热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

bnd9高级配置acl使用

BIND9的高级配置本页目录BIND9的高级配置ACL定义ACL使用ACLACL使用举例使用View分离内外服务器配置关于分离内外服务器配

 

BIND 9 的高级配置


本页目录
BIND 9 的高级配置
ACL
定义 ACL
使用 ACL
ACL 使用举例
使用 View 分离内外服务器配置
关于分离内外服务器配置
View 语句
BIND 9 日志
BIND 日志的常用术语
logging 语句的语法
在 chroot jail 环境下运行 BIND 9
停止 bind 服务器的运行
创建 chroot jail 环境
修改 BIND 的默认启动参数
添加 BIND 系统日志路径
重新启动 bind9 和 sysklogdTags: ubuntu, dapper, netappsrv, bind, acl, view, logging, chroot
« sitemap
« dapper « netappsrv
BIND 9 的高级配置
内容提要

定义和使用访问控制列表
使用 View 配置分离的内外服务器
BIND 9 的日志配置
在 chroot jail 环境下运行 BIND 9
ACL
访问控制列表(ACL)就是一个被命名的地址匹配列表。使用访问控制列表可以使配置简单而清晰,一次定义之后可以在多处使用,不会使配置文件因为大量的 IP 地址而变得混乱。
定义 ACL
要定义访问控制列表,可以在 BIND 的主配置文件 /etc/bind/named.conf 中使用 acl 语句来实现。acl 语句的语法为:
acl  acl_name {
   address_match_list;
};
BIND 里默认预定义了 4 个名称的地址匹配列表,他们可以直接使用,分别为:
any : 所有主机
localhost : 本机
localnets : 本地网络上的所有主机
none : 不匹配任何主机
acl 是 named.conf 中的顶级语句,不能将其嵌入其他的语句。
要使用用户自己定义的访问控制列表,必须在使用之前定义。因为可以在 options 语句里使用访问控制列表,所以定义访问控制列表的 acl 语句应该位于 options 语句之前。
为了便于维护管理员定义的访问控制列表,可以将所有定义 acl 的语句存放在单独的文件 /etc/bind/named.conf.acls 中,然后在主配置文件 /etc/bind/named.conf 中如下语句
include "/etc/bind/named.conf.options";
之前添加如下的配置行
include "/etc/bind/named.conf.acls";

