《網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)》課件項(xiàng)目五 任務(wù)一 加強(qiáng)Linux系統(tǒng)DNS服務(wù)的安全防御

【項(xiàng)目描述】

隨著辦公網(wǎng)絡(luò)中可共享的資源不斷增加，需要在辦公網(wǎng)絡(luò)中架設(shè)了多臺(tái)服務(wù)器，包括DNS服務(wù)器、Web服務(wù)器、DHCP服務(wù)器和FTP服務(wù)器等，通過這些服務(wù)器為內(nèi)網(wǎng)用戶和互聯(lián)網(wǎng)用戶提供服務(wù)。

由于這些服務(wù)器不但需要為內(nèi)網(wǎng)用戶提供服務(wù)，而且還需要為互聯(lián)網(wǎng)用戶提供服務(wù)，使得服務(wù)器在開放的Internet上面臨各種各樣的安全威脅。

為了保障單位內(nèi)部服務(wù)器的安全，需要采取以下安全措施對(duì)服務(wù)器中的各種服務(wù)進(jìn)行安全配置。（1）加強(qiáng)Linux系統(tǒng)DNS服務(wù)的安全防御。（2）加強(qiáng)Linux系統(tǒng)DHCP服務(wù)的安全防御。（3）加強(qiáng)Linux系統(tǒng)Web服務(wù)的安全防御。（4）加強(qiáng)Linux系統(tǒng)FTP服務(wù)的安全防御。（5）使用防火墻模塊提升Linux服務(wù)器的安全防御。項(xiàng)目五Linux服務(wù)器系統(tǒng)安全運(yùn)行與維護(hù)【學(xué)習(xí)目標(biāo)】（1）能夠在Linux系統(tǒng)中配置DNS服務(wù)器。（2）能夠在Linux系統(tǒng)中部署DNS服務(wù)器的安全策略。（3）能夠在Linux系統(tǒng)中配置DHCP服務(wù)器。（4）能夠在Linux系統(tǒng)中部署DHCP服務(wù)器的安全策略。（5）能夠在Linux系統(tǒng)Apache服務(wù)器實(shí)施安全配置。（6）能夠?qū)inux系統(tǒng)FTP服務(wù)器進(jìn)行安全配置。（7）會(huì)使用防火墻保護(hù)Linux系統(tǒng)中服務(wù)器的安全。（8）會(huì)使用防火墻保護(hù)內(nèi)網(wǎng)用戶和服務(wù)的安全。項(xiàng)目五Linux服務(wù)器系統(tǒng)安全運(yùn)行與維護(hù)項(xiàng)目主要內(nèi)容：任務(wù)一

加強(qiáng)Linux系統(tǒng)DNS服務(wù)的安全防御任務(wù)二

加強(qiáng)Linux系統(tǒng)DHCP服務(wù)的安全防御任務(wù)三

加強(qiáng)Linux系統(tǒng)Web服務(wù)的安全防御任務(wù)四

加強(qiáng)Linux系統(tǒng)FTP服務(wù)的安全防御任務(wù)五

使用防火墻模塊提升Linux服務(wù)器的安全防御任務(wù)提出

在辦公網(wǎng)絡(luò)中，DNS服務(wù)器在對(duì)外提供服務(wù)過程中會(huì)經(jīng)常遇到拒絕服務(wù)（DenialofService，DoS)、分布式拒絕服務(wù)（DistributedDenialofService，DDoS)、緩沖區(qū)漏洞溢出、DNS欺騙等攻擊，直接影響辦公網(wǎng)絡(luò)的正常運(yùn)行。為了保障DNS服務(wù)器的安全運(yùn)行并提供正常服務(wù)，可以通過以下措施來(lái)加強(qiáng)DNS服務(wù)器的安全。1.保護(hù)DNS服務(wù)器自身安全

通過在Linux系統(tǒng)中隔離DNS服務(wù)器、隱藏DNS服務(wù)器版本號(hào)、避免透露DNS服務(wù)器信息、限制運(yùn)行權(quán)限等措施保護(hù)DNS服務(wù)器自身的安全。2.保護(hù)DNS服務(wù)器免于Spoofing攻擊

