UNIX下DNS服務(wù)器之管理維護(hù)篇

qunlee

前面幾篇文章介紹了UNIX的概念、創(chuàng)建等。這篇介紹DNS的管理維護(hù)。
一、UNIX系統(tǒng)DNS管理維護(hù)
   1、DNS的啟動(dòng)與停止
    如在Solaris 系統(tǒng)中啟動(dòng)與停止DNS的方法：
    用root身份登錄到系統(tǒng)
    #ps –ef|grep named  查看named 的進(jìn)程號(hào)pid
    1）重啟動(dòng)named：
    # kill –HUP pid
    2）停止named：
    # kill pid
    如在AIX系統(tǒng)中啟動(dòng)與停止DNS的方法：
    用root身份登錄到系統(tǒng)
    1) 啟動(dòng)named：
    # startsrc –s named
   2) 停止named：
    # stopsrc –s named
   3）數(shù)據(jù)庫修改后重讀數(shù)據(jù)庫：
   # refresh –s named
   
    2、讓DNS服務(wù)隨UNIX系統(tǒng)的自動(dòng)啟動(dòng)
    在我們創(chuàng)建與配置好DNS服務(wù)器時(shí)，當(dāng)UNIX系統(tǒng)重新啟動(dòng)時(shí)，DNS服務(wù)一般是不會(huì)自動(dòng)起來的，必須手工啟動(dòng)，這樣很麻煩。在Solaris系統(tǒng)中，我們必須要修改 inetd.conf配置文件，找到named的注釋行，去掉前面的“#”即可。
    在AIX系統(tǒng)中，為了使系統(tǒng)在下一次啟動(dòng)時(shí)named能處于工作狀態(tài)，應(yīng)打開/etc/rc.tcpip文件中關(guān)于named的注釋即可（# smit stnamed）。
二、UNIX 的DNS測試與調(diào)試工具
    在完成DNS的安裝及設(shè)定后，客戶端即可向服務(wù)器提出名稱解析的要求，使用者可通過相關(guān)的工具來對DNS服務(wù)器做測試與調(diào)試。named提供幾種內(nèi)置的輔助調(diào)試工具，其中最重要的是可配置性非常靈活的日志功能；我們可以在命令行指定調(diào)試級別或者用ndc設(shè)置它們，還可以命令named把運(yùn)行統(tǒng)計(jì)結(jié)果轉(zhuǎn)儲(chǔ)到一個(gè)文件，并用dig或nslookup驗(yàn)證域名查詢。
   1、首先我們用系統(tǒng)命令 ping 來測試，看是否能拼通
    # ping “域名”
    在UNIX系統(tǒng)中，如果拼不通，則首先要檢查DNS服務(wù)是否處于工作狀態(tài)，其次用UNIX的PS命令查看一下named的進(jìn)程是否存在如ps –ef|group named；假如進(jìn)程已有，則要檢查DNS的創(chuàng)建過程所有的配置文件的正確與否。
    在Windows客戶機(jī)中，可進(jìn)入MSDOS方式，如在C\>提示下使用ping hostname命令，其中hostname指所查詢的域名全稱，如配置正確則立刻顯示經(jīng)過解析的IP地址，否則長時(shí)間無顯示結(jié)果表示配置不正確需查找原因。
    2、查看日志系統(tǒng)
    named日志工具的靈活性是很好的，BIND4使用系統(tǒng)日志來報(bào)告錯(cuò)誤消息和反常情況；BIND8通過添加另一個(gè)間接層并支持直接將日志計(jì)入文件，推廣了系統(tǒng)日志的概念。BIND日志是在named.conf中用logging語句配置的，BIND8默認(rèn)的日志配置為：
logging {
category default {default_syslog;default_debug;};
category panic {default_syslog;default_stderr;};
category eventlib {default_debug;};
category packet {default_debug;};
};
BIND9默認(rèn)的日志配置為：
logging {
category default {default_syslog;default_debug;};
};
default_syslog：用工具守護(hù)進(jìn)程把info和更高嚴(yán)重性的消息發(fā)送到syslog；
default_debug：日志記錄到文件named.run，嚴(yán)重性設(shè)置為dynamic；
default_stderr：把消息發(fā)送給named的標(biāo)準(zhǔn)出錯(cuò)輸出，嚴(yán)重性為info。
當(dāng)DNS運(yùn)行出錯(cuò)時(shí)，我們可以查看系統(tǒng)日志文件syslog以及named.run等，對照有關(guān)BIND 錯(cuò)誤消息清單（可以在
http://www.acmebw.com/askmrdns/bind-messaged.htm
網(wǎng)站上下載），找到解決方法。
   3、調(diào)試級別