使用 ACL
定义了 ACL 之后,可以在如下的子句中使用
子句  语句  说明 
allow-query  options,zone  指定哪主机或网络可以查询本服务器或区,默认的是允许所有主机进行查询。 
allow-transfer  options,zone  指定哪些主机允许和本地服务器进行域传输,默认值是允许和所有主机进行域传输。 
allow-recursion  options  指定哪些主机可以进行递归查询。如果没有设定,缺省是允许所有主机进行递归查询的。注意禁止一台主机的递归查询,并不能阻止这台主机查询已经存在于服务器缓存中的数据。
allow-update  zone  指定哪些主机允许为主域名服务器提交动态 DNS 更新。默认为拒绝任何主机进行更新。
blackhole  options  指定不接收来自哪些主机的查询请求和地址解析。默认值是 none 。
上面列出的一些配置子句既可以出现在全局配置 options 语句里,又可以出现在 zone 声明语句里,当在两处同时出现时,zone 声明语句中的配置将会覆盖全局配置 options 语句中的配置。
ACL 使用举例
限制查询
假如要限制只有 202.0.0.0/8 和 221.0.0.0/8 查询本地服务器的所有区信息,可以在 options 语句里使用如下的 allow-query 子句
options {
......
allow-query { 202.0.0.0/8; 221.0.0.0/8; };
......
};
上面的配置没有使用 ACL,若使用 acl,需要以下的配置步骤:
S1 在 /etc/bind/named.conf.acls 中添加如下的 acl 语句,对允许查询的主机列表命名
acl aqlist {
  202.0.0.0/8;
  221.0.0.0/8;
};
S2 在 /etc/bind/named.conf.options 中使用定义的 acl_name 限制允许查询的主机列表
options {
......
allow-query { aqlist; };
......
};
限制区传输
假如要限制只有 221.3.131.5 和 221.3.131.6 可以从本地服务器传输 “example.com” 的区信息,可以在 zone 语句里使用如下的 allow-transfer 子句
zone "example.com" {
   type master;
   file "example.com.hosts";
   allow-transfer { 221.3.131.5; 221.3.131.6; };
};
上面的配置没有使用 ACL,若使用 acl,需要以下的配置步骤:
S1 在 /etc/bind/named.conf.acls 中添加如下的 acl 语句,对允许查询的主机列表命名
acl atlist {
  221.3.131.5;
  221.3.131.6;
};
S2 在 /etc/bind/named.conf.local 中使用定义的 acl_name 限制允许进行域传输的主机列表
zone "example.com" {
   type master;
   file "example.com.hosts";
   allow-transfer { atlist; };
};
防止欺骗和拒绝服务攻击
为了防止欺骗和拒绝服务攻击,对于 Internet 上的每个 DNS 服务器至少应该有一个假地址的 ACL 和一个本地地址的 ACL。为此,需要执行如下的步骤
S1 在 /etc/bind/named.conf.acls 中添加如下的 acl 语句
// 创建一个名称为 "bogusnets" 的 ACL 来阻止经常用于欺骗性攻击的(RFC1918)地址空间
acl bogusnets {
    0.0.0.0/8;
    1.0.0.0/8;
    2.0.0.0/8;
    169.254.0.0/16;
    192.0.2.0/24;
    224.0.0.0/3;
    10.0.0.0/8;
    172.16.0.0/12;
    192.168.0.0/16;
};
//创建一个名称为 "our-nets" 的 ACL,并将其配置为实际本网的 IP 地址段。
acl our-nets {    //用您的网络地址替换下面的地址列表
    x.x.x.x/24;
    x.x.x.x/21;
};
S2 在 /etc/bind/named.conf.options 中使用定义的 acl_name 限制查询和响应
options {
......
allow-query { our-nets; };
allow-recursion { our-nets; };
blackhole { bogusnets; };
......
};
使用 View 分离内外服务器配置
关于分离内外服务器配置
许多站点希望 DNS 对于内网访问和外网(Internet)访问看起来不一样,这种类型的配置称为“分离 DNS (Split DNS)”。
这种配置可以用于如下的情况:
对内网用户公开整个区的所有主机;对 Internet 用户只公开几台主机,如 www 服务器等
对内外用户指定不同的 RR,或对内网用户提供更多的 RR
可以在内网使用 RFC 1918 中定义的私有地址
View 语句
在 BIND 9 中可以使用 view 语句进行配置分离 DNS 。 view 语句的语法为
view view_name {
     match-clients { address_match_list };
     [ view_option; ...]
     zone_statement; ...
};
其中:
match-clients 子句非常重要,它用于指定谁能看到本 view。
可以在 view 语句中使用一些选项,详细信息请参考 named.conf 的手册页
zone_statement 子句指定在当前 view 中可见的区声明
如果在配置文件中使用了 view 语句,则所有的 zone 语句都必须在 view 中出现。
对同一个 zone 而言,配置内网的 view 应该置于外网的 view 之前。
下面是一个使用 view 语句的例子,它摘自 BIND9 的文档。
view  "internal" {
   match-clients { our-nets; };            // 匹配内网客户的访问
   recursion yes;                          // 对内网客户允许执行递归查询
   zone "example.com" {                    // 定义内网客户可见的区声明
      type master;
      file "example.com.hosts.internal";
   };
};
view  "external" {
   match-clients { any; };                 // 匹配 Internet 客户的访问
   recursion no;                           // 对 Internet 客户不允许执行递归查询
   zone "example.com" {                    // 定义 Internet 客户可见的区声明
      type master;
      file "example.com.hosts.external";
   };
};
接下来,需要在 example.com.hosts.internal 中创建内网客户可见的区文件,并在 example.com.hosts.external 中创建 Internet 客户可见的区文件。可以根据您的实际情况编写这两个文件,此处从略。
BIND 9 日志
在默认情况下,BIND9 把日志消息写到 /var/log/messages 文件中,而这些日志消息是非常少的,主要就是启动,关闭的日志记录和一些严重错误的消息;而将调试日志信息写入 BIND 服务器工作目录中的 named.run 文件。
BIND 9 的日志是可以灵活配置的,要详细记录服务器的运行状况,要在配置文件 named.conf 中使用 logging 语句来定制自己所需要的日志记录。
BIND 日志的常用术语
在讲述 logging 语句的语法之前,先要熟悉一些常用术语
术语  含义 
channel(通道)  日志输出方式,如:syslog、文本文件、标准错误输出或 /dev/null 
category(类别)  日志的消息类别,如:查询消息或动态更新消息等 
module(模块)  产生消息的来源模块名称 
facility(设备)  syslog 设备名 
severity(严重性)  消息的严重性等级 

