Linux系統(tǒng)：安全的DNS服務器配置

1、Linux系統(tǒng)下常用網(wǎng)絡服務的安全配置Linux系統(tǒng)目前在網(wǎng)絡服務應用平臺占有舉足輕重的地位，是Windows所無法比擬的。服務器為了提高穩(wěn)定性和運行效率，通常是不安裝和運行X Window圖形界面，而是采用文本命令行的方式進行安裝和配置， 并在文本模式運行網(wǎng)絡應用服務。 本項目主要實現(xiàn)校園網(wǎng) 內(nèi)部網(wǎng)絡服務器的安全管理問題。一、項目簡介在校園網(wǎng)本部（如圖2所示）中心機房內(nèi)假定有數(shù)臺服務器，服務器安裝的操作系統(tǒng)均為Linux,配置的常用服務有 DHCP DNS郵件服務、Web、FTP Samba、NFS等。本項目 需要在服務器上設置安全的服務，以保證網(wǎng)絡服務器的安全，并測試網(wǎng)絡服務的安全性。二、

2、實訓環(huán)境1、硬件環(huán)境數(shù)臺（服務器的數(shù)目根據(jù)要求來定）服務器和數(shù)臺測試客戶機。2、軟件環(huán)境Linux系統(tǒng)使用 CentOS5.6,客戶機使用 Windows XP、Windows 7或者Linux系統(tǒng)。安全的DNS服務器配置安全管理需求DNS服務是當前網(wǎng)絡中非常重要的服務，它實現(xiàn)了IP地址與域名的轉(zhuǎn)換，使得人們能通過簡單好記的域名來代替IP地址訪問網(wǎng)絡。因此高效管理及使用DNS服務器是網(wǎng)絡管理員的一個非常重要的問題。任務描述配置DNS服務器并利用 DNS提供的chroot機制實現(xiàn)安全的 DNS服務。使用輔助域名服 務器實現(xiàn)冗余備份，與 DHCP服務器配合實現(xiàn) DDNS功能。拓撲圖如下所示（圖 2

3、-5 ）。LAN2： /24LAN1: /24FQDN： IP:DNS: GATEWAY:54FQDN： IP:DNS: GATEWAY:54因特網(wǎng)圖2-5網(wǎng)絡實現(xiàn)DNS與DHCP拓撲圖圖2-5中，LAN1中配置了一臺DHCP服務器和一臺DNS服務器，LAN2中一臺輔助DNS 服務器并啟動 DHCP中繼代理。要求如下：1、LAN1和LAN2內(nèi)客戶端自動獲取IP地址、子網(wǎng)掩碼、默認網(wǎng)關及 DNS后綴（）。

4、LAN1 可用地址為 000 和 2050，LAN2 可 用 IP地址為 050。2、 網(wǎng)絡的主 DNS服務器為，為了提高網(wǎng)段 /24DNS客戶端的 解析速度需要中建立一個輔助區(qū)域。3、 網(wǎng)絡需要向內(nèi)網(wǎng)及外網(wǎng)客戶端提供 web服務、郵件服務的名稱解析，內(nèi)網(wǎng)用戶訪問 及 被 DNS解析為 ，外網(wǎng)用戶訪問 及 被 DNS解析為 0。4、 由于客戶端數(shù)量眾多所以需要

5、使用DDNS,減輕DNS的維護工作量。5、 內(nèi)網(wǎng)用戶可以通過本地的DNS服務解析到公網(wǎng)的FQDN。步驟提示1、在主機和上安裝DHCP服務。（注：主機名的修改需要在 /etc/sysconfig/network 和 /etc/hosts 中進行）2、 在主機和上安裝 DNS組件。CentOS5.6提供的組件如下：bi nd-libs-9.3.6-16.P1.el5bin d-9.3.6-16.P1.el5bi nd-chroot-9.3.6-16.P1.el5bi nd-utils-9.3.6-16.P1.el5caching-nameserver-9.3.6-16.P1.el5.x86_64.

6、rpm （非必需的，BIND 配置例子，如果對 BIND 比較熟悉，可以不安裝該組件。）3、開啟路由器的路由功能，使用如下命令完成。echo 1 /proc/sys/net/ipv4/ip_forward4、 為了更好地顯示編輯的當前目錄信息（提示符信息），可以修改PS1變量的選項，通 過修改文件 /etc/bashrc，將里面的 $PS1 = s-v$ & PS1=uh W$ 下的大寫 的W改成小寫的w（表示完整顯示目錄信息）。重新進入系統(tǒng)即可顯示當前完整的編輯目錄。 類似于如下圖（圖 2-6）所示：rootlocalhost # cd /var/n amed/chroot/rootloca

7、lhost /var/n amed/chroot#圖2-6完整顯示當前編輯目錄示意圖5、在主機上創(chuàng)建 DDNS密鑰，通過cat查看并記下生成的密鑰。注：TSIG（ Tran saction Sig nature，事務簽名）使用加密驗證DNS信息。TSIG是以加密算法的方式，認證 DNS服務器之間的數(shù)據(jù)傳輸。首先必須在主要區(qū)域所在服務器上生成加密 證書，之后將此證書傳遞給輔助區(qū)域所在服務器，經(jīng)過配置后由輔助區(qū)域所在服務器以加密方式送往主要區(qū)域所在服務器的區(qū)域傳輸請求。同時提供加密的DDNS TSIG功能確認DNS之信息是由某特定 DNS服務器提供，并且大多數(shù)應用于DNS之間區(qū)域傳輸，確保輔助區(qū)域

