三、DNS日常的安全管理维护
针对BIND DNS服务软件的安全配置情况,我们要充分利用BIND自身已经实现的保护功能,加强BIND安全性,从而能抵御目前已知的BIND安全漏洞,并使潜在的安全漏洞所可能对服务器造成的影响尽可能地减少。这也是我们针对UNIX DNS日常管理维护非常重要的一项工作。
从DNS服务器的安全运行管理可以考虑采用下面几种方法:
1、采用多个域名服务器应付恶意攻击者,对DNS服务器进行拒绝服务攻击。
如果纯粹从理论上出发,那么一台DNS服务器是完全可以完成所有任务的。当注册了一个域名以后,实际上可以最大为企业的域名设置6个DNS服务器名。如果主域名服务器被人攻击了,可以启用辅域名服务器,如果主辅域名服务器都被同时攻破了,也可以用第三台或第四台域名服务器进行工作,具体设置几个域名服务器可根据企业构建网络情况而设定。
而对于广大的用户而言,当出现这种多个DNS服务器停止服务带来的唯一的影响就是查询域名的时候会延迟,因为它需要一个一个的去查询,直到找到最后的一个为止。
2、启动BIND(DNS)安全选项来进行配置。
named进程启动选项如下:
-r:关闭域名服务器的递归查询功能(缺省为打开)。该选项可在配置文件的
options中使用"recursion"选项覆盖。
-u <user_name>和-g <group_name>:定义域名服务器运行时所使用的UID和GID。 这用于丢弃启动时所需要的root特权。
-t <directory>:指定当服务器进程处理完命令行参数后所要chroot()的目录。
在options节中增加自定义的BIND版本信息,可隐藏BIND服务器的真正版本号。
version "No know?";
// version 8.2.3;
此时如果通过DNS服务查询BIND版本号时,返回的信息就是"No know?"。
要禁止DNS域名递归查询,在options(或特定的zone区域)节中增加:
recursion no;
fetch-glue no;
要限制对DNS服务器进行域名查询的主机,在options(或特定的zone区域)节中增加:
allow-query { <address_match_list> };
address_match_list是允许进行域名查询的主机IP列表,如"202.102.24.35; 61.132.57/24;"。
要限制对DNS服务器进行域名递归查询的主机,在options(或特定的zone区域)节中增加:
allow-recursion { <address_match_list> };
address_match_list是允许进行域名递归查询的主机IP列表,如 "202.102.24.35; 61.132.57/24;"。
l 要限制对DNS服务器进行区域记录传输的主机,在options(或特定的zone区域)节中增加:
allow-transfer { <address_match_list> };
address_match_list是允许进行区域记录传输的主机IP列表,如"202.102.24.35; 61.132.57/24;"。
3、通过TSIG(Transaction Signature)对区域记录传输进行认证和校验。
首先请确保BIND域名服务器软件已更新到最新版本,因为最新的BIND版本解决了在以前版本中发现的bug和/或安全漏洞。
如果需要用TSIG签名来进行安全的DNS数据库手工更新,具体操作步骤很简单:
① 用BIND自带的dnskeygen工具生成TSIG密钥。
# dnskeygen -H 128 -h -n tsig-key.
则会生成两个文件,将它们放到本地域名服务器的配置文件中,记住要重启named守护进程。 然后将这两个密钥文件复制到客户端系统(或辅助域名服务器),例如为/etc/tsig目录。最后运行如下命令即可:
nsupdate -k /etc/tsig:tsig-key.
② 如果需要对区域记录传输(自动或手工)进行TSIG签名,则有两种方法:
第一种方法:用dnskeygen生成TSIG密钥,方法同上。
第二种方法:主域名服务器配置文件的内容(节选)如下:
// 定义认证的方法和共享密钥
key master-slave {
algorithm hmac-md5;
secret "mZiMNOUYQPMNwsDzrX2ENw==";
};
// 定义辅助域名服务器的一些特性
server 61.132.62.137 {
transfer-format many-answers;
keys { master-slave; };
};
// 区域记录定义
zone "ghq.js.com"
type master;
file ghq.js.com
allow-transfer { 61.132.62.137; };
};
总之,我们在对BIND进行安全增强配置的基础上,仍然需要密切关注最新的安全公告、安全补丁和安全技术,要经常向有关的安全专家请教,再辅以必要的安全产品和安全服务,才能更充分地保护好企业的网络,抵御各种恶意攻击,确保UNIX系统环境下DNS服务器正常安全稳定的运行。