    named調(diào)試級別用從0到11的整數(shù)來表示；數(shù)字越大，表示輸出信息越詳細(xì)。級別0關(guān)閉調(diào)試，級別1和2適用于調(diào)試配置和數(shù)據(jù)庫，大于4的級別適合代碼的維護(hù)人員使用。我們可以在named命令行用-d標(biāo)記調(diào)用調(diào)試，例如：
# named –d2
    將在調(diào)試級別2啟動(dòng)named，調(diào)試信息寫入named.run文件，該文件的位置隨UNIX系統(tǒng)的不同而不同。嚴(yán)重性級別越高，則日志記錄的信息越多。
    4、用ndc調(diào)試
    ndc命令（在BIND 9中稱為rndc）是操作named的一種有利工具，產(chǎn)生文件的命令把文件放到named.conf中被指定為named主目錄的目錄中。
一些常用的ndc調(diào)試命令簡單介紹如下：
status：顯示運(yùn)行中的named的當(dāng)前狀態(tài)；
dumpdb：把DNS數(shù)據(jù)庫轉(zhuǎn)儲(chǔ)到named_dump.db；
stats：把統(tǒng)計(jì)轉(zhuǎn)儲(chǔ)到named.stats；
reload：重新裝載named.conf和區(qū)文件；
restart：重新啟動(dòng)named，清空高速緩存；
notrace：關(guān)閉調(diào)試。
    例如named的最新版本保留了查詢的統(tǒng)計(jì)，我們可以用ndc stats訪問它，named接到這條命令時(shí)，就將統(tǒng)計(jì)寫入文件named.stats。
    5、使用nslookup、dig和host調(diào)試
    以shell方式可以使用3種工具來查詢DNS數(shù)據(jù)庫：nslookup、dig和host，在BIND的軟件發(fā)布中包括nslookup和dig。Nslookup是這三個(gè)工具中最老的，而且總是隨同BIND一起發(fā)布；dig是域信息的探索程序，最初由Steve Hotz編寫，后來Michael Sawy針對BIND 9將它重新編寫，它也和BIND一起發(fā)布；host由Eric Wassenaar編寫，是另一個(gè)開放源代碼的工具，其特點(diǎn)是輸出對用戶很友好，功能是可檢查區(qū)文件的語法。
    另外三者使用的解析器庫不同：dig和host使用BIND的解析器，而nslookup有其自身的解析器。
    （1）nslookup
    輸入 nslookup 命令后，會(huì)看到 > 提示符號(hào)，之后就可輸入查詢指令。一般會(huì)輸入IP address或是domain name來做反向及正向的解析。而nslookup不僅提供上述2種解析，亦提供DNS中其它的資料記錄型態(tài)，例如MX、NS…等等，我們可在提示符號(hào)直接輸入”?”來獲得所有可以使用的參數(shù)或資料型態(tài)。
# nslookup
Default Server: ghq.js.com
Address:  61.155.107.131
>
   （2）dig
    用法：dig [ @server ] [ -b address ] [ -c class ]… (詳細(xì)說明請以"man dig"來查詢)
# dig ghq.js.com
    送出domain name的查詢封包至name server，后面參數(shù)可接IP address或domain name來獲得name server所提供的相關(guān)訊息，同nslookup一樣，dig也提供不同資料記錄型態(tài)，例如MX…等等。
    （3）host
    host基本上也是dns的查詢，后面可接IP address或domain name來獲得對應(yīng)的domain name或IP。
# host ghq.js.com
ghq.js.com has address  61.155.107.131
三、DNS日常的安全管理維護(hù)
    針對BIND DNS服務(wù)軟件的安全配置情況，我們要充分利用BIND自身已經(jīng)實(shí)現(xiàn)的保護(hù)功能，加強(qiáng)BIND安全性，從而能抵御目前已知的BIND安全漏洞，并使?jié)撛诘陌踩�漏洞所可能對服�?wù)器造成的影響盡可能地減少。這也是我們針對UNIX DNS日常管理維護(hù)非常重要的一項(xiàng)工作。
    從DNS服務(wù)器的安全運(yùn)行管理可以考慮采用下面幾種方法：
    1、采用多個(gè)域名服務(wù)器應(yīng)付惡意攻擊者，對DNS服務(wù)器進(jìn)行拒絕服務(wù)攻擊。
    如果純粹從理論上出發(fā)，那么一臺(tái)DNS服務(wù)器是完全可以完成所有任務(wù)的。當(dāng)注冊了一個(gè)域名以后，實(shí)際上可以最大為企業(yè)的域名設(shè)置6個(gè)DNS服務(wù)器名。如果主域名服務(wù)器被人攻擊了，可以啟用輔域名服務(wù)器，如果主輔域名服務(wù)器都被同時(shí)攻破了，也可以用第三臺(tái)或第四臺(tái)域名服務(wù)器進(jìn)行工作，具體設(shè)置幾個(gè)域名服務(wù)器可根據(jù)企業(yè)構(gòu)建網(wǎng)絡(luò)情況而設(shè)定。
    而對于廣大的用戶而言，當(dāng)出現(xiàn)這種多個(gè)DNS服務(wù)器停止服務(wù)帶來的唯一的影響就是查詢域名的時(shí)候會(huì)延遲，因?yàn)樗�需要一個(gè)一個(gè)的去查詢，直到找到最后的一個(gè)為止。