為L(zhǎng)inux上的DNS服務(wù)器關(guān)閉rescursion功能、關(guān)閉gluefetching功能、限制查詢請(qǐng)求的服務(wù)對(duì)象等，保護(hù)DNS服務(wù)器，使其免于Spoofing攻擊。3.保護(hù)區(qū)域傳輸?shù)陌踩ㄟ^編輯DNS配置文件，限制可以進(jìn)行區(qū)域傳輸?shù)闹鳈C(jī)。4.保護(hù)動(dòng)態(tài)更新的安全限制可以向DNS服務(wù)器提交動(dòng)態(tài)更新的主機(jī)，保護(hù)動(dòng)態(tài)更新的安全性。5.使用TSIG保護(hù)DNS服務(wù)器使用TSIG，通過加密密鑰的方式保護(hù)DNS服務(wù)器的區(qū)域傳輸。任務(wù)分析1.保護(hù)DNS服務(wù)器自身安全DNS欺騙是指域名信息欺騙，是最常見的DNS安全問題。如果一臺(tái)DNS服務(wù)器掉入陷阱，使用了來(lái)自一項(xiàng)惡意DNS服務(wù)的錯(cuò)誤信息，那么該DNS服務(wù)器就被欺騙了。DNS欺騙會(huì)使那些易受攻擊的DNS服務(wù)器產(chǎn)生許多安全問題，例如將用戶引導(dǎo)到錯(cuò)誤的Internet站點(diǎn)，或者發(fā)送一個(gè)電子郵件到一個(gè)未經(jīng)授權(quán)的郵件服務(wù)器。

通過使用隔離DNS服務(wù)器、隱藏DNS服務(wù)器版本號(hào)、避免透露DNS服務(wù)器信息、限制運(yùn)行權(quán)限等措施，可以保護(hù)DNS免于DNS欺騙。2.保護(hù)DNS服務(wù)器免于Spoofing攻擊Spoofing攻擊是指欺騙攻擊，攻擊者偽造數(shù)據(jù)包包頭，使顯示的信息源不是實(shí)際的來(lái)源，從而借用另外一臺(tái)機(jī)器的IP地址與服務(wù)器打交道。Spoofing攻擊容易帶來(lái)拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊。拒絕服務(wù)攻擊是指攻擊者大量消耗服務(wù)器資源，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求，服務(wù)器停止提供服務(wù)。分布式拒絕服務(wù)攻擊是指，攻擊者向目標(biāo)系統(tǒng)發(fā)起的惡意攻擊請(qǐng)求，隨機(jī)生成大批假冒源IP，如果目標(biāo)防御較為薄弱，對(duì)收到的惡意請(qǐng)求也無(wú)法分析攻擊源的真實(shí)性，從而達(dá)到攻擊者隱藏自身的目的。

通過為DNS服務(wù)器關(guān)閉rescursion功能、關(guān)閉gluefetching功能、限制查詢請(qǐng)求的服務(wù)對(duì)象等，保護(hù)DNS服務(wù)器免于Spoofing攻擊。3.保護(hù)區(qū)域傳輸?shù)陌踩J(rèn)情況下，BIND區(qū)域傳輸是全部開放的，如果沒有限制，DNS服務(wù)器會(huì)允許對(duì)任何人都進(jìn)行區(qū)域傳輸，那么網(wǎng)絡(luò)架構(gòu)中的主機(jī)名、主機(jī)IP列表、路由器名和路由IP列表，甚至包括各主機(jī)所在的位置和硬件配置等情況都很容易被入侵者獲取，因此要對(duì)區(qū)域傳輸進(jìn)行必要的限制，保護(hù)區(qū)域傳輸?shù)陌踩?.保護(hù)動(dòng)態(tài)更新的安全雖然動(dòng)態(tài)更新很有用，但也存在很大危險(xiǎn)，必須予以限制。允許向本DNS服務(wù)器提交動(dòng)態(tài)DNS更新的主機(jī)IP列表，經(jīng)授權(quán)的更新者可以刪除區(qū)域中的所有記錄（除了SOA記錄和NS記錄)，也可以添加新的記錄。5.使用TSIG保護(hù)DNS服務(wù)器事務(wù)簽名TSIG（TransactionSIGnature）是RFC2845中定義的計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議。它使域名系統(tǒng)（DNS）能夠驗(yàn)證對(duì)DNS數(shù)據(jù)庫(kù)的更新。在更新動(dòng)態(tài)DNS或輔助/從屬DNS服務(wù)器時(shí)，TSIG使用共享密鑰和單向哈希提供一種密碼安全的方式來(lái)認(rèn)證連接的每個(gè)端點(diǎn)，使它們被允許作出或響應(yīng)DNS更新，從而保證了DNS服務(wù)器之間傳送區(qū)域信息的安全。任務(wù)實(shí)施1.保護(hù)DNS服務(wù)器自身安全

