本文介绍了如何增强DNS服务器的安全性,包括使用bind-chroot将DNS服务运行在安全环境中,防止攻击者获取全部系统数据,以及通过TSIG加密机制确保DNS数据在主从服务器间安全同步,防止数据篡改。
一、 bind-chroot
这个安装包是可选的,与安全方面相关。
那bind-chroot包的安装和不安装有区别吗?
这个包是DNS安全包,改变默认的DNS根目录,将DNS运行在监牢模式。默认情况下,我们知道主配置文件 /etc/named.conf、区域文件是 /etc/rfc1912.zones、解析数据文件是下 /var/named。如果DNS服务器一旦被人入侵,通过DNS的漏洞可以访问服务器的根—“/”,整个目录都会拱手让给别人。如果加了bind-chroot这个包,就算被入侵了,也拿不走所有的数据,只能看到DNS或者某一个服务的数据。
在不使用chroot模式的情况下,启动DNS bind服务:systemctl start named,开机自启动:systemctl enable named 。
使用了chroot模式,系统会把 /var/named/chroot/ 当作根,如下图所示。也就是说,你需要把主配置文件、区域文件、解析数据文件放在 /var/named/chroot/ 对应的目录当作,使用cp -p命令保留文件属性。对应的启动方式:systemctl start named-chroot,开机自启动:<
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