    2、啟動(dòng)BIND（DNS）安全選項(xiàng)來進(jìn)行配置。
    named進(jìn)程啟動(dòng)選項(xiàng)如下：
-r：關(guān)閉域名服務(wù)器的遞歸查詢功能（缺省為打開）。該選項(xiàng)可在配置文件的
    options中使用"recursion"選項(xiàng)覆蓋。
-u 和-g ：定義域名服務(wù)器運(yùn)行時(shí)所使用的UID和GID。  這用于丟棄啟動(dòng)時(shí)所需要的root特權(quán)。
-t ：指定當(dāng)服務(wù)器進(jìn)程處理完命令行參數(shù)后所要chroot()的目錄。
    在options節(jié)中增加自定義的BIND版本信息，可隱藏BIND服務(wù)器的真正版本號(hào)。
version "No know?";
// version 8.2.3;
    此時(shí)如果通過DNS服務(wù)查詢BIND版本號(hào)時(shí)，返回的信息就是"No know?"。
    要禁止DNS域名遞歸查詢，在options（或特定的zone區(qū)域）節(jié)中增加：
recursion no;
fetch-glue no;
    要限制對DNS服務(wù)器進(jìn)行域名查詢的主機(jī)，在options（或特定的zone區(qū)域）節(jié)中增加：
allow-query {  };
address_match_list是允許進(jìn)行域名查詢的主機(jī)IP列表，如"202.102.24.35; 61.132.57/24;"。
    要限制對DNS服務(wù)器進(jìn)行域名遞歸查詢的主機(jī)，在options（或特定的zone區(qū)域）節(jié)中增加：
allow-recursion {  };
address_match_list是允許進(jìn)行域名遞歸查詢的主機(jī)IP列表，如 "202.102.24.35; 61.132.57/24;"。
l 要限制對DNS服務(wù)器進(jìn)行區(qū)域記錄傳輸?shù)闹鳈C(jī)，在options（或特定的zone區(qū)域）節(jié)中增加：
allow-transfer {  };
address_match_list是允許進(jìn)行區(qū)域記錄傳輸?shù)闹鳈C(jī)IP列表，如"202.102.24.35; 61.132.57/24;"。
    3、通過TSIG（Transaction Signature）對區(qū)域記錄傳輸進(jìn)行認(rèn)證和校驗(yàn)。
    首先請確保BIND域名服務(wù)器軟件已更新到最新版本，因?yàn)樽钚碌腂IND版本解決了在以前版本中發(fā)現(xiàn)的bug和/或安全漏洞。
    如果需要用TSIG簽名來進(jìn)行安全的DNS數(shù)據(jù)庫手工更新，具體操作步驟很簡單：
    ①  用BIND自帶的dnskeygen工具生成TSIG密鑰。
# dnskeygen -H 128 -h -n tsig-key.
    則會(huì)生成兩個(gè)文件，將它們放到本地域名服務(wù)器的配置文件中，記住要重啟named守護(hù)進(jìn)程。 然后將這兩個(gè)密鑰文件復(fù)制到客戶端系統(tǒng)（或輔助域名服務(wù)器），例如為/etc/tsig目錄。最后運(yùn)行如下命令即可：
nsupdate -k /etc/tsig:tsig-key.
    ② 如果需要對區(qū)域記錄傳輸（自動(dòng)或手工）進(jìn)行TSIG簽名，則有兩種方法：
   第一種方法：用dnskeygen生成TSIG密鑰，方法同上。
   第二種方法：主域名服務(wù)器配置文件的內(nèi)容（節(jié)選）如下：
// 定義認(rèn)證的方法和共享密鑰
key master-slave {
        algorithm hmac-md5;
        secret "mZiMNOUYQPMNwsDzrX2ENw==";
};
// 定義輔助域名服務(wù)器的一些特性
server 61.132.62.137 {
        transfer-format many-answers;
        keys { master-slave; };
};
// 區(qū)域記錄定義
zone "ghq.js.com"
       type master;
        file ghq.js.com
        allow-transfer { 61.132.62.137; };
};
    總之，我們在對BIND進(jìn)行安全增強(qiáng)配置的基礎(chǔ)上，仍然需要密切關(guān)注最新的安全公告、安全補(bǔ)丁和安全技術(shù)，要經(jīng)常向有關(guān)的安全專家請教，再輔以必要的安全產(chǎn)品和安全服務(wù)，才能更充分地保護(hù)好企業(yè)的網(wǎng)絡(luò)，抵御各種惡意攻擊，確保UNIX系統(tǒng)環(huán)境下DNS服務(wù)器正常安全穩(wěn)定的運(yùn)行。


本文來自ChinaUnix博客，如果查看原文請點(diǎn)：http://blog.chinaunix.net/u/13492/showart_252285.html