UNIX下DNS服务器之管理维护篇

【内容导航】

第1页：UNIX系统DNS管理维护

第2页：UNIX的DNS测试与调试工具

第3页：DNS日常的安全管理维护

前面几篇文章介绍了UNIX的概念、创建等。这篇介绍DNS的管理维护。

一、UNIX系统DNS管理维护

   1、DNS的启动与停止

    如在Solaris 系统中启动与停止DNS的方法：

    用root身份登录到系统

    #ps –ef|grep named  查看named 的进程号pid

    1）重启动named：

    # kill –HUP pid

    2）停止named：

    # kill pid

    如在AIX系统中启动与停止DNS的方法：

    用root身份登录到系统

    1) 启动named：

    # startsrc –s named

   2) 停止named：

    # stopsrc –s named

   3）数据库修改后重读数据库：

   # refresh –s named

    2、让DNS服务随UNIX系统的自动启动

    在我们创建与配置好DNS服务器时，当UNIX系统重新启动时，DNS服务一般是不会自动起来的，必须手工启动，这样很麻烦。在Solaris系统中，我们必须要修改 inetd.conf配置文件，找到named的注释行，去掉前面的“#”即可。

    在AIX系统中，为了使系统在下一次启动时named能处于工作状态，应打开/etc/rc.tcpip文件中关于named的注释即可（# smit stnamed）。

二、UNIX 的DNS测试与调试工具

    在完成DNS的安装及设定后，客户端即可向服务器提出名称解析的要求，使用者可通过相关的工具来对DNS服务器做测试与调试。named提供几种内置的辅助调试工具，其中最重要的是可配置性非常灵活的日志功能；我们可以在命令行指定调试级别或者用ndc设置它们，还可以命令named把运行统计结果转储到一个文件，并用dig或nslookup验证域名查询。

    1、首先我们用系统命令 ping 来测试，看是否能拼通

    # ping “域名”

    在UNIX系统中，如果拼不通，则首先要检查DNS服务是否处于工作状态，其次用UNIX的PS命令查看一下named的进程是否存在如ps –ef|group named；假如进程已有，则要检查DNS的创建过程所有的配置文件的正确与否。

    在Windows客户机中，可进入MSDOS方式，如在C/>提示下使用ping hostname命令，其中hostname指所查询的域名全称，如配置正确则立刻显示经过解析的IP地址，否则长时间无显示结果表示配置不正确需查找原因。

    2、查看日志系统

    named日志工具的灵活性是很好的，BIND4使用系统日志来报告错误消息和反常情况；BIND8通过添加另一个间接层并支持直接将日志计入文件，推广了系统日志的概念。BIND日志是在named.conf中用logging语句配置的，BIND8默认的日志配置为：

logging {

category default {default_syslog;default_debug;};

category panic {default_syslog;default_stderr;};

category eventlib {default_debug;};

category packet {default_debug;};

};

BIND9默认的日志配置为：

logging {

category default {default_syslog;default_debug;};

};

default_syslog：用工具守护进程把info和更高严重性的消息发送到syslog；

default_debug：日志记录到文件named.run，严重性设置为dynamic；

default_stderr：把消息发送给named的标准出错输出，严重性为info。

当DNS运行出错时，我们可以查看系统日志文件syslog以及named.run等，对照有关BIND 错误消息清单（可以在http://www.acmebw.com/askmrdns/bind-messaged.htm网站上下载），找到解决方法。

    3、调试级别

    named调试级别用从0到11的整数来表示；数字越大，表示输出信息越详细。级别0关闭调试，级别1和2适用于调试配置和数据库，大于4的级别适合代码的维护人员使用。我们可以在named命令行用-d标记调用调试，例如：

# named –d2

    将在调试级别2启动named，调试信息写入named.run文件，该文件的位置随UNIX系统的不同而不同。严重性级别越高，则日志记录的信息越多。

    4、用ndc调试

    ndc命令（在BIND 9中称为rndc）是操作named的一种有利工具，产生文件的命令把文件放到named.conf中被指定为named主目录的目录中。

一些常用的ndc调试命令简单介绍如下：

status：显示运行中的named的当前状态；

dumpdb：把DNS数据库转储到named_dump.db；

stats：把统计转储到named.stats；

reload：重新装载named.conf和区文件；

restart：重新启动named，清空高速缓存；

notrace：关闭调试。

    例如named的最新版本保留了查询的统计，我们可以用ndc stats访问它，named接到这条命令时，就将统计写入文件named.stats。

    5、使用nslookup、dig和host调试

    以shell方式可以使用3种工具来查询DNS数据库：nslookup、dig和host，在BIND的软件发布中包括nslookup和dig。Nslookup是这三个工具中最老的，而且总是随同BIND一起发布；dig是域信息的探索程序，最初由Steve Hotz编写，后来Michael Sawy针对BIND 9将它重新编写，它也和BIND一起发布；host由Eric Wassenaar编写，是另一个开放源代码的工具，其特点是输出对用户很友好，功能是可检查区文件的语法。

    另外三者使用的解析器库不同：dig和host使用BIND的解析器，而nslookup有其自身的解析器。

    （1）nslookup

    输入 nslookup 命令后，会看到 > 提示符号，之后就可输入查询指令。一般会输入IP address或是domain name来做反向及正向的解析。而nslookup不仅提供上述2种解析，亦提供DNS中其它的资料记录型态，例如MX、NS…等等，我们可在提示符号直接输入”?”来获得所有可以使用的参数或资料型态。

