UNIX下DNS服务器之管理维护篇（5）

如果需要用TSIG签名来进行安全的DNS数据库手工更新，具体操作步骤很简单：

① 用BIND自带的dnskeygen工具生成TSIG密钥。

# dnskeygen -H 128 -h -n tsig-key.

则会生成两个文件，将它们放到本地域名服务器的配置文件中，记住要重启named守护进程。 然后将这两个密钥文件复制到客户端系统(或辅助域名服务器)，例如为/etc/tsig目录。最后运行如下命令即可：

nsupdate -k /etc/tsig:tsig-key.

② 如果需要对区域记录传输(自动或手工)进行TSIG签名，则有两种方法：

第一种方法：用dnskeygen生成TSIG密钥，方法同上。

第二种方法：主域名服务器配置文件的内容(节选)如下：

// 定义认证的方法和共享密钥

key master-slave {

algorithm hmac-md5;

secret "mZiMNOUYQPMNwsDzrX2ENw==";

};

// 定义辅助域名服务器的一些特性

server 61.132.62.137 {

transfer-format many-answers;

keys { master-slave; };

};

// 区域记录定义

zone "ghq.js.com"

type master;

file ghq.js.com

allow-transfer { 61.132.62.137; };

};

总之，我们在对BIND进行安全增强配置的基础上，仍然需要密切关注最新的安全公告、安全补丁和安全技术，要经常向有关的安全专家请教，再辅以必要的安全产品和安全服务，才能更充分地保护好企业的网络，抵御各种恶意攻击，确保UNIX系统环境下DNS服务器正常安全稳定的运行。