操作步驟如下：

步驟1實(shí)驗(yàn)準(zhǔn)備階段，根據(jù)項(xiàng)目一中任務(wù)二知識(shí)點(diǎn)，在VMwareWorkstation中部署兩臺(tái)RedHatEnterpriseLinux6.4系統(tǒng)虛擬機(jī)server1和server2，，兩個(gè)虛擬機(jī)的IP地址規(guī)劃如表所示，并將兩臺(tái)虛擬機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)連通。設(shè)備名稱設(shè)備角色操作系統(tǒng)IP地址server1主DNS服務(wù)器RedHatLinux6.4/24server2從DNS服務(wù)器RedHatLinux6.40/24步驟2在server1和server2上分別安裝和啟動(dòng)DNS服務(wù)。①在server1上安裝和啟動(dòng)DNS服務(wù)。②在server2上安裝和啟動(dòng)DNS服務(wù)。步驟同①。[root@linuxA桌面]#yumlist|grepbindbind.i68632:9.8.2-0.17.rc1.el6basebind-chroot.i68632:9.8.2-0.17.rc1.el6base……[root@linuxA桌面]#yum-yinstallbind[root@linuxA桌面]#systemctlstartnamed[root@linuxA桌面]#ps-ef|grepnamed步驟3配置DNS服務(wù)。（1）在server1上配置主DNS服務(wù)。①在配置文件/etc/named.conf中添加區(qū)域。[root@linuxA桌面]#vim/etc/named.confoptions{listen-onport53{any;};listen-on-v6port53{::1;};directory"/var/named";dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt";allow-query{any;};recursionyes;……zone""IN{typemaster;file".zone";allow-update{none;};};zone"159.168.192."IN{typemaster;file"192.168.159.rev";allow-update{none;};};②驗(yàn)證DNS配置文件。③創(chuàng)建正向區(qū)域文件。[root@linuxA桌面]#named-checkconf[root@linuxA桌面]#cd/var/named/[root@linuxAnamed]#vim.zone$TTL86400@INSOA..(20140801;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNS.INMX5.wwwINAmailINA0ftpINCNAMEwwwdnsINA④驗(yàn)證正向區(qū)域文件。⑤創(chuàng)建反向區(qū)域文件。其中，尾行中的9為主DNS服務(wù)器IP地址的主機(jī)部分。[root@linuxAnamed]#named-checkzone.zone[root@linuxAnamed]#cp.zone192.168.159.rev[root@linuxAnamed]#vim192.168.159.rev$TTL86400@INSOA..(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimum@INNS.9INPTR.⑥驗(yàn)證反向區(qū)域文件。⑦在server1上修改DNS配置文件。⑧在server1上驗(yàn)證DNS解析。[root@linuxAnamed]#named-checkzone159.168.192.192.168.159.rev[root@linuxAnamed]#vim/etc/resolv.confnameservernameserver0[root@localhostnamed]#systemctlrestartnamed[root@linuxAnamed]#nslookup>Server: Address: #5392. name=.>Server: Address: #53Name: Address:⑨將server1設(shè)置為寬容模式。[root@localhostnamed]#systemctlstopfirewalld[root@localhostnamed]#setenforce0注意：setenforce命令只能將selinux暫時(shí)關(guān)閉，當(dāng)系統(tǒng)重啟后，selinux會(huì)重新打開，如要永久關(guān)閉，需要在/etc/selinux/config文件中設(shè)置SELINUX=disabled。（2）在server2上配置從DNS服務(wù)。①在配置文件/etc/named.conf中添加區(qū)域。[root@linuxB桌面]#vim/etc/named.conf……zone""IN{typeslave;file".zone";masters{;};};zone"159.168.192."IN{typeslave;file"192.168.159.rev";masters{;};};②驗(yàn)證DNS配置文件。③設(shè)置named組用戶對(duì)named目錄有修改權(quán)限。④將server2設(shè)置為寬容模式。[root@linuxB桌面]#named-checkconf[root@linuxB桌面]#chmodg+w/var/named/[root@localhost~]#systemctlstopfirewalld[root@localhost~]#setenforce0⑤在server2上修改DNS配置文件。⑥重啟DNS服務(wù)。⑦驗(yàn)證結(jié)果。[root@linuxB桌面]#vim/etc/resolv.confnameservernameserver0[root@localhost~]#systemctlrestartnamed[root@linuxB桌面]#ls/var/named/192.168.159.revdatanamed.canamed.localhostslaves.zonedynamicnamed.emptynamed.loopback⑧在server2上驗(yàn)證DNS解析。[root@linuxB桌面]#nslookup>Server: Address: #5392. name=.>Server: Address: #53Name: Address:（3）驗(yàn)證DNS服務(wù)。[root@linuxB桌面]#dig[root@linuxB桌面]#dig[root@linuxB桌面]#dig-tMX[root@linuxB桌面]#dig-tCNAME