# nslookup

Default Server: ghq.js.com

Address:  61.155.107.131

>

    （2）dig

    用法：dig [ @server ] [ -b address ] [ -c class ]… (详细说明请以"man dig"来查询)

# dig ghq.js.com

    送出domain name的查询封包至name server，后面参数可接IP address或domain name来获得name server所提供的相关讯息，同nslookup一样，dig也提供不同资料记录型态，例如MX…等等。

    （3）host

    host基本上也是dns的查询，后面可接IP address或domain name来获得对应的domain name或IP。

# host ghq.js.com

ghq.js.com has address  61.155.107.131

三、DNS日常的安全管理维护

    针对BIND DNS服务软件的安全配置情况，我们要充分利用BIND自身已经实现的保护功能，加强BIND安全性，从而能抵御目前已知的BIND安全漏洞，并使潜在的安全漏洞所可能对服务器造成的影响尽可能地减少。这也是我们针对UNIX DNS日常管理维护非常重要的一项工作。

    从DNS服务器的安全运行管理可以考虑采用下面几种方法：

    1、采用多个域名服务器应付恶意攻击者，对DNS服务器进行拒绝服务攻击。

    如果纯粹从理论上出发，那么一台DNS服务器是完全可以完成所有任务的。当注册了一个域名以后，实际上可以最大为企业的域名设置6个DNS服务器名。如果主域名服务器被人攻击了，可以启用辅域名服务器，如果主辅域名服务器都被同时攻破了，也可以用第三台或第四台域名服务器进行工作，具体设置几个域名服务器可根据企业构建网络情况而设定。

    而对于广大的用户而言，当出现这种多个DNS服务器停止服务带来的唯一的影响就是查询域名的时候会延迟，因为它需要一个一个的去查询，直到找到最后的一个为止。

    2、启动BIND（DNS）安全选项来进行配置。

    named进程启动选项如下：

-r：关闭域名服务器的递归查询功能（缺省为打开）。该选项可在配置文件的

    options中使用"recursion"选项覆盖。

-u <user_name>和-g <group_name>：定义域名服务器运行时所使用的UID和GID。  这用于丢弃启动时所需要的root特权。

-t <directory>：指定当服务器进程处理完命令行参数后所要chroot()的目录。

    在options节中增加自定义的BIND版本信息，可隐藏BIND服务器的真正版本号。

version "No know?";

// version 8.2.3;

    此时如果通过DNS服务查询BIND版本号时，返回的信息就是"No know?"。

    要禁止DNS域名递归查询，在options（或特定的zone区域）节中增加：

recursion no;

fetch-glue no;

    要限制对DNS服务器进行域名查询的主机，在options（或特定的zone区域）节中增加：

allow-query { <address_match_list> };

address_match_list是允许进行域名查询的主机IP列表，如"202.102.24.35; 61.132.57/24;"。

    要限制对DNS服务器进行域名递归查询的主机，在options（或特定的zone区域）节中增加：

allow-recursion { <address_match_list> };

address_match_list是允许进行域名递归查询的主机IP列表，如 "202.102.24.35; 61.132.57/24;"。

l 要限制对DNS服务器进行区域记录传输的主机，在options（或特定的zone区域）节中增加：

allow-transfer { <address_match_list> };

address_match_list是允许进行区域记录传输的主机IP列表，如"202.102.24.35; 61.132.57/24;"。

    3、通过TSIG（Transaction Signature）对区域记录传输进行认证和校验。

    首先请确保BIND域名服务器软件已更新到最新版本，因为最新的BIND版本解决了在以前版本中发现的bug和/或安全漏洞。

    如果需要用TSIG签名来进行安全的DNS数据库手工更新，具体操作步骤很简单：

    ①  用BIND自带的dnskeygen工具生成TSIG密钥。

# dnskeygen -H 128 -h -n tsig-key.

    则会生成两个文件，将它们放到本地域名服务器的配置文件中，记住要重启named守护进程。 然后将这两个密钥文件复制到客户端系统（或辅助域名服务器），例如为/etc/tsig目录。最后运行如下命令即可：

nsupdate -k /etc/tsig:tsig-key.

    ② 如果需要对区域记录传输（自动或手工）进行TSIG签名，则有两种方法：

   第一种方法：用dnskeygen生成TSIG密钥，方法同上。

   第二种方法：主域名服务器配置文件的内容（节选）如下：

// 定义认证的方法和共享密钥

key master-slave {

        algorithm hmac-md5;

        secret "mZiMNOUYQPMNwsDzrX2ENw==";

};

// 定义辅助域名服务器的一些特性

server 61.132.62.137 {

        transfer-format many-answers;

        keys { master-slave; };

};

// 区域记录定义

zone "ghq.js.com"

       type master;

        file ghq.js.com

        allow-transfer { 61.132.62.137; };

};

    总之，我们在对BIND进行安全增强配置的基础上，仍然需要密切关注最新的安全公告、安全补丁和安全技术，要经常向有关的安全专家请教，再辅以必要的安全产品和安全服务，才能更充分地保护好企业的网络，抵御各种恶意攻击，确保UNIX系统环境下DNS服务器正常安全稳定的运行。