logging 语句的语法
logging 语句的语法为:
logging {
    channel channel_name {                // 定义通道
        file log_file [versions number | unlimited] [size sizespec]; | syslog optional_facility; | null; | stderr;  
        // 定义输出方式
        severity log_severity;           // 定义消息严重性
        [print-time boolean;]            // 是否在消息中添加时间前缀,仅用于 file 日志
        [print-severity boolean;]        // 是否在消息中添加消息严重性前缀
        [print-category boolean;]        // 是否在消息中添加消息类别名前缀
   };
   category category_name {              // 定义类别
        channel_name;
& nbsp;       ......
   };
};
配置日志时,首先要定义通道,然后将不同的日志类别的数据指派到指定的通道上输出。
BIND 9 的默认配置是:
logging {
    // 由于使用了默认通道,所以没有通道定义部分
    category "default" { "default_syslog"; "default_debug"; }; 
};
channel 语句
channel 语句用于定义通道。
指定应该向哪里发送日志数据,需要在以下四种之间则其一:
file : 输出到纯文本文件
log_file 指定一个文件名
version 指定允许同时存在多少个版本的该文件,比如指定 3 个版本(version 3),就会保存 query.log、query.log0、query.log1 和query.log2。
size 指定文件大小的上限,如果只设定了size 而没有设定 version,当文件达到指定的文件大小上限时,服务器停止写入该文件。如果设定了version,服务器会进行循环,如把 log_file 变成 log_file.log1,log_file.log1 变成 log_file.log2 等,然后建立一个新的 log_file.log 进行写入。
syslog optional_facility :输出到 syslog,其中 optional_facility 是 syslog 的设备名,通常为以下几个
daemon
local0 到 local7
null :输出到空设备
stderr :输出到标准错误输出,默认为屏幕
severity 语句用于指定消息的严重性等级, log_severity 的取值为(按照严重性递减的顺序):
critical
error
warning
notice
info
debug [ level ]
dynamic 是一个特殊的值,它匹配服务器当前的调试级别
定义了某个严重性级别后,系统会记录包括该级别以及比该级别更严重的级别的所有消息。比如定义级别为 error,则会记录 critical 和error 两个级别的信息。
对于系统管理员来说,一般记录到 info 级别就可以了。
BIND 9 预制了如下四个默认通道;
channel "default_syslog" {
 syslog daemon;     // 发送给 syslog 的 daemon 设备
 severity info;     // 只发送此 info 及其更高优先级的信息
};   
channel "default_debug" { // 只有当服务器的 debug 级别非 0 时,才产生输出。
 file "named.run"; // 写入工作目录下的 named.run 文件
 severity dynamic; // 按照服务器当前的debug 级别记录日志
};
channel "default_stderr" {
        stderr;           // 写到stderr
        severity info;    // 只发送此 info 及其更高优先级的信息
};
channel "null" {
        null;             // 丢弃所有发到此通道的信息
};
category 语句
category 语句是指定哪一种类别的信息使用哪个或者哪几个已经定义了的通道输出。
BIND 9 中可用的类别名(category_name)有:
类别  说明 
client  处理客户端请求。 
config  配置文件分析和处理。 
database 同BIND内部数据库相关的消息,用来存储区数据和缓存记录。 
default  匹配所有未明确指定通道的类别。 
dnssec  处理 DNSSEC 签名的响应。 
general  包括所有未明确分类的 BIND 消息。 
lame-servers 发现错误授权,即残缺服务器。 
network  网络操作。 
notify  区更新通知消息。 
queries 查询日志 
resolver 名字解析,包括对来自解析器的递归查询信息。 
security 批准/非批准的请求。 
update  动态更新事件。 
xfer-in  从远程名字服务器到本地名字服务器的区传送。 
xfer-out 从本地名字服务器到远程名字服务器的区传送。 

