亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

  免費(fèi)注冊(cè) 查看新帖 |

Chinaunix

  平臺(tái) 論壇 博客 文庫(kù)
123下一頁(yè)
最近訪問板塊 發(fā)新帖
查看: 22915 | 回復(fù): 26
打印 上一主題 下一主題

[DNS] dns配置高級(jí)篇(我這里拋磚引玉了) [復(fù)制鏈接]

論壇徽章:
0
跳轉(zhuǎn)到指定樓層
1 [收藏(0)] [報(bào)告]
發(fā)表于 2003-02-16 19:43 |只看該作者 |倒序?yàn)g覽
作者cpss  http://cpss.zz.ha.cn

  歡迎轉(zhuǎn)載,但必須注明出處和作者名稱。



Dns配置高級(jí)篇



這里假設(shè)你已經(jīng)獨(dú)立或參考我的《架設(shè)dns攻略》將dns服務(wù)器成功架設(shè)起來,并且dns已經(jīng)能夠正常運(yùn)行了。



現(xiàn)在我們dns開始工作了,是不是我們的工作已經(jīng)OK了呢?不,不,不,named.conf文件還有很多東西需要我們配置呢。

DNS的配置文件named.conf是有非常多的可選項(xiàng)的,這里只是介紹一點(diǎn)常用的配置。如果你覺得還想繼續(xù)研究下去,那也不需要在網(wǎng)上到處找資料的,直接用“man named.conf”就可以得到一個(gè)非常非常詳細(xì)的說明。

這里首先感謝我的同事yiming先生對(duì)服務(wù)器安全性的不懈研究,否則我們也不會(huì)經(jīng)常安裝、配置最新版本的DNS服務(wù)器了。而且,這個(gè)named.conf是他配置的。好了,言歸正傳,F(xiàn)ollow me,我們繼續(xù)。





1.Options 我們通過options可以定制一個(gè)性能更優(yōu)、安全性更高的dns服務(wù)器。

Version “I am cpss”;         

別人想探測(cè)我們dns版本,然后根據(jù)該版本的漏洞來攻擊我們。休想!配置了這條命令后,別人再探測(cè)的版本后就是“I am cpss”了,呵呵。

Allow-transfer {192.168.1.1;192.168.1.4;};

如果沒有配置這一條命令,任何人都可以通過nslookup工具來得到你域里面的zone文件,也就是說他得到了你的主機(jī)列表,然后再分析,再……。當(dāng)然,slave dns需要你允許它能夠傳送,否則它就得不到master dns上的zone文件,也就沒辦法工作了。這里假設(shè)192.168.1.1和192.168.1.4是該dns服務(wù)器的slave服務(wù)器,在master服務(wù)器上配置了如上命令。

Listen-on{192.168.1.2;};

增加上這條命令,啟動(dòng)dns時(shí)就不會(huì)監(jiān)聽所有網(wǎng)絡(luò)接口的53端口了,只監(jiān)聽指定網(wǎng)絡(luò)接口的53端口。

Blackhole {hatenets;};

我們不想讓某些網(wǎng)段使用我們的dns服務(wù)器,就用這條命令吧。不過還需要配置一個(gè)acl來定義匹配的網(wǎng)段,如下所示:

acl hatenets {

1.0.0.0/8;

2.0.0.0/8;

};
這兩個(gè)網(wǎng)段的地址是無(wú)法使用我們的dns了。





2.logging 通過該選項(xiàng),我們可以生成我們想要的日志。通過日志,我們可以更好地維護(hù)dns服務(wù)器。

Logging {

        Channel syslog_info {

        File  “/var/log/bindall.log” versions 20 size 2m;

        Print-category yes;

        Print-time yes;

        Severity notice;

                      };

        category         default {

               syslog_info;

                                    };

        };
上例中我們建立了一個(gè)安全級(jí)別為notice的日志,dns的報(bào)錯(cuò)信息都會(huì)存放在“/var/log/bindall.log”日志文件了,分析該文件,我們就能輕松找出dns工作不正常的原因了。

Logging里面的安全級(jí)別很多,大家可以根據(jù)自己需要來制定一個(gè)或多個(gè)logging。下面是logging的語(yǔ)法:

     logging {

            [ channel channel_name {

              ( file path_name

                 [ versions ( number | unlimited ) ]

                 [ size size_spec ]

               | syslog ( kern | user | mail | daemon | auth | syslog | lpr |

                          news | uucp | cron | authpriv | ftp |

                          local0 | local1 | local2 | local3 |

                          local4 | local5 | local6 | local7 )

               | null );



              [ severity ( critical | error | warning | notice |

                           info  | debug [ level ] | dynamic ); ]

              [ print-category yes_or_no; ]

              [ print-severity yes_or_no; ]

              [ print-time yes_or_no; ]

            }; ]



            [ category category_name {

              channel_name; [ channel_name; ... ]

            }; ]

            ...