8、從主要區(qū)域復制得到的數(shù)據(jù)不會由其他假的DNS服務器提供或被篡改截取。使用命令dnssec-keygen可以產(chǎn)生加密密鑰（該命令的詳細內(nèi)容可參見其幫助文檔）。女口圖2-7所示。rootd ns # cd /var/n amed/chroot/rootdns /var/named/chroot#dnssec-keygen -a HMAC-MD5 -b 128 -n USERxxxdnsKxxxd ns.+157+33084圖2-7為DDNS創(chuàng)建密鑰示意圖6、 在主機上創(chuàng)建TSIG密鑰，用于主機區(qū)域 DNS傳送，通過cat查看并記下 生成的密鑰。如圖2-8所示。rootd ns # cd /var/

9、n amed/chroot/rootdns /var/named/chroot#dnssec-keygen -a HMAC-MD5 -b 128 -n HOST rndc-keyKrndc-key.+157+60882圖2-8為主機客戶端創(chuàng)建密鑰示意圖7、在 上使用 /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample 覆蓋/etc/dhcp/dhcpd.conf，并修改其內(nèi)容。如圖2-9所示。ddn s-update-style in terim;ignore clie nt-updates;opti on doma in-n amexxx. net;key

10、 xxxd ns algorithm hmac-md5;secret O4gltWAab+aWoBjm9C7Fqw=;zone xxx.n et. primary ;key xxxd ns;zone 10.168.192.i . primary ;key xxxd ns;zone 20.168.192.. primary ;key xxxd ns;shared-network xxx sub net netmask opti

11、on routers54;optio n sub net-mask;option domai n-n ame-servers,;option time-offset-18000;range dyn amic-bootp 0 00;range dyn amic-bootp 20 50;default-lease-time 21600; max-lease-time 43200;sub net 192.16

12、8.20.0 netmask option routers54;optio n sub net-mask;option domai n-n ame-servers,;option time-offset-18000;range dyn amic-bootp 0 50; default-lease-time 21600;max-lease-time 43200;圖2-9 dhcpd配置文件設置示意圖8、在上配置 BIND全局

13、配置文件。(1) 復制全局配置文件模板，使用命令：#cp -p /var/n amedchroot/etc/ named.cach ing-n ameserver.c onf n amed.c onf(2) 修改 named.conf 文件，內(nèi)容如圖 2-10 所示。/var/named/chroot/etc/var/ named/chroot/var/ named/opti ons liste n-on port 53 any; ;listen-on-v6 port 53 :1; ;directory/var/ named;dump-file/var/ named/data/cache_du

14、mp.db;statistics-file /var/ n amed/data/named_stats.txt; memstatistics-file /var/ n amed/data/named_mem_stats.txt; query-sourceport 53;query-source-v6 port 53;allow-query any; ;#8 is ISPs DNS Server.forwarders 8; ;forward first;key xxxtra nsfer algorithm hmac-md5;secret 4iWdK

15、DIHv5l08l5Wp9LMLA=;server keys xxxtra nsfer; ;key xxxdns algorithm hmac-md5;secret O4gltWAab+aWoBjm9C7Fqw=;loggi ng cha nnel default_debug file data/named.ru n;severity dyn amic;view xxx_LAN_resolver match-clie nts /16; ;match-desti natio ns any; ;recurs ion yes;in clude /et

16、c/ namedan .z on es;view xxx_WAN_resolver match-clie nts any; ;match-desti natio ns any; ;recurs ion yes;in clude /etc/ named wa n.z on es;圖2-10 named.conf文件配置示意圖9、在上配置 BIND主配置文件（1）復制主配置文件模板。cp /var/n amed/chroot/etc/ named.rfc1912.z ones n amed_la n.zones cp /var/n amed/chroot/etc/ named.rfc1912.z

17、ones n amed_wa n.zones（2）修改添加 named_lan.zones文件，內(nèi)容如圖 2-11所示。zone xxx. net IN type master;file xxx. net.la n.zero; allow-update key xxxdn s; ; allow-tra nsfer key xxxtra nsfer; ;zone 10.168.192. IN type master;file 10.168.192.local; allow-update key xxxdn s; ; allow-tra nsfer key xxxtra n

18、sfer; ;zone 20.168.192. IN type master;file 20.168.192.local; allow-update key xxxdn s; ;allow-tra nsfer key xxxtra nsfer; ;圖2-11主配置文件示意圖（1）（3）修改添加named_wan.zones文件，內(nèi)容如圖 2-12所示。zone xxx. net IN type master;file xxx. net.wa n.zero; allow-update non e; ;圖2-12主配置文件示意圖（2）10、在上配置 BIND區(qū)域文件。（1）