例如要记录查询消息,可以在 named.conf 中添加如下配置:
logging {
    channel query_log {
        file "query.log" versions 3 size 20m;
        severity info;
        print-time yes;
        print-category yes;
    };
    category queries {
        query_log;
    };
};
这样服务器会在工作目录(directory 语句所指定的目录,Ubuntu 为:/var/cache/bind)下创建 query.log 文件,并把运行过程产生的 queries 消息写如到此文件中。
一般地,当 BIND 做了重大修改后,应该配置并监视日志,可能还要提高日志消息级别,一旦稳定后便可以还原配置。因为日志会占用大量的磁盘空间,尤其是查询日志。
在 chroot jail 环境下运行 BIND 9
基于安全的考虑,应该在 chroot jail 环境下运行 BIND 9 。下面讲述将 BIND 9 运行在 /chroot/named jail 环境中的配置步骤。
停止 bind 服务器的运行
sudo /etc/init.d/bind9 stop创建 chroot jail 环境
创建 chroot 目录
sudo mkdir -p /chroot/named
sudo chmod -R 700 /chroot
sudo mkdir /chroot/named/etc
sudo mkdir /chroot/named/dev
sudo mkdir -p /chroot/named/var/cache/bind
sudo mkdir -p /chroot/named/var/run/bind/run
移动原始的 /etc/bind 目录到 /chroot/named/etc
sudo mv /etc/bind /chroot/named/etc
sudo ln -s /chroot/named/etc/bind /etc/bind  // 为原位置创建符号链接,以便将来更新
创建设备并修改权限
sudo mknod /chroot/named/dev/null c 1 3
sudo mknod /chroot/named/dev/random c 1 8
sudo chmod 666 /chroot/named/dev/null
sudo chmod 666 /chroot/named/dev/random
sudo chown -R bind:bind /chroot/named/var/*
sudo chown -R bind:bind /chroot/named/etc/bind
修改 BIND 的默认启动参数
使用如下命令修改 /etc/default/bind9
sudo vi /etc/default/bind9将如下的行
OPTIOnS="-u bind"改为
OPTIOnS="-u bind -t /chroot/named"添加 BIND 系统日志路径
使用如下命令修改 /etc/init.d/sysklogd
sudo vi /etc/init.d/sysklogd将如下的行
SYSLOGD="-u syslog"改为
SYSLOGD="-u syslog -a /chroot/named/dev/log"重新启动 bind9 和 sysklogd
sudo /etc/init.d/sysklogd restart
sudo /etc/init.d/bind9 start