          };




3. 這里是我們named.conf樣本,希望能對(duì)你有所幫助。

4.最新版本(2002年11月5日)的named.ca文件。

論壇徽章:
0
2 [報(bào)告]
發(fā)表于 2003-02-16 19:45 |只看該作者

dns配置高級(jí)篇(我這里拋磚引玉了)

我們named.conf的樣本

acl hatenets {

    1.0.0.0/8;

    2.0.0.0/8;

};



options {

        files  10000;

# boot file for name server

#

        directory "/var/named";

        version "I am cpss";

        notify no;

        datasize 300m;

        allow-transfer {192.168.1.1;

                        192.168.1.4;

                                        };

                        

        blackhole { hatenets; };

        interface-interval 0;

        cleaning-interval 120;

        listen-on {192.168.1.2;

                };

        statistics-interval 60;





logging {

        channel syslog_query {

        file "/var/log/bindquery.log" ;

        severity notice;

                        };



        channel syslog_info {

        file "/var/log/bindall.log" versions 20 size 2m;

        print-category yes;

        print-time yes;

        print-severity yes;

        severity notice;

                        };

        

        channel syslog_manitenance {

        file "/var/log/bindmaint.log" versions 10 size 2m;

        severity notice;        

                                };



        channel syslog_secu {

                syslog local6;

                severity info;

                        };



        channel syslog_xfer {

        file "/var/log/bindxfer.log" versions 20 size 2m;

         print-category yes;

        print-time yes;

        print-severity yes;

        severity notice;

                        };

        

        



        channel syslog_os {

        syslog local3;

        severity info;

                };



        channel syslog_panic {

        syslog local4;

        severity info;

                        };



        channel syslog_stat {

        syslog local5;

        severity info;

                        };



        channel syslog_config {

        file "/var/log/bind_config.log" versions 20 size 2m;

        print-category yes;

        print-time yes;

        print-severity yes;

        severity info;

                        };

category        "xfer-in" {

        syslog_xfer;

                };





category        default {

        syslog_info;

                        };



category        security {

        syslog_secu;

                        };





category        os      {

        syslog_os;



                        };



category        panic   {

        syslog_panic;

                        };



category        statistics {

        syslog_stat;

                        };



category        config {

        syslog_config;

                        };



category        maintenance {

        syslog_manitenance;

                        };





category lame-servers {null; };



category cname {null; };



};



#

# type domain source host/file

#

zone "." {

        type hint;

        file "/var/named/named.ca";

};



zone "0.0.127.IN-ADDR.ARPA" {

        type master;

        file "local.rev";

};

論壇徽章:
1
榮譽(yù)版主 日期:2011-11-23 16:44:17
3 [報(bào)告]
發(fā)表于 2003-02-16 21:20 |只看該作者

dns配置高級(jí)篇(我這里拋磚引玉了)

又學(xué)到不少東西! 謝謝 cpss 兄!

論壇徽章:
0
4 [報(bào)告]
發(fā)表于 2003-02-17 08:26 |只看該作者

dns配置高級(jí)篇(我這里拋磚引玉了)

真不錯(cuò)

論壇徽章:
0
5 [報(bào)告]
發(fā)表于 2003-02-17 09:32 |只看該作者

dns配置高級(jí)篇(我這里拋磚引玉了)

收益非淺,對(duì)了老兄對(duì)智能dns有沒有好的建議,比如做負(fù)載平衡。

論壇徽章:
1
榮譽(yù)版主 日期:2011-11-23 16:44:17
6 [報(bào)告]
發(fā)表于 2003-02-17 11:34 |只看該作者

dns配置高級(jí)篇(我這里拋磚引玉了)

好東西,真不錯(cuò)。

論壇徽章:
0
7 [報(bào)告]
發(fā)表于 2003-02-17 15:05 |只看該作者

dns配置高級(jí)篇(我這里拋磚引玉了)

good!

論壇徽章:
0
8 [報(bào)告]
發(fā)表于 2003-02-18 13:52 |只看該作者

dns配置高級(jí)篇(我這里拋磚引玉了)

論壇徽章:
0
9 [報(bào)告]
發(fā)表于 2003-02-18 15:38 |只看該作者

dns配置高級(jí)篇(我這里拋磚引玉了)

兄弟,寫得真不錯(cuò),我也配過DNS,不過不是最安全的呀。!看了你的,廁所的門一下子就打開了

論壇徽章:
0
10 [報(bào)告]
發(fā)表于 2003-03-16 13:19 |只看該作者

dns配置高級(jí)篇(我這里拋磚引玉了)

我覺的version 設(shè)置不妥.
如果別人看到.I am cpss的響應(yīng),一下就可以知道bind版本在8.2之上了.因?yàn)榕f版本的bind沒有
version語(yǔ)句.我覺的把他設(shè)置為一個(gè)舊的版本號(hào)更好.
您需要登錄后才可以回帖 登錄 | 注冊(cè)

本版積分規(guī)則 發(fā)表回復(fù)

  

北京盛拓優(yōu)訊信息技術(shù)有限公司. 版權(quán)所有 京ICP備16024965號(hào)-6 北京市公安局海淀分局網(wǎng)監(jiān)中心備案編號(hào):11010802020122 niuxiaotong@pcpop.com 17352615567
未成年舉報(bào)專區(qū)
中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)會(huì)員  聯(lián)系我們:huangweiwei@itpub.net
感謝所有關(guān)心和支持過ChinaUnix的朋友們 轉(zhuǎn)載本站內(nèi)容請(qǐng)注明原作者名及出處

清除 Cookies - ChinaUnix - Archiver - WAP - TOP