BIND 8+ 域名服务器安全增强 zt

0      0  127.0.0.1.53           *.* 
udp4       0      0  192.168.8.19.53        *.* 

步骤七：修改系统启动脚本 

　　对于FreeBSD系统，在/etc/rc.conf文件中增加如下内容即可： 

syslogd_enable="YES" 
# 如果希望禁止向外发送日志，将-s换成-ss。 
syslogd_flags="-s -p /chroot/bind/var/run/log" 

named_enable="YES" 
named_program="/chroot/bind/usr/sbin/named" 
named_flags="-u bind -g bind -t /chroot/bind" 

　　注：如果在其它系统平台，如OpenBSD、Linux、Solaris，则可能会稍有不同。 
主要是不同平台上的syslog实现不尽相同。例如对于OpenBSD和Linux系统，打开日 
志别名socket的命令是"syslogd -a /chroot/bind/var/run/log"，而Solaris的  精美韩国模版下载http://www.it55.com
syslogd守护进程则不支持别名。因此Solaris系统平台上的chroot需要通过另外的 
方法实现，关于具体的实现过程我会在另外的文章中说明。 


---[[ 结束语 ]]--------------------------------------------------------- 

　　安全增强配置的文章写完了，但并不是说只要你按本文提到的方法和技术实施 
就能万无一失，高枕无忧了。其实以上设置对NXT和TSIG远程漏洞攻击并不没太多 
的防御作用，充其量只不过是要编写更多的shellcode代码来突破chroot环境的限 
制。即使用allow-query等极其严格地限制查询客户端（实际上在互联网上并不现 
实），基于UDP协议的TSIG攻击技术也只需构造伪造IP地址的数据包即可绕过其限 
制。 
　　所以，在对BIND（还有其它应用服务）进行安全增强配置的基础上，安全管理 
员仍然需要密切关注最新的安全公告、安全补丁和安全技术，经常与专业的计算机 
安全专家交流知识和经验，再辅以必要的安全产品和安全服务，才能更充分地保护 
好自己的网络和计算机用户，抵御各种恶意攻击。

 luke3399 回复于：2003-07-31 16:31:18 Goooooooooooooooooood!

（编辑：IT资讯之家 www.it55.com）