Linux 安全与优化:红帽版 - 实战指南
上一页第 21 章. 软件 - 网络下一页

21.4. 主要权威名称服务器

区域的权威权威名称服务器从其主机上的文件中读取该区域的数据,并且是该区域的权威来源。设置主权威名称服务器所需的文件包括

  1. named.conf

  2. db.127.0.0

  3. db.208.164.186

  4. db.openna

  5. db.cache

  6. named 脚本

要配置/etc/named.conf文件用于权威名称服务器,请对网络上充当名称服务器的服务器使用此配置。编译 DNS(域名系统)后,您需要设置一个服务器的域名。我们将使用openna.com作为示例域名,并假设您正在使用 IP(互联网协议)网络地址208.164.186.0.要执行此操作,请将以下行添加到您的/etc/named.conf。创建named.conf文件 touch/etc/named.conf并添加
 options {
 directory "/var/named";
 fetch-glue no;                    (1)
 recursion no;                     (2)
 allow-query { 208.164.186/24; 127.0.0/8; };  (3)
 allow-transfer { 208.164.186.2; };           (4)
 transfer-format many-answers;
 };

 // These files are not specific to any zone
 zone "." in {
 type hint;
 file "db.cache";
 };

 zone "0.0.127.in-addr.arpa" in {
 type master;
 file "db.127.0.0";
 };

 // These are our primary zone files
 zone "openna.com" in {
 type master;
 file "db.openna ";
 };

 zone "186.164.208.in-addr.arpa" in {
 type master;
 file "db.208.164.186";
 };

(1)(2)
fetch-glueno 选项可以与选项recursion no结合使用,以防止服务器的缓存增长或损坏。此外,禁用递归会将您的名称服务器置于被动模式,告诉它永远不要代表其他名称服务器或解析器发送查询。非递归名称服务器非常难以欺骗,因为它不发送查询,因此不缓存任何数据。
(3)
在 allow-query 行中,208.164.186/24 和 127.0.0/8 是允许向服务器询问普通问题的 IP 地址。
(4)
在 allow-transfer 行中,208.164.186.2 是允许从服务器接收区域传送的 IP 地址。您必须确保只有您真正的辅助名称服务器可以从您的名称服务器传送区域,因为所提供的信息经常被垃圾邮件发送者和 IP 欺骗者使用。

Note: 以下选项recursion no, allow-queryallow-transfernamed.conf上面的文件中是安全特性。

要配置/var/named/db.127.0.0文件用于名称服务器,主名称服务器和从名称服务器都可以使用此配置文件。该db.127.0.0文件涵盖环回网络。在/var/named/.

创建db.127.0.0文件,touch/var/named/db.127.0.0并添加
 ; Revision History: April 22, 1999 - admin@mail.openna.com
 ; Start of Authority (SOA) records.
 $TTL 345600
 @  IN  SOA  deep.openna.com. admin.mail.openna.com.  (
 00	; Serial
 86400	; Refresh
 7200	; Retry
 2592000	; Expire
 345600 )	; Minimum

 ; Name Server (NS) records.
 NS   deep.openna.com.
 NS   mail.openna.com.

 ; only One PTR record.
 1      PTR  localhost.

要配置/var/named/db.208.164.186文件用于主名称服务器,请对网络上充当主名称服务器的服务器使用此配置。该文件db.208.164.186将主机名映射到地址。在/var/named/.

创建db.208.164.186文件,touch/var/named/db.208.164.186并添加
 ; Revision History: April 22, 1999 - admin@mail.openna.com
 ; Start of Authority (SOA) records.
 $TTL 345600
 @  IN  SOA  deep.openna.com. admin.mail.openna.com.  (
 00	; Serial
 86400	; Refresh
 7200	; Retry
 2592000	; Expire
 345600 )	; Minimum

 ; Name Server (NS) records.
 NS   deep.openna.com.
 NS   mail.openna.com.

 ; Addresses Point to Canonical Names (PTR) for Reverse lookups
 1  PTR      deep.openna.com.
 2  PTR      mail.openna.com.
 3  PTR      www.openna.com.

要配置/var/named/db.openna文件用于主名称服务器,请对网络上充当主名称服务器的服务器使用此配置。该文件db.openna将地址映射到主机名。在/var/named/.

创建db.openna文件 touch/var/named/db.openna并添加
 ; Revision History: April 22, 1999 - admin@mail.openna.com
 ; Start of Authority (SOA) records.
 $TTL 345600
 @  IN  SOA  deep.openna.com. admin.mail.openna.com.  (
 00	; Serial
 86400	; Refresh
 7200	; Retry
 2592000	; Expire
 345600 )	; Minimum

 ; Name Server (NS) records.
 NS   deep.openna.com.
 NS   mail.openna.com.

 ; Mail Exchange (MX) records.
 MX   0  mail.openna.com.

 ; Address (A) records.
 localhost	A       127.0.0.1
 deep	A       208.164.186.1
 mail	A       208.164.186.2
 www	A       208.164.186.3

 ; Aliases in Canonical Name (CNAME) records.
 ;www                           CNAME  deep.openna.com.

要配置/var/named/db.cache文件中创建以下文件,用于主名称服务器和从名称服务器。在启动 DNS 服务器之前,您必须复制db.cache文件并将其复制到/var/named/目录中。该db.cache告诉您的服务器根区域的服务器在哪里。

在您组织中的另一台 Unix 计算机上使用以下命令查询新的db.cache文件,用于您的 DNS 服务器,或从您的 Red Hat Linux CD-ROM 源发行版中选择一个
 [root@deep] /# dig @.aroot-servers.net . ns > db.cache
不要忘记将db.cache文件复制到/var/named/目录中,在您通过互联网检索到它之后,在您的服务器上安装 DNS 服务器。

上一页主页下一页
仅缓存名称服务器向上辅助从名称服务器