步驟4保護(hù)DNS服務(wù)器自身安全。

（1）隔離DNS服務(wù)器。DNS服務(wù)器要專用，不要在DNS服務(wù)器上運(yùn)行其他服務(wù)，避免出現(xiàn)較多漏洞。盡量使用普通用戶登錄，避免管理員登錄，或者為DNS服務(wù)器指定專門的管理用戶。

（2）隱藏DNS服務(wù)器版本號(hào)。

網(wǎng)絡(luò)攻擊者對(duì)DNS服務(wù)器進(jìn)行攻擊前，首先使用dig命令查詢到BIND的版本號(hào)，接著根據(jù)BIND版本號(hào)查詢?cè)摪姹綝NS服務(wù)存在的漏洞，然后確定攻擊DNS服務(wù)器的方法，由此進(jìn)行有針對(duì)性的攻擊。

需要對(duì)DNS服務(wù)器進(jìn)行配置，隱藏DNS服務(wù)器的版本號(hào)，使攻擊者無(wú)法查詢到DNS服務(wù)器的版本信息。①查詢BIND的版本號(hào)。②編輯BIND配置文件，在配置文件中設(shè)置版本號(hào)信息。[root@linuxA~]#dig@txtchaosversion.bind;<<>>DiG9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6<<>>@txtchaosversion.bind……;;ANSWERSECTION:version.bind. 0 CH TXT "9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6";;AUTHORITYSECTION:……[root@linuxA~]#vim/etc/named.confoptions{……directory"/var/named";version"unknowonthisplatform";……③重啟DNS服務(wù)器。④再次查詢DNS版本號(hào)。通過上述測(cè)試可以看出，攻擊者無(wú)法查詢到DNS的版本信息，只能看到設(shè)置后的版本信息。[root@linuxA~]#systemctlrestartnamed[root@linuxA~]#dig@txtchaosversion.bind;<<>>DiG9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6<<>>@txtchaosversion.bind……version.bind. 0 CH TXT "unknowonthisplatform"……

（3）避免透露DNS服務(wù)器信息。

為了使攻擊者更難進(jìn)行攻擊，盡量不要在DNS配置文件中使用HINFO和TXT資源記錄，盡量隱藏服務(wù)器信息，使?jié)撛诘暮诳透y得手。

（4）以最小的權(quán)限及使用chroot()方式運(yùn)行BIND。

以root身份執(zhí)行BIND有安全隱患，攻擊者若找到BIND的安全漏洞，可能獲取root的身份，從而對(duì)服務(wù)器進(jìn)行攻擊。①變更DNS的UID和GID。

