这篇介绍DNS的管理维护。
一、UNIX系统DNS管理维护
1、DNS的启动与停止
如在Solaris 系统中启动与停止DNS的方法:
用root身份登录到系统
#ps –ef|grep named 查看named 的进程号pid
1)重启动named:
# kill –HUP pid
2)停止named:
# kill pid
如在AIX系统中启动与停止DNS的方法:
用root身份登录到系统
1) 启动named:
# startsrc –s named
2) 停止named:
# stopsrc –s named
3)数据库修改后重读数据库:
# refresh –s named
2、让DNS服务随UNIX系统的自动启动
在我们创建与配置好DNS服务器时,当UNIX系统重新启动时,DNS服务一般是不会自动起来的,必须手工启动,这样很麻烦。在Solaris系统中,我们必须要修改 inetd.conf配置文件,找到named的注释行,去掉前面的“#”即可。
在AIX系统中,为了使系统在下一次启动时named能处于工作状态,应打开/etc/rc.tcpip文件中关于named的注释即可(# smit stnamed)。
二、UNIX 的DNS测试与调试工具
在完成DNS的安装及设定后,客户端即可向服务器提出名称解析的要求,使用者可通过相关的工具来对DNS服务器做测试与调试。named提供几种内置的辅助调试工具,其中最重要的是可配置性非常灵活的日志功能;我们可以在命令行指定调试级别或者用ndc设置它们,还可以命令named把运行统计结果转储到一个文件,并用dig或nslookup验证域名查询。
1、首先我们用系统命令 ping 来测试,看是否能拼通
# ping “域名”
在UNIX系统中,如果拼不通,则首先要检查DNS服务是否处于工作状态,其次用UNIX的PS命令查看一下named的进程是否存在如ps –ef|group named;假如进程已有,则要检查DNS的创建过程所有的配置文件的正确与否。
在Windows客户机中,可进入MSDOS方式,如在C/>提示下使用ping hostname命令,其中hostname指所查询的域名全称,如配置正确则立刻显示经过解析的IP地址,否则长时间无显示结果表示配置不正确需查找原因。
2、查看日志系统
named日志工具的灵活性是很好的,BIND4使用系统日志来报告错误消息和反常情况;BIND8通过添加另一个间接层并支持直接将日志计入文件,推广了系统日志的概念。BIND日志是在named.conf中用logging语句配置的,BIND8默认的日志配置为:
logging {
category default {default_syslog;default_debug;};
category panic {default_syslog;default_stderr;};
category eventlib {default_debug;};
category packet {default_debug;};
};
BIND9默认的日志配置为:
logging {
category default {default_syslog;default_debug;};
};
default_syslog:用工具守护进程把info和更高严重性的消息发送到syslog;
default_debug:日志记录到文件named.run,严重性设置为dynamic;
default_stderr:把消息发送给named的标准出错输出,严重性为info。
当DNS运行出错时,我们可以查看系统日志文件syslog以及named.run等,对照有关BIND 错误消息清单(可以在http://www.acmebw.com/askmrdns/bind-messaged.htm网站上下载),找到解决方法。
3、调试级别
named调试级别用从0到11的整数来表示;数字越大,表示输出信息越详细。级别0关闭调试,级别1和2适用于调试配置和数据库,大于4的级别适合代码的维护人员使用。我们可以在named命令行用-d标记调用调试,例如:
# named –d2
将在调试级别2启动named,调试信息写入named.run文件,该文件的位置随UNIX系统的不同而不同。严重性级别越高,则日志记录的信息越多。
4、用ndc调试
ndc命令(在BIND 9中称为rndc)是操作named的一种有利工具,产生文件的命令把文件放到named.conf中被指定为named主目录的目录中。
一些常用的ndc调试命令简单介绍如下:
status:显示运行中的named的当前状态;
dumpdb:把DNS数据库转储到named_dump.db;
stats:把统计转储到named.stats;
reload:重新装载named.conf和区文件;
restart:重新启动named,清空高速缓存;
notrace:关闭调试。
例如named的最新版本保留了查询的统计,我们可以用ndc stats访问它,named接到这条命令时,就将统计写入文件named.stats。
5、使用nslookup、dig和host调试
以shell方式可以使用3种工具来查询DNS数据库:nslookup、dig和host,在BIND的软件发布中包括nslookup和dig。Nslookup是这三个工具中最老的,而且总是随同BIND一起发布;dig是域信息的探索程序,最初由Steve Hotz编写,后来Michael Sawy针对BIND 9将它重新编写,它也和BIND一起发布;host由Eric Wassenaar编写,是另一个开放源代码的工具,其特点是输出对用户很友好,功能是可检查区文件的语法。
另外三者使用的解析器库不同:dig和host使用BIND的解析器,而nslookup有其自身的解析器。
(1)nslookup
输入 nslookup 命令后,会看到 > 提示符号,之后就可输入查询指令。一般会输入IP address或是domain name来做反向及正向的解析。而nslookup不仅提供上述2种解析,亦提供DNS中其它的资料记录型态,例如MX、NS…等等,我们可在提示符号直接输入”?”来获得所有可以使用的参数或资料型态。
