建立安全的DNS服务器

来源:千亿游戏平台 作者:千亿游戏网站

  和其它大型软件一样,BIND(DNS服务器)也因其体积庞大和功能繁杂而存在许多问题。因此针对BIND安全漏洞的系统入侵数量也在大幅度上升,最严重的甚至可获取目标主机的所有远程控制权。由于DNS服务器主机对网络系统有着很大的影响,如何避免这些系统入侵也变得至关重要了。

  这篇短文的主旨是讲述如何利用chroot()环境在RedHat Linux(或类似系统)中建立安全的BIND 8.x服务器。本文内容主要来自于Adam Shostack和他在这方面的文章(Solaris版本)。

  在编译和安装后,你需要构造可执行文件的静态链接版本。只要对%BIND%/src/port/linux目录下的Makefile.set文件稍加修改后即可。

  切换到BIND的源代码路径,执行make clean和make命令。在下面的步骤中将会把这些文件复制到chroot()目录下。

  本步骤构造的静态链接执行文件在运行时无需装载动态链接库。在chroot()环境中,这种“独立”可执行文件可避免出现缺少链接库文件问题。它在chroot()环境中无需任何静态链接库,可使服务配置简单化。其它所有的网络守护进程也可以编译和使用这种静态链接版本。

  为chroot()环境构造BIND目录。这个目录将在chroot()环境中被BIND当作系统根目录。

  此时,你可以到chroot环境中执行 /etc/namedb命令。这样当你向系统发送中断信号(kill -INT )时,named进程能够保存服务器缓存和统计信息。如果该目录为root所有则named进程无法将输出写到目录中,但不会影响named服务器功能。另一个选择是仅改变目录权限(使named用户具有写权限),而属主仍然是root。这种方法也是可行的,但必须小心设置,确保其它用户不会修改named记录!

  不要用一个已存在的UID/GID(如nobody)运行named。记住,以chroot环境中使用任何已存在的UID/GID都可能会影响到服务的安全性。必须养成在chroot环境中为每一个守护进程提供独立的UID/GID的习惯。

  Linux使用SYS V风格的init文件,所以有几个地方都可以放置运行named的命令。(大多数情况下)最好将named初始化脚本放置到/etc/rc.d/init.d/named中。在其中你会找到有关named启动的那一节内容。我们需要添加和修改其中的某些行。

  设定的s位指示这是一个套接字(socket)文件。chroot()环境中的named进程将通过该套接字与syslog通讯。

  如果一切正常,named进程将启动,日志文件将记录named服务器Ready to answer queries.。

上一篇:天津市大学软件学院智能DNS服务器采购项目竞争性磋商
下一篇:沈阳经济技术开发区实验幼儿园监控设备等采购公告