19、復制正向解析及反向解析文件模板，命令如下所示。cp /var/n amed/chroot/var/ named/named.zero xxx.n et.la n. zero cp /var/n amed/chroot/var/ named/named.zero xxx.n et.wa n. zero cp /var/n amed/chroot/var/ named/named .lo cal 10.168.192 .localcp /var/n amed/chroot/var/ named/named .lo cal 20.168.192 .local（2）修改文件 .lan.zero，如圖

20、2-13 所示。$TTL86400IN SOAdn s.xxx .n et.INNSdn s.xxx .n et.INMX 10dn s.xxx .n et.dnsINAwwwINCNAMEdn s.xxx .n et.mailINCNAMEdn s.xxx .n et.42;serial (d. a(3H;refresh15M;retry1W;expiry1D );mi nimumroot.xxx .n et.(圖2-13正向區(qū)域文件配置(1)(3) 修改文件 .wan.zero，如圖 2-14 所示。$TTL86400IN SOAdn s.xxx .n et.INN

21、Sdn s.xxx .n et.INMX 10dn s.xxx .n et.dnsINA0wwwINCNAMEdn s.xxx .n et.mailINCNAMEdn s.xxx .n et.root.xxx .n et.(42; serial (d. adams)3H; refresh15M; retry1W; expiry1D ); mi nimum圖2-14正向區(qū)域文件配置(2)(4) 修改文件 10.168.192.local，如圖 2-15 所示。$TTL86400INSOAdn s.xxx .n et. root.xxx .n et.(1997022700 ;

22、 Serial 28800;Refresh14400;Retry3600000;Expire86400 ); Mi nimumINNSdn s.xxx .n et.4INPTRdn s.xxx .n et.圖2-15反向區(qū)域文件配置(1)(5) 修改文件 20.168.192.local，如圖 2-16 所示。$TTL 86400INSOAdn s.xxx .n et. root.xxx .n et.（1997022700 ; Serial 28800;Refresh14400;Retry3600000;Expire86400 ）; Mi nimumINNSdn s.xxx .n et.圖2-

23、16反向區(qū)域文件配置（2）11、 在 上修改 /var/named/chroot/var/named系統(tǒng)權限。命令如下: chow n -R n amed: named /var/n amed/chroot/var/ named/12、在 上啟動 DHCP DNS 服務。13、在 上修改 /etc/sysconfig/dhcrelay 文件，內(nèi)容如下。 INTERFACES=eth0DHCPSERVERS= ”14、在上配置 BIND全局配置文件。（1）復制全局配置文件模板。cp /var/n amed/chroot/etc/ named.cachi ng-n amese

24、rver.c onf n amed.c onf2）修改named.conf文件，如圖2-17所示。opti ons liste n-on port 53 any; ;listen-on-v6 port 53 :1; ;directory/var/ named;dump-file/var/ named/data/cache_dump.db;statistics-file /var/ n amed/data/named_stats.txt; memstatistics-file /var/ n amed/data/named_mem_stats.txt; query-sourceport 53;q

25、uery-source-v6 port 53; allow-query any; ;loggi ng cha nnel default_debug file data/named.ru n;severity dyn amic;key xxxtra nsfer algorithm hmac-md5;secret 4iWdKDIHv5l08l5Wp9LMLA=;圖2-17全局配置文件示意圖server keys xxxtra nsfer; ;；view xxx_LAN_resolver match-clie nts /16; ;match-dest

26、i natio ns any; ; recurs ion yes;in clude /etc/ namedan .z on es;圖2-17全局配置文件示意圖（續(xù)）15、在上配置 BIND主配置文件。（1）復制主配置文件模板，命令如下：cp /var/n amed/chroot/etc/ named.rfc1912.z ones n amed_la n.zones（2） 修改namedan.zones文件，內(nèi)容如圖2-18所示。zone xxx. net IN type slave;masters ; ; file slaves/xxx. net.la n.zero;z

27、one 10.168.192. IN type slave;masters ; ; file slaves/10.168.192.local;zone 20.168.192. IN type slave;masters ; ;file slaves/20.168.192.local;圖2-18 dns1的主配置文件示意圖16、 修改 上 named 的權限。/var/named/chroot/var/named/17、 在上啟動DHCP中繼代理、DNS服務，命令如下：service dhcrelay

28、 startservice n amed start18、測試為了實現(xiàn)路由器的功能，可用一臺主機（設置雙網(wǎng)卡，Linux和Windows均可以）充當路由器。（1）DHCP測試圖2-19是DHCP中繼代理測試效果圖。C;riWI0TSyrlvM：2Xvad.H廿印左*. 電*i Pr Lnwrp bna SufF x .Hods TyifW 鼻i IP Roiiting EnuAblsrlIhF1 H Pl-OMy jdiMih Led .-._._DMUli Lis t . Ttlbrrnt nrinplr 本地連扶*Cu n ritict lu n m c If ic IMS Suff lx eacrlptioft *七* BFh忖址話 Ad.dM-S-6 i Dhcp Enabled. ftutncenf ieniirflit ia n Ennh led IP Addref.Subaiu HuLuh - InFnul