如何把Linux系統(tǒng)加入到域？1.配置DNS#vinameserver192.168.2.30nameserver192.168.2.32#vi#nslookup192.168.2.32DNS中搜索#

如何把Linux系統(tǒng)加入到域？

1.配置DNS#vinameserver192.168.2.30nameserver192.168.2.32#vi#nslookup192.168.2.32DNS中搜索#nettimeSET192.168.2.32時(shí)間同步，客戶端以服務(wù)器時(shí)間不一致是需要切實(shí)保障Linux系統(tǒng)中按裝了samba包，并用下述命令來(lái)檢查一下samba包的基礎(chǔ)庫(kù)接受，象的RPM安裝都肯定不會(huì)有問(wèn)題。#smbd-b|grepLDAPHAVE_LDAP_HHAVE_LDAPHAVE_LDAP_DOMAIN2HOSTLIST..

.#smbd-b|grepKRBHAVE_KRB5_HHAVE_ADDRTYPE_IN_KRB5_ADDRESSHAVE_KRB5...#smbd-b|grepADSWITH_ADSWITH_ADS#smbd-b|grepWINBINDWITH_WINBINDWITH_WINBIND配置配置編輯，配置能夠完成后，執(zhí)行#kinitadministrator@配置編輯配置后，重新啟動(dòng)samba服務(wù)#servicesambarestart#netadsjoin-Uadministrator@一并加入域，這時(shí)要再輸入域管理員密碼配置編輯器，更改后passwd和group為(files需視你linux系統(tǒng)配置NIS時(shí)間的長(zhǎng)短，如配置NIS，則為compat)passwd:fileswinbindgroup:fileswinbind需要保存后（重）啟動(dòng)時(shí)samba服務(wù)。（重）啟動(dòng)winbind。用wbinfo-u檢索系統(tǒng)用戶，wbinfo-g檢索數(shù)據(jù)庫(kù)用戶組來(lái)測(cè)試winbind是否需要正常

dns防護(hù)怎么做？

1.授權(quán)DNS服務(wù)器取消名字服務(wù)器遞歸函數(shù)可以查詢功能，遞歸函數(shù)dns服務(wù)器要沒(méi)限制遞歸函數(shù)訪問(wèn)的客戶（啟用白名單IP段）

2.限制修改區(qū)傳送zonetransfer，主從網(wǎng)絡(luò)同步的DNS服務(wù)器范圍重新設(shè)置白名單，是在列表內(nèi)的DNS服務(wù)器不不能網(wǎng)絡(luò)同步zone文件

allow-conversion{}

allow-setup{}

3.重設(shè)黑白名單

.設(shè)的攻擊IP一并加入bind的黑名單，或防火墻上可以設(shè)置不準(zhǔn)進(jìn)入不能訪問(wèn)；

是從acl設(shè)置不能ftp連接的IP網(wǎng)段；

實(shí)際acl設(shè)置里允許ftp連接的IP網(wǎng)段；實(shí)際acl設(shè)置不允許不能訪問(wèn)的IP網(wǎng)段；

4.隱藏BIND的版本信息；

5.使用非root權(quán)限運(yùn)行BIND；

4.隱藏地BIND的版本信息；

5.使用非root權(quán)限運(yùn)行BIND；

6.刪除掉DNS上不必要的其他服務(wù)。創(chuàng)建戰(zhàn)隊(duì)一個(gè)DNS服務(wù)器系統(tǒng)就沒(méi)有必要安裝好Web、POP、gopher、NNTP News等服務(wù)。

我建議你不完全安裝以上軟件包：

1）X-Windows及相關(guān)的軟件包；2）多媒體應(yīng)用軟件包；3）任何不必須的編譯程序和腳本解釋什么語(yǔ)言；4）任何用不著的文本編輯器；5）不需要的客戶程序；6）不不需要的其他網(wǎng)絡(luò)服務(wù)。以保證域名解析服務(wù)的獨(dú)立性，運(yùn)行域名解析服務(wù)的服務(wù)器上不能不能而傳送其他端口的服務(wù)。很權(quán)威域名解析服務(wù)和遞歸函數(shù)域名解析服務(wù)必須在有所不同的服務(wù)器上相當(dāng)于提供給；

7.建議使用dnstop監(jiān)控DNS流量

#yuminstalllibpcap-develncurses-devel

去下載源代碼

#；

9.可以提高DNS服務(wù)器的防范Dos/DDoS功能

在用SYNcookie

增強(qiáng)backlog,也可以當(dāng)然程度加快大量SYN跪請(qǐng)導(dǎo)致TCP連接堵塞的狀況

延長(zhǎng)retries次數(shù):Linux系統(tǒng)系統(tǒng)默認(rèn)的tcp_synack_retries是5次

限制SYN頻率

應(yīng)對(duì)SYN Attack攻擊:#echo1gt/proc/sys/net/ipv4/tcp_retries把這個(gè)命令一并加入#34/etc/rc.d/rc.local#34文件中；

10.[防中間人攻擊(ManintheMiddle Attack)]：對(duì)域名服務(wù)協(xié)議有無(wú)正常了并且監(jiān)控，即憑借對(duì)應(yīng)的服務(wù)協(xié)議或需要或則的測(cè)試工具向服務(wù)端口發(fā)起演示各位，分析服務(wù)器趕往的結(jié)果，以推測(cè)當(dāng)前服務(wù)是否正常嗎在內(nèi)內(nèi)存數(shù)據(jù)是否調(diào)整。在條件允許的情況下，在相同網(wǎng)絡(luò)內(nèi)部部署多個(gè)探測(cè)裝置點(diǎn)分布式監(jiān)控；

11.[防ddos攻擊]提供域名服務(wù)的服務(wù)器數(shù)量應(yīng)不低于2臺(tái)，建議您其它的名字服務(wù)器數(shù)量為5臺(tái)。但是個(gè)人建議將服務(wù)器防御部署在差別的物理網(wǎng)絡(luò)環(huán)境中在用入侵檢測(cè)系統(tǒng)，盡肯定的怎么檢測(cè)出中間人攻擊行為在域名服務(wù)系統(tǒng)周?chē)渴鹂构粼O(shè)備，如何應(yīng)付這類(lèi)型的攻擊利用流量分析等工具檢測(cè)出DDoS攻擊行為，以便趕快采取應(yīng)急措施；

12.[防緩存窺視(Cache Snooping)]：限制二分查找服務(wù)的服務(wù)范圍，僅愿意某種特定網(wǎng)段的用戶在用遞歸算法服務(wù)；

13.[防緩存中毒(或DNS欺騙)(CachePoisoning內(nèi)個(gè)DNSSpoofing)]：對(duì)最重要域名的解析結(jié)果并且重點(diǎn)監(jiān)測(cè)，那樣一來(lái)發(fā)現(xiàn)自己推導(dǎo)數(shù)據(jù)有變化能趕快能提供告警提示作戰(zhàn)部署dnssec；

14.建立完善系統(tǒng)的數(shù)據(jù)備份機(jī)制和日志管理系統(tǒng)。應(yīng)保留哪個(gè)網(wǎng)站的3個(gè)月的全部解析日志，并且建議您對(duì)有用的域名信息系統(tǒng)根據(jù)不同情況7×24的魔獸維護(hù)機(jī)制保障，預(yù)警響應(yīng)出面時(shí)間不能不能遲于30分鐘。