＼＼竺竺竺基于ＳＵＮＳｏｌａｒｉｓ１０的ＤＮＳ域名服務(wù)器配置自興瑞（龍巖學(xué)院網(wǎng)絡(luò)信息中心，福建３６４０００）摘要：ＳＵＮＳｏｈｒｉｓ１０是一種性能優(yōu)良的操作系統(tǒng)，在該系統(tǒng)上構(gòu)建ＤＮＳ域名服務(wù)具有明顯Ｓ

＼＼

竺竺竺

基于ＳＵＮＳｏｌａｒｉｓ１０的ＤＮＳ域名服務(wù)器配置

自興瑞

（龍巖學(xué)院網(wǎng)絡(luò)信息中心，福建３６４０００）

摘要：ＳＵＮ

Ｓｏｈｒｉｓ

１０是一種性能優(yōu)良的操作系統(tǒng)，在該系統(tǒng)上構(gòu)建ＤＮＳ域名服務(wù)具有明顯

Ｓｏｌａｒｉｓ

的優(yōu)越性。介紹在ＳＵＮ安全策略。

１０系統(tǒng)下構(gòu)建ＤＮＳ域名服務(wù)的方法。并給出了相應(yīng)的

關(guān)鍵詞：Ｓｏｌａｍ；操作系統(tǒng)；ＤＮＳ；服務(wù)囂；ＢＩＮＤ

０引言

ｓｏｌａｒｉｓ

ｌ；

ｇｏｎｅ”３２．１９３．２１８．ｉｎ－ａｄｄｒ．ａｒｐａ”｛

１０是Ｓｕｎ計(jì)算機(jī)公司開發(fā)的企業(yè)操作系

ｔｙｐｅｓｌａｖｅ；

統(tǒng)的最新版本，是面向所有用戶的免費(fèi)操作系統(tǒng)．且具有非常強(qiáng)的性能．在Ｓｏｌａｒｉｓ系統(tǒng)下構(gòu)建ＤＮＳ域名服務(wù)器．有其明顯的優(yōu)越性。

１

｝；

ｆｉｌｅ”ａｄｄｒ．ｄｎｓ＇’：／／２１８．１９３３２．Ｘ的ｒｅｖｅｒｓｅｌｏｏｋｕｐ文件名ｍａｓｔｅｒｓ（２１８．１９３．３２．１；｝；ｚｏｎｅ“ｌｙｕｎ．ｅｎ”Ｉ，，域名為ｌｙｕｎ．ｅｌｌ

ｔｙｐｅｓｌａｖｅ；

ＤＮＳ域名服務(wù)的構(gòu)建

在安裝完Ｓｏｌａｒｉｓ１０操作系統(tǒng)后．系統(tǒng)會(huì)自動(dòng)安裝

ｆｉｌｅ”ｌｙｕｎ．Ｃ１１．ｄｎｓ¨：，，存放ｌｙｕｎ．ｃｎ詳細(xì)資料的ｇｏｎｅ文

件位置／ｅｔｅ／ｎａｍｅｄｇｌｙｕｎ．ｃｎ．ｄｎｓ

ｎｌａｓｔｅｒｓ（２１８．１９３．３２．１；｝；ｌ；

Ｂｉｎｄ

９．２．４．且被安裝在／ｕｓｒ／ｓｂｉｎ／ｎａｍｅｄ．但要讓系統(tǒng)成第一步．建立ｎａｍｅｄ．ｃｏｎｆ。ｎａｍｅｄ．ｃｏｎｆ文件主要用

為自己所需的ＤＮＳ服務(wù)器，還需下列設(shè)置：

來(lái)控制域名服務(wù)器的操作．在／ｅｔｃ／ｎａｍｅｄ．ｃｏｎｆ文件中提供一些關(guān)鍵字．用于定義操作聲明。

下面以我所配置的ＤＮＳ域名服務(wù)器的ｎａｍｅｄ．ｃｏｒｄ＂文件來(lái)示例：

＃ｍｏｒｅ

第二步，建立和下載ｎａｍｅｄ。ｒｏｏｔ文件。ｎａｒｅｅｄ．ｒｏｏｔ這個(gè)文件指定了根服務(wù)器的名字到地址的映射．即存放了所有最頂層ＤＮＳＳｅｒｖｅｒ的ＩＰ和資料。這個(gè)文件的信息作為對(duì)ｉｎ．ｎａｍｅｄ進(jìn)程的提示．ｉｎ．ｎａｍｅｄ名稱守護(hù)進(jìn)程會(huì)嘗試和其中一個(gè)根服務(wù)器取得聯(lián)系直到獲得響應(yīng)為止。作出響應(yīng)的根服務(wù)返回一個(gè)根服務(wù)器群的列表。名稱守護(hù)進(jìn)程就使用根服務(wù)器響應(yīng)的根服務(wù)器列表。ｎａｍｅｄ。ｒｏｏｔ存放的位置由ｎａｒｅｅｄ．ｃｏｒｆｆ中指定。由于根服務(wù)器會(huì)不時(shí)改變．ｎａｍｅｄ．ｒｏｏｔ文件最好每幾個(gè)月要檢查一下．