改變運(yùn)行DNS的所屬用戶ID和組ID，避免使用根權(quán)限用戶身份運(yùn)行DNS。

定義域名服務(wù)器運(yùn)行時(shí)所使用的UID和GID必須為named組中的用戶，丟棄啟動(dòng)時(shí)所需要的root用戶。[root@linuxA~]#named-unamed②以chroot()的方式執(zhí)行BIND，可以將危害降至最低。設(shè)置chroot的環(huán)境后，可以使用以下命令修改運(yùn)行的用戶。

指定當(dāng)DNS服務(wù)器進(jìn)程處理完命令行參數(shù)后所要chroot()的目錄為/var/named。[root@linuxA~]#named-unamed-t/var/named2.保護(hù)DNS服務(wù)器免于Spoofing攻擊

步驟5保護(hù)DNS服務(wù)器免于Spoofing攻擊。Spoofing攻擊是指欺騙攻擊，冒名者使用提供假的網(wǎng)域名稱與網(wǎng)址的對(duì)照信息，可以將不知情用戶的網(wǎng)頁(yè)聯(lián)機(jī)，引導(dǎo)至錯(cuò)誤的網(wǎng)站，原本屬于用戶的電子郵件也可能遺失，甚至進(jìn)一步成為阻斷服務(wù)的攻擊。

若DNS服務(wù)器接受來(lái)自Internet的遞歸查詢請(qǐng)求，易遭受Spoofing攻擊，導(dǎo)致攻擊者修改DNS服務(wù)器的區(qū)域文件，使其他用戶解析域名時(shí)，得到偽造的名稱信息。

（1）關(guān)閉rescursion功能。

關(guān)閉rescursion功能后，DNS服務(wù)器只會(huì)響應(yīng)非遞歸的詢問請(qǐng)求。

無(wú)遞歸功能的DNS服務(wù)器不易遭受Spoofing攻擊，因?yàn)樗粫?huì)發(fā)送遞歸查詢請(qǐng)求，所以也不會(huì)顯示所管區(qū)域以外的任何數(shù)據(jù)。如果DNS服務(wù)器還需為合法的解析器提供服務(wù)，或是充當(dāng)其他DNS服務(wù)器的代理查詢服務(wù)器，就不能關(guān)閉rescursion功能。增強(qiáng)DNS服務(wù)器的安全方法是限制查詢請(qǐng)求的服務(wù)對(duì)象。

可以通過修改配置文件/etc/named.conf的方法限制查詢請(qǐng)求的服務(wù)對(duì)象。

（2）關(guān)閉gluefetching功能。

當(dāng)DNS服務(wù)器返回一個(gè)域的域名服務(wù)器記錄，并且域名服務(wù)器記錄中沒有查詢記錄時(shí)，DNS服務(wù)器會(huì)嘗試獲取一條記錄，即gluefetching，攻擊者可以利用它進(jìn)行DNS欺騙。

關(guān)閉gluefetching功能，可避免DNS服務(wù)器發(fā)送出任何查詢請(qǐng)求，不會(huì)獲取所管區(qū)域以外的任何數(shù)據(jù)。options{…….allow-query{any;};

recursionno;…….}修改配置文件/etc/named.conf關(guān)閉gluefetching功能。options{……allow-query{any;};recursionno;

fetch-glueno;……}

（3）限制查詢請(qǐng)求的服務(wù)對(duì)象。

限制查詢范圍的各服務(wù)器的設(shè)置方案如下：①如果無(wú)法關(guān)閉rescursion功能，應(yīng)該限制查詢請(qǐng)求的服務(wù)對(duì)象。a.限制詢問請(qǐng)求的來(lái)源（IP地址）。b.限制可以查詢的區(qū)域范圍。②DNS服務(wù)器應(yīng)該拒絕來(lái)自以下網(wǎng)絡(luò)的詢問請(qǐng)求：a.私有網(wǎng)絡(luò)（除非本機(jī)也在使用）。b.實(shí)驗(yàn)性網(wǎng)絡(luò)。c.群播網(wǎng)絡(luò)。③一般的DNS服務(wù)器。a.對(duì)所管區(qū)域的名稱信息，可以服務(wù)于來(lái)自任何IP地址的查詢請(qǐng)求，因?yàn)樗墙?jīng)授權(quán)管理該區(qū)域的權(quán)威DNS服務(wù)器。b.對(duì)于所管區(qū)域以外的名稱信息，只服務(wù)于來(lái)自內(nèi)部或可信賴的IP地址的查詢請(qǐng)求。