推荐阅读
  • 本文详细介绍了在 CentOS 7 系统中配置 fstab 文件以实现开机自动挂载 NFS 共享目录的方法,并解决了常见的配置失败问题。 ... [详细]
  • Android 自定义 RecycleView 左滑上下分层示例代码
    为了满足项目需求,需要在多个场景中实现左滑删除功能,并且后续可能在列表项中增加其他功能。虽然网络上有很多左滑删除的示例,但大多数封装不够完善。因此,我们尝试自己封装一个更加灵活和通用的解决方案。 ... [详细]
  • 如果应用程序经常播放密集、急促而又短暂的音效(如游戏音效)那么使用MediaPlayer显得有些不太适合了。因为MediaPlayer存在如下缺点:1)延时时间较长,且资源占用率高 ... [详细]
  • 第二十五天接口、多态
    1.java是面向对象的语言。设计模式:接口接口类是从java里衍生出来的,不是python原生支持的主要用于继承里多继承抽象类是python原生支持的主要用于继承里的单继承但是接 ... [详细]
  • 本文介绍了如何利用 `matplotlib` 库中的 `FuncAnimation` 类将 Python 中的动态图像保存为视频文件。通过详细解释 `FuncAnimation` 类的参数和方法,文章提供了多种实用技巧,帮助用户高效地生成高质量的动态图像视频。此外,还探讨了不同视频编码器的选择及其对输出文件质量的影响,为读者提供了全面的技术指导。 ... [详细]
  • 本文介绍了如何使用Python的Paramiko库批量更新多台服务器的登录密码。通过示例代码展示了具体实现方法,确保了操作的高效性和安全性。Paramiko库提供了强大的SSH2协议支持,使得远程服务器管理变得更加便捷。此外,文章还详细说明了代码的各个部分,帮助读者更好地理解和应用这一技术。 ... [详细]
  • 在软件开发过程中,经常需要将多个项目或模块进行集成和调试,尤其是当项目依赖于第三方开源库(如Cordova、CocoaPods)时。本文介绍了如何在Xcode中高效地进行多项目联合调试,分享了一些实用的技巧和最佳实践,帮助开发者解决常见的调试难题,提高开发效率。 ... [详细]
  • 本文深入解析了JDK 8中HashMap的源代码,重点探讨了put方法的工作机制及其内部参数的设定原理。HashMap允许键和值为null,但键为null的情况只能出现一次,因为null键在内部通过索引0进行存储。文章详细分析了capacity(容量)、size(大小)、loadFactor(加载因子)以及红黑树转换阈值的设定原则,帮助读者更好地理解HashMap的高效实现和性能优化策略。 ... [详细]
  • Java Socket 关键参数详解与优化建议
    Java Socket 的 API 虽然被广泛使用,但其关键参数的用途却鲜为人知。本文详细解析了 Java Socket 中的重要参数,如 backlog 参数,它用于控制服务器等待连接请求的队列长度。此外,还探讨了其他参数如 SO_TIMEOUT、SO_REUSEADDR 等的配置方法及其对性能的影响,并提供了优化建议,帮助开发者提升网络通信的稳定性和效率。 ... [详细]
  • 在Cisco IOS XR系统中,存在提供服务的服务器和使用这些服务的客户端。本文深入探讨了进程与线程状态转换机制,分析了其在系统性能优化中的关键作用,并提出了改进措施,以提高系统的响应速度和资源利用率。通过详细研究状态转换的各个环节,本文为开发人员和系统管理员提供了实用的指导,旨在提升整体系统效率和稳定性。 ... [详细]
  • Python 伦理黑客技术:深入探讨后门攻击(第三部分)
    在《Python 伦理黑客技术:深入探讨后门攻击(第三部分)》中,作者详细分析了后门攻击中的Socket问题。由于TCP协议基于流,难以确定消息批次的结束点,这给后门攻击的实现带来了挑战。为了解决这一问题,文章提出了一系列有效的技术方案,包括使用特定的分隔符和长度前缀,以确保数据包的准确传输和解析。这些方法不仅提高了攻击的隐蔽性和可靠性,还为安全研究人员提供了宝贵的参考。 ... [详细]
  • Web开发框架概览:Java与JavaScript技术及框架综述
    Web开发涉及服务器端和客户端的协同工作。在服务器端,Java是一种优秀的编程语言,适用于构建各种功能模块,如通过Servlet实现特定服务。客户端则主要依赖HTML进行内容展示,同时借助JavaScript增强交互性和动态效果。此外,现代Web开发还广泛使用各种框架和库,如Spring Boot、React和Vue.js,以提高开发效率和应用性能。 ... [详细]
  • 深入探索HTTP协议的学习与实践
    在初次访问某个网站时,由于本地没有缓存,服务器会返回一个200状态码的响应,并在响应头中设置Etag和Last-Modified等缓存控制字段。这些字段用于后续请求时验证资源是否已更新,从而提高页面加载速度和减少带宽消耗。本文将深入探讨HTTP缓存机制及其在实际应用中的优化策略,帮助读者更好地理解和运用HTTP协议。 ... [详细]
  • 本文详细介绍了一种利用 ESP8266 01S 模块构建 Web 服务器的成功实践方案。通过具体的代码示例和详细的步骤说明,帮助读者快速掌握该模块的使用方法。在疫情期间,作者重新审视并研究了这一未被充分利用的模块,最终成功实现了 Web 服务器的功能。本文不仅提供了完整的代码实现,还涵盖了调试过程中遇到的常见问题及其解决方法,为初学者提供了宝贵的参考。 ... [详细]
  • 字符串对比竟也暗藏玄机,你是否认同?
    在探讨字符串对比技术时,本文通过两个具体案例深入剖析了其背后的复杂性与技巧。首先,案例一部分详细介绍了需求背景、分析过程及两种不同的代码实现方法,并进行了总结。接着,案例二同样从需求描述出发,逐步解析问题并提供解决方案,旨在揭示字符串处理中容易被忽视的关键细节和技术挑战。 ... [详细]
author-avatar
Fier田野莎莎
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有