ｎａｍｅｄ．ｒｏｏｔ可以手工編輯或直接下載：＃ｄｉｇ＠ｕ．

ｒｏｏｔ—ｓｅｒｖｅｒｓ．ｎｅｔ．ｎｆｌ＞／ｅｔｃ／ｎａｍｅｄ／ｒｏｇｔ．ｈｉｎｔ。

ｎａｍｅｄ．ｃｏｎｆ

ｏｐｔｉｏｎｓ｛ｄｉｒｅｃｔｏｒｙ”／ｅｔｃ／ｎａｍｅｄ”；

ｐｉｄ－ｆｉｌｅ”Ｉｖａｒｌｎｍ／ｎａｍｅｄ．ｐｉｄ”；

ｌｉｓｔｅｎ－ｏｎ

ｆ２１８．１９３．３２．８；｝；｝；

ｃｏｎｔｒｏｌｓ（產(chǎn)ｅｍｐｔｙ奉／｝；／／允許任何人使用ＤＮＳ

ｚｏｎｅ”．”ｆｔｙｐｅｈｉｎｔ；ｆｉｌｅ”ｎａｍｅｄ．ｒｏｏｔ”；ｌ；／／根服務(wù)器的地

現(xiàn)代計(jì)

址表所在的文件

ｇｏｎｅ”ｌｙｕｎ．ｅｄｕ．ｃｎ”ｆｔｙｐｅｓｌａｖｅ；ｆｉｌｅ”ｌｙｕｎ．ｄｎｓ”；ｍａｓｔｅｒｓ

（２１８．１９３．３２．１；）；ｌ；／／定義域名，類型為輔助ＤＮＳ。如果產(chǎn)主域服務(wù)器則ｔｙｐｅ為ｍａｓｔｅｒ。

ｇｏｎｅ”ｌｖｌｌｎ．ｅｄｕ．ｃｎ”Ｉ／／域名為ｌｙｕｎ．ｅｄｕ．ｃｎ

ｔｙｐｅｓｌａｖｅ；

６ｌｅ”ｌⅦｎ．ｄｎｓ”：／／存放ｌｙｕｎ．ｅｄｕ．ｃｎ詳細(xì)資料的ｇｏｆｌｅ

文件位置／ｅｔｅ／ｎａｍｅｄ／ｌｙｕｎ．ｄｎｓ

ｍａｓｔｅｒｓ｛２１８．１９３．３２．１；｝；

收稿日期：２００８—０１—１１修稿日期：２００８—０４－２５

第三步．在／ｅｔｅ／ｎａｍｅｄ／目錄下建立ｎａｍｅｄ．ｃｏＭ文件中相應(yīng)的文件，例如上例中的：ａｄｄｒ．ｄｎｓ，ｌｙｕｎ．ｃｎ．ｄｎｓ。ｌｙｕｎ．ｄｎｓ。ｔ）２／ｅｔｃ／ｎａｍｅｄ／ｌｙｕｎ。ｃｎ。ｄｎｓ為例：

￥１－ＩｔＬ

６０４８００

￥ＯＲｌＧＩＮＬｙｕｎ．ｅｄｕ．ｃｎ．＠

ＩＮ

ＳＯＡ

ｌｙｕｎ．ｅｄｕ．ｅｎ．ｒｏｏｔ．１ｙｕｎ．ｅｄｕ．ｅｎ．（

算

祝

＾

總第

二

幾三

期

ｖ

作者簡(jiǎn)介：白興瑞（１９７１一）。男。福建龍巖人，實(shí)驗(yàn)師。研究方向?yàn)椴僮飨到y(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)安全

ＭＯＤＥＲＮ

ＣＯＭＰＵＴＥＲ

２刪．５

萬(wàn)方數(shù)據(jù)　