④caching-onlyDNS服務(wù)器（DNS緩存服務(wù)器）。

由于DNS緩存服務(wù)器是用來(lái)存儲(chǔ)計(jì)算機(jī)網(wǎng)絡(luò)上的用戶需要的網(wǎng)頁(yè)、文件等信息的專用服務(wù)器，所以它應(yīng)該只服務(wù)于來(lái)自特定IP地址的解析器。

⑤authoritative-onlyDNS服務(wù)器（權(quán)威DNS服務(wù)器）。

權(quán)威型DNS服務(wù)器只關(guān)注自己負(fù)責(zé)的區(qū)域相關(guān)請(qǐng)求，不理會(huì)其他區(qū)域相關(guān)的請(qǐng)求。這類服務(wù)器對(duì)于自己所負(fù)責(zé)的區(qū)域請(qǐng)求可以很快響應(yīng)，不響應(yīng)遞歸請(qǐng)求，在DNS系統(tǒng)中從來(lái)只做服務(wù)器而不做客戶端。因此，對(duì)于權(quán)威型DNS必須服務(wù)于來(lái)自任何IP地址的詢問請(qǐng)求，但是拒絕任何遞歸的詢問請(qǐng)求。

限制查詢請(qǐng)求的具體配置為：

設(shè)置后，所有的用戶都可以訪問的DNS服務(wù)器，但是只有192.168.159.0/24網(wǎng)段的主機(jī)用戶可以請(qǐng)求DNS服務(wù)器的任意服務(wù)，另外也不允許其他網(wǎng)段的主機(jī)進(jìn)行遞歸詢問。[root@linuxA~]#vim/etc/named.confoptions{……allow-query{/24;};……zone""IN{typemaster;file".zone";allow-update{none;};allow-query{any;};};…….}3.保護(hù)區(qū)域傳輸?shù)陌踩?/p>

步驟6保護(hù)區(qū)域傳輸?shù)陌踩?/p>

默認(rèn)情況下，BIND區(qū)域傳輸是全部開放的，如果沒有限制，DNS服務(wù)器允許對(duì)任何人都進(jìn)行區(qū)域傳輸，那么網(wǎng)絡(luò)架構(gòu)中的主機(jī)名、主機(jī)IP列表、路由器名和路由IP列表，甚至包括各主機(jī)所在的位置和硬件配置等情況都很容易被入侵者獲取，因此要對(duì)區(qū)域傳輸進(jìn)行必要的限制。（1）在server2上，刪除區(qū)域配置文件。[root@linuxB桌面]#cd/var/named[root@linuxBnamed]#rm-rf.zone[root@linuxBnamed]#rm-rf192.168.159.rev（2）配置DNS服務(wù)，只允許在和00之間進(jìn)行區(qū)域傳輸。①在server1上，編輯DNS配置文件，限制區(qū)域傳輸。[root@linuxA~]#vim/etc/named.conf……acl"zone-transfer"{;00;};zone""IN{typemaster;file".zone";allow-update{none;};allow-transfer{"zone-transfer";};allow-query{any;};};zone"159.168.192."IN{typemaster;file"192.168.159.rev";allow-update{none;};allow-transfer{"zone-transfer";};};②在server1上重啟DNS服務(wù)。③在server2上清空日志文件。④在server2上重啟DNS服務(wù)。⑤在server2上查看區(qū)域配置文件是否存在。[root@linuxA~]#systemctlrestartnamed[root@linuxB~]#echo"">/var/log/messages[root@linuxB~]#systemctlrestartnamed[root@linuxBnamed]#ls/var/nameddatanamed.canamed.localhostslavesdynamicnamed.emptynamed.loopback⑥在server2上查看日志。

