DNS安全性配置.doc

首先，先配置好基本的DNS先配置主：/etc/named.confoptions directory /var/named;zone . IN type hint; file named.ca;zone IN type master; file ;/var/named/ IN SOA . . ( 2011082001 3600 1800 36000 1600) IN NS .server IN A 1www IN A 重启DNS服务器这时主、从DNS服务器都可以使用nslookup、dig、host查询DNS服务器，下面我们在主named.conf这样加一行,options directory /var/named;allow-query 1 ; ;重启服务器这时发现只有主能查询DNS服务了，而从则提示没有找到这台主机，下面我们再把从IP也加进去options directory /var/named;allow-query 1;0 ; ;这时发现主从都可以查询DNS服务器了。下面我们把从服务器配好：Vi /etc/named.conf：options directory /var/named;zone IN type slave; file slaves/; masters 1; ;Service named restart发现/var/named/下面有这个文件了，这是从主服务器复制过来的下面我们删除从的，再到主服务器配置named.conf这个文件，加上一行：options directory /var/named;allow-query 1;0 ; ;allow-transfer 52;注：我加的这个IP既不是主的，也不是从的，是另外一个IP，再重启主跟从服务器，发现从服务器已经复制不了这个文件了。我们再改成从服务器的IP地址options directory /var/named;allow-query 1;0 ; ;allow-transfer 0;重启主从服务器，发现从服务器又可以复制这个文件了。下面我们接着上面做rndc密钥了：首先在主DNS服务器上生成密钥文件：rootserver etc# rndc-confgen -awrote key file /etc/rndc.key上面是使用命令生成的文件rndc.kery及它的默认位置它的内容是这样的：key rndc-key algorithm hmac-md5; secret q7surXUoAkI/G7UQjtKSVw=;下面我们来配置密钥：主named.conf：options directory /var/named;Include “/etc/rndc.key”;controls inet 1 port 953 allow 0; keys rndc-key; ; ;zone . IN type hint; file named.ca;zone IN type master; file ;allow-transfer key rndc-key; ;红色标记即为所修改的配置，重启主服务器，删除从的，再重启从服务器，发现复制不了这个文件了，下面我们再来配置从服务器：把主服务器的rndc.key这个文件复制到从服务器的/etc/目录下面，更改所有者，Scp root1:/etc/rndc.key /etc/.Chown named:named /etc/rndc.key修改从named.conf配置文件：options directory /var/named;Include “rndc.key”;controls inet 1 port 953 allow 0; keys rndc-key; ; ;zone IN type slave; file slaves/; masters 1 key