９８

實(shí)踐與經(jīng)驗(yàn)／

２００６０８０４０１６０４８００８６４００２４１９２００６０４８００

ＩＮＩＮ

ＮＳＭＸＡＡＡ

；Ｓｅｆｉａｌ；Ｒｅｆｒｅｓｈ

部用戶來(lái)限制對(duì)ＤＮＳ服務(wù)器的訪問(wèn)可以防止對(duì)域名服務(wù)器的欺騙和ＤｏＳ攻擊。

：

；Ｒｅ呻

；Ｅｘｐｉｍ；Ｎｅｇａｔｉｖｅ

ｎｇ

首先定義訪問(wèn)控制列表．在／ｅｔｃ／ｂｉｎｄ／ｎａｍｅｄ．ｃｏｎｆ文件的最上部添加如下內(nèi)容：ｉｎｃｌｕｄｅ”／ｅｔｃ／ｂｉｎｄ／

Ｃａｃｈｅ

ＴｒＬ

；

１

ｎａｍｅｄ．ｃｏｎｆ．ａｃｌｓＩＩ．創(chuàng)建／ｅｔｃ／ｂｉｎｄ／ｎａｍｅｄ．ｃｏｎｆ．ａｃｌｓ文件，內(nèi)容如下：

ａｃｌｄｅｎｉｅｄ｛１９２．１６８．０．０／２４；）；

ａｃｉ

０

ｍａｉｌ．１ｙｕｎ．ｅｄｕ．ｅｎ．

＠瑚ｗ’ｗｍａｉｌｆｔｐｍ２

ｎｓ３

ＩＮＩＮＩＮ

１９２．１６８．１０２．４７１９２．１６８．１０２．４７

ｉｎｔｒａ—ｎｅｔ｛１９２．１６８．１０２．０／２４；ｌ；

Ｊ

ａｅｌｓｌａｖｅ｛１９２．１６８．１０２．４９；

２１８．１９３．３２．５

２１８．１９３．３２．２２１８．１９３．３２．５６

ＩＮ

ＩＮＩＮ

Ａ

ＡＡ

如果不想讓１９２．１６８．０．ＩＭ２４網(wǎng)段使用ＤＮＳ服務(wù)器，則可以在ｌｌａｍｅｄ．ｃｏｎｆ．ｏｐｔｉｏｎｓ文件的ｏｐｔｉｏｎｓ內(nèi)部加入：

ｂｌａｅｋｈｏｌｅ｛ｄｅｎｉｅｄ；｝；

１９２．１６８．１０２．４８１９２。１６８．１０２．４９

ＩＮＡ、

如果只想相讓１９２．１６８．１０２．０１２４；網(wǎng)段使用ＤＮＳ

第四步．啟動(dòng)ＤＮＳ。系統(tǒng)啟動(dòng)腳本／ｅｔｃ／ｒｃ３．ｄ／￥８３ｄｎｓ．開啟ｉｎ．ｎａｍｅｄ進(jìn)程，此進(jìn)程讀?。澹簦悖睿幔恚澹洌悖铮睿嫖募?。Ｓ８３ｄｎｓ文件需手工創(chuàng)建，文件內(nèi)容：ＳＶ．

ｃａｄｍｅｎａｂｌｅｄｎｓ／ｓｅｒｖｅｒ。

服務(wù)器．則可以在ｎａｍｅｄ．ｃｏｎｆ．ｏｐｔｉｏｎｓ文件的ｏｐｔｉｏｎｓ內(nèi)部加入：

ａｌｌｏｗ－ｑｕｅｒｙ

Ｉｉｎｔｒａ－ｎｅｔ；ｌ；

最后可以用ｎｓｌｏｏｋｕＤ來(lái)進(jìn)行ＤＮＳ的解析是否正確。也可用ｗｈｏｉｓ命令來(lái)解析主機(jī)名稱，或ｄｉｇ命令返回域名查詢的ＩＰ地址結(jié)果來(lái)測(cè)試所配置的ＤＮＳ服務(wù)器是否正確。２

如果只想對(duì)某個(gè)區(qū)資源作限制．也可將ｂｌａｃｋ．ｈｏｌｅ／ａｌｌｏｗ—ｑｕｅｒｙ指令加入到ｎａｍｅｄ．ｃｏｎｆ的對(duì)應(yīng)ｚｏｎｅ中去。例如：

ｚｏｎｅ”ｌｙｕｎ．ｅｄｕ．ｃｎ”｛ｔｙｐｅｍａｓｔｅｒ；，ｆｄｅ“／ｅｔｅ／ｂｉｎｄ／ｄｂ．ｍｙｄｅ—ｂｉａｎ”；ａｌｌｏｗ—ｑｕｅｒｙ｛ｉｎｔｒａ－ｎｅｔ；｝；

ｌ；

ＤＮＳ服務(wù)器的安全策略

一些安全性問(wèn)題使得已有的ＤＮＳ服務(wù)容易受到

另一方面，使用業(yè)務(wù)簽名確保ＤＮＳ交換的雙方（客戶端和服務(wù)器）可以使用數(shù)字簽名相互進(jìn)行身份驗(yàn)證．這樣可以防止冒充的域名服器對(duì)客戶端提供虛假ＤＮＳ記錄。３

