Перейти к тексту

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

При первом входе в developerWorks для Вас будет создан профиль. Выберите информацию отображаемую в Вашем профиле — скрыть или отобразить поля можно в любой момент.

Вся введенная информация защищена.

  • Закрыть [x]

При первом входе в developerWorks для Вас будет создан профиль и Вам нужно будет выбрать Отображаемое имя. Оно будет выводиться рядом с контентом, опубликованным Вами в developerWorks.

Отображаемое имя должно иметь длину от 3 символов до 31 символа. Ваше Имя в системе должно быть уникальным. В качестве имени по соображениям приватности нельзя использовать контактный e-mail.

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

Вся введенная информация защищена.

  • Закрыть [x]

Экзамен LPI: Domain Name System (DNS, Доменная система имен)

Администрирование Linux, средний уровень (LPIC-2) тема 207

Дэвид Мерц, автор, Gnosis Software, Inc.
Дэвид Мерц (David Mertz) - большой знаток в области открытых стандартов и только умеренно пугает многословием. С Дэвидом можно связаться по mertz@gnosis.cx его жизнь описывается более подробно на http://gnosis.cx/dW/. Предложения и комментарии по этой, предыдущей или будущей статьям приветствуются. Также вы можете посмотреть книгу Дэвида Text Processing in Python.

Описание:  Это третье из семи руководств, описывающих базовое сетевое администрирование Linux®. Это руководство Дэвида Мерца представляет из себя введение в DNS и использование Linux как сервера DNS, прежде всего с использованием BIND 9. В нем рассказывается об установке и конфигурировании этого сервиса, обсуждается создание прямых и обратных зон, защита сервера от атак.

Больше статей из этой серии

Дата:  01.12.2005
Уровень сложности:  средний

Активность:  5184 просмотров
Комментарии:  

Защита DNS сервера

Защита DNS сервера

Как и для многих других сервисов, запуск BIND в так называемом chroot jail окружении является хорошей идеей. Это ограничивает доступ BIND к другим файлам или системным ресурсам, при взломе BIND или наличии в нем ошибок. Более детальную информацию о запуске BIND в chroot окружении можно найти в "Chroot-BIND HOWTO" (см. в разделе Ресурсы).

Суть этой процедуры заключается в том, что запуск BIND под суперпользователем root или даже под традиционным спец. пользователем типа "nobody". Обычно для запуска BIND создается пользователь "named". Файлы, используемые этим спец. пользователем, помещаются в локальный каталог, например /chroot/named/, и соответствующие подкаталоги.

BIND 9 предоставляет более четкую поддержку для chroot, чем BIND 8; для ее включения достаточно обычной сборки без специальных опций или установок в Makefile.

DNSSEC

Кроме проведения работ по общему повышению защищенности машины, на которой работает BIND, также возможно обеспечить гарантированную защиту в рамках самого протокола DNS. DNS Security Extensions (DNSSEC) представляет из себя набор расширений DNS, обеспечивающих аутентификацию и целостность.

DNS базируется на UDP в большей степени, чем на TCP, а стало быть, не имеет механизма верификации источника пакета. Другими словами, посылающие запрос к DNS могут получить в ответ ложные данные, например перенаправляющие соединение на хост взломщика. Добавлением криптографических Transactional Signatures (TSIG) в DNS запросы DNSSEC может предупредить подмену (spoofing) DNS ответов. На каждом сервере BIND 9, который должен работать в защищенном режиме, должен быть включен DNSSEC. Расширенный протокол, с другой стороны, обладает обратной совместимостью. В первую очередь DNS сервера, которые желают обмениваться данными в защищенном режиме, должны каким-то образом сгенерировать пару ключей. Это работает так же, как и SSH ключи для хоста и сервера. Например:


Листинг 15. Генерация ключей DNSSEC
                    
dnssec-keygen -r /dev/urandom -a HMAC-MD5 -b 128 -n HOST \
primary-secondary.my.dom
# ls Kprimary-secondary.my.dom.*
Kprimary-secondary.my.dom.+157+46713.key
Kprimary-secondary.my.dom.+157+46713.private

Как подсказывают нам имена файлов, генерируются открытый (public) и закрытый (private) ключи для конфигурируемого хоста и публичный ключ для распространения по другим серверам. Хорошим введением в DNSSEC является "The Basics of DNSSEC" из O'Reilly Network (см. в разделе Ресурсы).

6 из 8 | предыдущая | следующая

Комментарии



static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=Linux
ArticleID=176595
TutorialTitle=Экзамен LPI: Domain Name System (DNS, Доменная система имен)
publish-date=12012005
author1-email=mailto:mertz@gnosis.cx?subject=Program with SVG&cc=dwxed@us.ibm.com
author1-email-cc=

Теги

Help
Используйте форму поиска, чтобы найти любой контент с данным тегом в My developerWorks. Используйте ползунок, чтобы отразить больше или меньше тегов.

КнопкаПопулярные теги отображает самые распространенные теги для данной области контента (например: Java, Linux, WebSphere).

Кнопка Мои теги отображает Ваши теги для данной области контента (например: Java, Linux, WebSphere).

Используйте форму поиска, чтобы найти любой контент с данным тегом в My developerWorks. Кнопка Популярные теги отображает самые распространенные теги для данной области контента (например: Java, Linux, WebSphere). Кнопка Мои теги отображает Ваши теги для данной области контента (например: Java, Linux, WebSphere).