# nslookup
Default Server: ghq.js.com
Address: 61.155.107.131
>
(2)dig
用法:dig [ @server ] [ -b address ] [ -c class ]… (详细说明请以"man dig"来查询)
# dig ghq.js.com
送出domain name的查询封包至name server,后面参数可接IP address或domain name来获得name server所提供的相关讯息,同nslookup一样,dig也提供不同资料记录型态,例如MX…等等。
(3)host
host基本上也是dns的查询,后面可接IP address或domain name来获得对应的domain name或IP。
# host ghq.js.com
ghq.js.com has address 61.155.107.131
三、DNS日常的安全管理维护
针对BIND DNS服务软件的安全配置情况,我们要充分利用BIND自身已经实现的保护功能,加强BIND安全性,从而能抵御目前已知的BIND安全漏洞,并使潜在的安全漏洞所可能对服务器造成的影响尽可能地减少。这也是我们针对UNIX DNS日常管理维护非常重要的一项工作。
从DNS服务器的安全运行管理可以考虑采用下面几种方法:
1、采用多个域名服务器应付恶意攻击者,对DNS服务器进行拒绝服务攻击。
如果纯粹从理论上出发,那么一台DNS服务器是完全可以完成所有任务的。当注册了一个域名以后,实际上可以最大为企业的域名设置6个DNS服务器名。如果主域名服务器被人攻击了,可以启用辅域名服务器,如果主辅域名服务器都被同时攻破了,也可以用第三台或第四台域名服务器进行工作,具体设置几个域名服务器可根据企业构建网络情况而设定。
而对于广大的用户而言,当出现这种多个DNS服务器停止服务带来的唯一的影响就是查询域名的时候会延迟,因为它需要一个一个的去查询,直到找到最后的一个为止。
2、启动BIND(DNS)安全选项来进行配置。
named进程启动选项如下:
-r:关闭域名服务器的递归查询功能(缺省为打开)。该选项可在配置文件的
options中使用"recursion"选项覆盖。
-u <user_name>和-g <group_name>:定义域名服务器运行时所使用的UID和GID。 这用于丢弃启动时所需要的root特权。
-t <directory>:指定当服务器进程处理完命令行参数后所要chroot()的目录。
在options节中增加自定义的BIND版本信息,可隐藏BIND服务器的真正版本号。
version "No know?";
// version 8.2.3;
此时如果通过DNS服务查询BIND版本号时,返回的信息就是"No know?"。
要禁止DNS域名递归查询,在options(或特定的zone区域)节中增加:
recursion no;
fetch-glue no;
要限制对DNS服务器进行域名查询的主机,在options(或特定的zone区域)节中增加:
allow-query { <address_match_list> };
address_match_list是允许进行域名查询的主机IP列表,如"202.102.24.35; 61.132.57/24;"。
要限制对DNS服务器进行域名递归查询的主机,在options(或特定的zone区域)节中增加:
allow-recursion { <address_match_list> };
address_match_list是允许进行域名递归查询的主机IP列表,如 "202.102.24.35; 61.132.57/24;"。
l 要限制对DNS服务器进行区域记录传输的主机,在options(或特定的zone区域)节中增加:
allow-transfer { <address_match_list> };
address_match_list是允许进行区域记录传输的主机IP列表,如"202.102.24.35; 61.132.57/24;"。
3、通过TSIG(Transaction Signature)对区域记录传输进行认证和校验。
首先请确保BIND域名服务器软件已更新到最新版本,因为最新的BIND版本解决了在以前版本中发现的bug和/或安全漏洞。
如果需要用TSIG签名来进行安全的DNS数据库手工更新,具体操作步骤很简单:
① 用BIND自带的dnskeygen工具生成TSIG密钥。
# dnskeygen -H 128 -h -n tsig-key.
则会生成两个文件,将它们放到本地域名服务器的配置文件中,记住要重启named守护进程。 然后将这两个密钥文件复制到客户端系统(或辅助域名服务器),例如为/etc/tsig目录。最后运行如下命令即可:
nsupdate -k /etc/tsig:tsig-key.
② 如果需要对区域记录传输(自动或手工)进行TSIG签名,则有两种方法:
第一种方法:用dnskeygen生成TSIG密钥,方法同上。
第二种方法:主域名服务器配置文件的内容(节选)如下:
// 定义认证的方法和共享密钥
key master-slave {
algorithm hmac-md5;
secret "mZiMNOUYQPMNwsDzrX2ENw==";
};
// 定义辅助域名服务器的一些特性
server 61.132.62.137 {
transfer-format many-answers;
keys { master-slave; };
};
// 区域记录定义
zone "ghq.js.com"
type master;
file ghq.js.com
allow-transfer { 61.132.62.137; };
};
总之,我们在对BIND进行安全增强配置的基础上,仍然需要密切关注最新的安全公告、安全补丁和安全技术,要经常向有关的安全专家请教,再辅以必要的安全产品和安全服务,才能更充分地保护好企业的网络,抵御各种恶意攻击,确保UNIX系统环境下DNS服务器正常安全稳定的运行。