BIND 8+ 域名服务器安全增强 zt

p;         录传输时会话日志的大小。 

stacksize <size_spec> ;        // 服务器所使用的最大堆栈段内存。缺省为 
default。 


11、定义ACL地址名（即用于上面的<address_match_list>）。注意，如果要使用 
    这里定义的列表名，必须先定义，后使用！ 
    例如： 

acl intranet { 
        192.168/16; 
}; 
acl partner { 
        !172.16.0.1; 
        172.16/12;        // 除172.168.0.1外172.16.0.0/12网络中其它主机 
}; 

BIND已内置以下四个ACL： 

all                // 允许所有主机 

http://www.it55.com/

none                // 禁止所有主机 
localhost        // 本机的所有网络接口 
localnets        // 本机所在网络 


12、BIND域名服务器的一个有用功能（慎用！！！）： 

    控制管理接口controls节语法格式： 

     controls { 
       [ inet ip_addr 
         port ip_port 
         allow { <address_match_list>; }; ] 
       [ unix path_name 
         perm number 
         owner number  免费网页模版下载http://www.it55.com
         group number; ] 
     }; 


    controls节提供管理接口。如果使用第一种(inet)，则在指定IP（接口）和端 
口上监听，但只允许在allow中限定允许与其连接的IP地址列表。如果使用第二种 
(unix)，则产生一个FIFO的控制管道，权限、属主和用户组都由其参数限定。 


---[[ 通过TSIG对区域记录传输进行认证和校验 ]]--------------------------- 

    首先请确保你的BIND域名服务器软件已更新到最新版本！ 
    在BIND 8.2+中，能够使用事务签名（Transaction Signatures，即TSIG！） 
来对区域记录数据进行验证和校验。它要求在主域名服务器和辅助域名服务器上配 
置好加密密钥，并通知服务器使用该密钥与其它域名服务器通讯。（注意，TSIG的 
使用要求域名服务器必须进行时钟同步！） 


A、如果需要用TSIG签名来进行安全的DNS数据库手工更新，具体操作步骤很简单：  精美韩国模版下载http://www.it55.com

1、使用BIND自带的dnskeygen工具生成TSIG密钥。 

# dnskeygen -H 128 -h -n tsig-key. 

则会生成两个文件。'Ktsig-key.+157+00000.key'内容如下： 

tsig-key. IN KEY 513 3 157& 免费网页模版下载http://www.it55.com

（编辑：IT资讯之家 www.it55.com）

共7页: 上一页 [1] [2] 3 [4] [5] [6] [7] 下一页