攻擊．對(duì)此．ＤＮＳ提供許多安全性功能，例如禁用區(qū)域傳輸和實(shí)現(xiàn)業(yè)務(wù)簽名等選項(xiàng)。禁用區(qū)域傳輸可以確保攻擊者無(wú)法獲取詳細(xì)的區(qū)域列表，從而無(wú)法確定攻擊目標(biāo)。同時(shí)請(qǐng)求許多區(qū)域傳輸同樣也是流行的拒絕服務(wù)攻擊一種。這可以通過(guò)訪問(wèn)控制列表（ＡＣＬｓ）控制名稱查詢與區(qū)域傳輸來(lái)實(shí)現(xiàn)安全控制：建立一個(gè)訪問(wèn)地址列表并指定名稱，使用ａｌｌｏｗ—ｑｕｅｒｙ、ａｌｌｏｗ—ｒｅｃｕｒ－ｓｉｏｎ、ａｌｏｗ—ｔｒａｎｓｆｅｒ、ａｌｌｏｗ—ｒｅｃｕｒｓｉｏｎ、ｂｌａｃｋｈｏｌｅ等配置來(lái)對(duì)訪問(wèn)ＤＮＳ服務(wù)器的用戶進(jìn)行良好的控制．由外

結(jié)語(yǔ)

以上論述了如何在ＳＵＮ

Ｓｏｌａｒｉｓ

１０系統(tǒng)下配置域

名服務(wù)器．以及相應(yīng)的一些安全問(wèn)題。對(duì)于解決ＤＮＳ的安裝和配置問(wèn)題的最好方法是通過(guò)提前建立ｌｏｇ文件所采取的保護(hù)性措施，ｌｏｇ文件提供了提示和信息的資源可以用來(lái)尋找問(wèn)題的根源和解決的辦法。

Ｓｏｌａｒｉｓ

１０操作系統(tǒng)中的ＤＮＳ服務(wù)器安裝Ｂｉｎｄ

９．２．４。

ＣｏｎｆｉｇｕｒａｔｉｏｎｏｆＤＮＳＮａｍｅＳｅｒｖｅｒＢａｓｅｄ

Ｓｏｌａｒｉｓ１０

ＢＡＩＸｉｎｇ－ｒｕｉ

（Ｎｅｔｗｏｒｋ

Ｉｎｆｏｒｍａｔｉｏｎ

ｏｎ

ＳＵＮ

現(xiàn)代計(jì)

算

機(jī)

＾

Ｃｅｎｔｅｒ，ＬｏｎｇｙａｎＵｎｉｖｅｒｓｉｔｙ。Ｌｏｎｇｙａｎ

３６４０００）

ｂｕｉｌｄＤＮＳＳｏｌａｒｉｓ１０，

總

第

Ａｂｓｔｒａｃｔ：ＳＵＮＳｏｌａｒｉｓ１０ｉｓ

ｎａｍｅａｎｄ

ｓｅｌ－ｖｅｒ

ａ

ｈｉｇｈｐｅｒｆｏｒｍａｎｃｅ

ｏｐｅｒａｔｉｎｇ

ｓｙｓｔｅｍ，ｉｔ＇ｓｏｂｖｉｏｕｓａｄｖａｎｔａｇｅ

ｎａｕｌｅ

ｔｏ

二

ｉｎｉｔ．Ｉｎｔｒｏｃｕｃｅｓｔｈｅ

ｍｅｔｈｏｄｏｆｂｕｉｌｄｉｎｇＤＮＳ

８ｅｌｗｅｌ＂ｉｎＳＵＮ

ｐｒｏｐｏｓｅｓｃｏｒｒｅｓｐｏｎｄｉｎｇｓｅｃｕｒｔｉｙｐｏｌｉｃｙ．

Ｋｅｙｗｏｒｄｓ：Ｓｏｌａｒｉｓ；ＯｐｅｒａｔｉｎｇＳｙｓｔｅｍ；ＤＮＳ；Ｓｅｒｖｅｒ；ＢＩＮＤ

八三

期

－

ＭＯＤＥＲＮ

ＣＯＭＰＵＴＥＲ

２００８．５

萬(wàn)方數(shù)據(jù)　

９９

基于SUN Solaris 10的DNS域名服務(wù)器配置

作者：

作者單位：

刊名：

英文刊名：

年，卷(期)：

被引用次數(shù)：白興瑞， BAI Xing-rui龍巖學(xué)院網(wǎng)絡(luò)信息中心,福建,364000現(xiàn)代計(jì)算機(jī)（專業(yè)版）MODERN COMPUTER2008(5)1次

引證文獻(xiàn)(1條)

1. 許洪超. 軒亞光. 張玲. 張志立 IPv4/IPv6雙協(xié)議棧下服務(wù)器過(guò)渡方案的設(shè)計(jì)與實(shí)現(xiàn)[期刊論文]-許昌學(xué)院學(xué)報(bào)2009(2)

本文鏈接：http://d.g.wanfangdata.com.cn/Periodical_xdjsj-xby200805029.aspx