由于區(qū)域傳輸被限制在和00之間，server2嘗試從server1獲取正向解析文件和反向解析文件失敗。[root@linuxBnamed]#cat/var/log/messages……Jun1315:51:19linuxBnamed[8083]:zone159.168.192./IN:Transferstarted.Jun1315:51:19linuxBnamed[8083]:transferof'159.168.192./IN'from#53:connectedusing0#60292Jun1315:51:19linuxBnamed[8083]:transferof'159.168.192./IN'from#53:failedwhilereceivingresponses:REFUSEDJun1315:51:19linuxBnamed[8083]:transferof'159.168.192./IN'from#53:Transfercompleted:0messages,0records,0bytes,0.001secs(0bytes/sec)（3）配置DNS服務(wù)，只允許在server1和server2之間進(jìn)行區(qū)域傳輸。①在server1上，編輯DNS配置文件，限制區(qū)域傳輸。這樣，只有IP地址為和0兩臺(tái)主機(jī)才能與DNS服務(wù)器進(jìn)行區(qū)域傳輸。[root@linuxA~]#vim/etc/named.conf……acl"zone-transfer"{;0;};zone""IN{typemaster;file".zone";allow-update{none;};allow-transfer{"zone-transfer";};allow-query{any;};};zone"159.168.192."IN{typemaster;file"192.168.159.rev";allow-update{none;};allow-transfer{"zone-transfer";};};②在server1上重啟DNS服務(wù)。③在server2上清空日志文件。④在server2上重啟DNS服務(wù)。⑤在server2上查看區(qū)域配置文件是否存在。結(jié)果顯示，server2已經(jīng)重新獲得了從server1傳輸?shù)恼蚪馕鑫募头聪蚪馕鑫募root@linuxA~]#systemctlrestartnamed[root@linuxB~]#echo"">/var/log/messages[root@linuxB~]#systemctlrestartnamed[root@linuxBnamed]#ls/var/named192.168.159.revdatanamed.canamed.localhostslaves.zonedynamicnamed.emptynamed.loopback⑥在server2上查看日志。server2從server1獲取DNS正向解析文件和反向解析文件。[root@linuxBnamed]#cat/var/log/messages……Jun1315:12:38linuxBnamed[7882]:zone159.168.192./IN:Transferstarted.Jun1315:12:38linuxBnamed[7882]:transferof'159.168.192./IN'from#53:connectedusing0#59542Jun1315:12:38linuxBnamed[7882]:zone159.168.192./IN:transferredserial42Jun1315:12:38linuxBnamed[7882]:transferof'159.168.192./IN'from#53:Transfercompleted:1messages,4records,160bytes,0.001secs(160000bytes/sec)4.保護(hù)動(dòng)態(tài)更新的安全

步驟7保護(hù)動(dòng)態(tài)更新的安全。

通過限制動(dòng)態(tài)更新，限制允許向本DNS服務(wù)器提交動(dòng)態(tài)DNS更新的主機(jī)IP列表，只有經(jīng)授權(quán)的更新者才可以修改區(qū)域中的記錄。[root@linuxA~]#vim/etc/named.conf……acl"zone-transfer"{;0;};acl“updater”{1;};//dhcpserverzone""IN{typemaster;file".zone";allow-update{updater;};allow-transfer{"zone-transfer";};allow-query{any;};};zone"159.168.192."IN{typemaster;file"192.168.159.rev";allow-update{updater;};allow-transfer{"zone-transfer";};};5.使用TSIG保護(hù)DNS服務(wù)器

步驟8使用TSIG保護(hù)DNS服務(wù)器。TSIG使用數(shù)字簽名驗(yàn)證DNS信息。首先在主機(jī)上產(chǎn)生加密密鑰，然后以SSH方式傳遞給從機(jī)，設(shè)定從機(jī)以密鑰簽署送往主機(jī)的區(qū)域傳送要求；反之亦然，提供服務(wù)給經(jīng)密鑰簽署過的動(dòng)態(tài)更新要求。

（1）在server1上，產(chǎn)生加密密鑰。[root@linuxA桌面]#dnssec-keygen-aHMAC-MD5-b128-nHOSTserver1Kserver1.+157+30472（2）查詢server1的加密密鑰。①查詢公鑰。[root@linuxA桌面]#catKserver1.+157+30472.keyserver1.INKEY5123157U7hiTmgrJNU++r3Z80M+TA==②查詢私鑰。[root@linuxA桌面]#catKserver1.+157+30472.privatePrivate-key-format:v1.3Algorith