UNIX下DNS服务器之管理维护篇（4）

2、启动BIND(DNS)安全选项来进行配置。

named进程启动选项如下：

-r：关闭域名服务器的递归查询功能(缺省为打开)。该选项可在配置文件的

options中使用"recursion"选项覆盖。

-u 和-g ：定义域名服务器运行时所使用的UID和GID。 这用于丢弃启动时所需要的root特权。

-t ：指定当服务器进程处理完命令行参数后所要chroot()的目录。

在options节中增加自定义的BIND版本信息，可隐藏BIND服务器的真正版本号。

version "No know?";

// version 8.2.3;

此时如果通过DNS服务查询BIND版本号时，返回的信息就是"No know?"。

要禁止DNS域名递归查询，在options(或特定的zone区域)节中增加：

recursion no;

fetch-glue no;

要限制对DNS服务器进行域名查询的主机，在options(或特定的zone区域)节中增加：

allow-query { };

address_match_list是允许进行域名查询的主机IP列表，如"202.102.24.35; 61.132.57/24;"。

要限制对DNS服务器进行域名递归查询的主机，在options(或特定的zone区域)节中增加：

allow-recursion { };

address_match_list是允许进行域名递归查询的主机IP列表，如 "202.102.24.35; 61.132.57/24;"。

要限制对DNS服务器进行区域记录传输的主机，在options(或特定的zone区域)节中增加：

allow-transfer { };

address_match_list是允许进行区域记录传输的主机IP列表，如"202.102.24.35; 61.132.57/24;"。

3、通过TSIG(Transaction Signature)对区域记录传输进行认证和校验。

首先请确保BIND域名服务器软件已更新到最新版本，因为最新的BIND版本解决了在以前版本中发现的bug和/或安全漏洞。