Linux系统：安全的DNS服务器配置

1、Linux系统下常用网络服务的安全配置Linux系统目前在网络服务应用平台占有举足轻重的地位，是Windows所无法比拟的。服务器为了提高稳定性和运行效率，通常是不安装和运行X Window图形界面，而是采用文本命令行的方式进行安装和配置，并在文本模式运行网络应用服务。本项目主要实现校园网内部网 络服务器的安全管理问题。 项目简介在校园网本部（如图2所示）中心机房内假定有数台服务器，服务器安装的操作系统均为Linux,配置的常用服务有DHCP DNS邮件服务、Web、FTP Samba、NFS等。本项目需要在服 务器上设置安全的服务，以保证网络服务器的安全，并测试网络服务的安全性。二、实训环境

2、1、硬件环境数台（服务器的数目根据要求来定）服务器和数台测试客户机。2、软件环境Linux系统使用CentOS5.6,客户机使用 Windows XP、Windows 7或者Linux系统。安全的DNS服务器配置安全管理需求DNS服务是当前网络中非常重要的服务，它实现了IP地址与域名的转换，使得人们能通过简单好记的域名来代替IP地址访问网络。因此高效管理及使用DNS服务器是网络管理员的一个非常重要的问题。任务描述配置DNS服务器并利用DNS提供的chroot机制实现安全的DNS服务。使用辅助域名服务器 实现冗余备份，与DHCP服务器配合实现DDNS功能。拓扑图如下所示（图2-5 ）。LAN1

3、： /24FQDN： IP:DNS: GATEWAYS 54图2-5网络实现DNS与DHCP拓扑图图2-5中，LAN1中配置了一台DHCP服务器和一台DNS服务器，LAN2中一台辅助DNS服务 器并启动DHCP中继代理。要求如下：1、LAN1和LAN2内客户端自动获取IP地址、子网掩码、默认网关及DNS后缀（ ）。 LAN1 可用地址为 000 和 20-50，LAN2 可 用 IP 地址为 192.168

4、.20.20-50。2、网络的主DNS服务器为，为了提高网段/24DNS客户端的 解析 速度需要中建立一个辅助区域。3、网络需要向内网及外网客户端提供web服务、邮件服务的名称解析，内网用户访问 及 被 DNS 解析为 ，夕卜网用户访问 及 被 DNS 解析为 0。4、由于客户端数量众多所以需要使用DDNS,减轻DNS的维护工作量。5、内网用户可以通过本地的DNS服务解析到公网的FQDNo步骤提示1 '在主机和上安装DHCP服务。（注：主机名的修改需要在 /etc/sy

5、sconfig/network /etc/hosts 中进行）2、在主机和dns1 上安装DNS组件。CentOS5.6提供的组件如下：bi nd-libs-9.3.6-16.P1.el5bind-9.3.6-16.P1.el5bi nd-chroot-9.3.6-16.P1 .el5bi nd-utils-9.3.6-16.P1.el5caching-nameserver-9.3.6-16.P1 .el5.x86_64.rpm （非必需的，BIND 配置例子，如果对 BIND 比较熟悉，可以不安装该组件。）3、开启路由器的路由功能，使用如下命令完成。echo 1 > /p roc/sy

6、 s/n et/i p v4/i p_f o rward4、为了更好地显示编辑的当前目录信息（提示符信息），可以修改PS1变量的选项，通过修改文件 /etc/bashrc，将里面的 ”$PS1" = "s-v$ ” && PS1="uh W$ n 下的大写 的 W 改成 小写的w（表示完整显示目录信息）。重新进入系统即可显示当前完整的编辑目录。类似于如下图 （图2-6）所示：rootlocalhost # cd /var/n amed/chroot/rootlocalhost /var/n amed/chroot#图2-6完整显示当前编辑目录示意图

7、5、在主机上创建DDNS密钥，通过cat查看并记下生成的密钥。注：TSIG （ Tran saction Sig nature，事务签名）使用加密验证 DNS信息。TSIG是以加密算 法的方式，认证DNS服务器之间的数据传输。首先必须在主要区域所在服务器上生成加密证书，之 后将此证书传递给辅助区域所在服务器，经过配置后由辅助区域所在服务器以加密方式送往主要区域所在服务器的区域传输请求。同时提供加密的DDNS TSIG功能确认DNS之信息是由某特定DNS服务器提供，并且大多数应用于DNS之间区域传输，确保辅助区域从主要区域复制得到的数据不会由其他假的DNS服务器提供或被篡改截取。使用命令dnss

8、eckeygen可以产生加密密钥（该命令的详细内容可参见其帮助文档）。女图2-7所不。rootd ns # cd /var/n amed/chroot/rootdns /var/named/chroot# dnssec-keygen -a HMAC-MD5 -b 128 -n USER xxxdnsKxxxd ns.+157+33084图2-7为DDNS创建密钥示意图6、在主机上创建TSIG密钥，用于主机区域DNS传送，通过cat查看并记下 生成 的密钥。如图28所示。rootd ns # cd /var/n amed/chroot/rootdns /var/named/chroot#dnss

9、ec-keygen -a HMAC-MD5 -b 128 -n HOST rndc-key Krndc-key.+157+60882图2-8为主机客户端创建密钥示意图7、在 上使用 /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample 覆盖/etc/dhcp/dhcpd.conf，并修改其内容。如图 29所示。ddn s-update-style in terim;ignore die nt-updates;opti on doma in-n ame "xxx. net”；key xxxd ns algorithm hmac-md5;secret O

10、4gltWAab+aWoBjm9c7Fqw=;图2.9 dhcpd配置文件设置示意图8、在上配置BIND全局配置文件。(1)复制全局配置文件模板，使用命令：#cp -p /var/n amedchroot/etc/ named.each ing-n ameserver.c onf n amed.c onf(2) 修改 named.conf 文件，内容如图 2-10 所示。/var/named/chroot/etc/ /var/ named/chroot/var/ named/opti ons liste n-on port 53 any;Iisten-on-v6 port 53 :1;dire

11、ctoryH/var/ namedn;dump-fileH/var/ named/data/cache_dump.dbn;statistics-file n/var/ n amed/data/named_stats.txt'f; memstatistics-file H/var/ n amed/data/named_mem_stats.txtn; query-source port 53;query-source-v6 port 53;allow-query any;#8 is ISP's DNS Server.forwarders 202.103.24

12、.68;forward first;);key xxxtra nsfer algorithm hmac-md5;secret 4iWdKDIHv5IO8l5Wp9LMLA=;)；server keys xxxtra nsfer;key xxxdns algorithm hmac-md5;secret O4gltWAab+aWoBjm9C7Fqw=;)；loggi ng cha nnel default_debug file Hdata/named.ru n,f;severity dyn amic;view xxx_LAN_resolver match-clie nts

13、 /16;match-desti natio ns any;recurs ion yes;in elude '7etc/ named an .z on es,f;view xxx WAN resolver match-clie nts any;match-desti natio ns any;recurs ion yes;in elude '7etc/ named wa n.z on es,f;图2-10 named.conf文件配置示意图9、在上配置BIND主配置文件(1)复制主配置文件模板。cp /var/n amed/chroot/etc/ nam

14、ed.rfc1912.z ones n amedja n.zones cp /var/n amed/chroot/etc/ named.rfc1912.z ones n amed_wa n.zones(2)修改添加named_lan.zones文件，内容如图2-11所示。zone Mxxx. net'* IN type master;file “xxx. net.la n.zeron; allow-update key xxxdn s; allow-tra nsfer key xxxtra nsfer;);zone M10.168.192.n IN type m

15、aster;file "10.168.192.local" allow-update key xxxdn s; allow-tra nsfer key xxxtra nsfer;)；zone ”20.168.192.” IN type master;file "20.168.192.local" allow-update key xxxdn s;allow-tra nsfer key xxxtra nsfer;)；图2-11主配置文件示意图(1)(3)修改添加named_wan.zones文件，内容如图2-12所示。zone &q

16、uot;xxx. net'* IN type master;file "xxx. net.wan.zero" allow-update none;)；图2-12主配置文件示意图(2)10、在上配置BIND区域文件。(1)复制正向解析及反向解析文件模板，命令如下所示。cp /var/n amed/chroot/var/ named/named.zero xxx.n et.la n. zero cp /var/n amed/chroot/var/ named/named.zero xxx.n et.wa n. zero cp /var/n amed/chroot/var

17、/ named/named Jo cal 10.168.192 .localcp /var/n amed/chroot/var/ named/named Jo cal 20.168.192 .local(2)修改文件 .lan.zero , 如图 2-13 所示。$TTL 86400IN SOA dn s.xxx .net.dn s.xxx .nINNSet.INMX 10dn s.xxx .n 一 XdnsINAWWWINCNAMEdn s.xxx .nmailINCNAMEdn s.xxx .nroot.xxx .n423H15M1W1D);serial (d.;r

18、efresh;retry ;expiry;mi图2-13正向区域文件配置(1)(3)修改文件 .wan.zero , 如图 2-14 所示。$TTL 86400IN SOA dn s.xxx .net.root.xxx .n et.423H15M1W1D);serial (d. adams);refresh;retry;expiry;mi nimumdn s.xxx .nINNSet.INMX 10dn s.xxx .ndnsINA0WWWINCNAMEdn s.xxx .n 4,mailINCNAMEdn s.xxx .n图2-14正向区域文件配置(2)(4)修改文件

19、10.168.192.local，如图 2-15 所示。$TTL86400(INSOAdn s.xxx .n et. root.xxx .n et.1997022700;Serial 28800 ; Refresh14400;Retry3600000;Expire86400 );Mi nimumINNSdn s.xxx .n et.4INPTRdn s.xxx .n et.图2-15反向区域文件配置(1)(5)修改文件 20.168.192.local，如图 2-16 所示。$TTL 86400IN SOA dn s.xxx .n et. root.xxx .n et.(1997022700;

20、 Serial28800;Refresh14400;Retry3600000;Expire86400 ); MiIN NS dn s.xxx .n et.图216反向区域文件配置(2)11 ' 在 上修改 /var/named/chroot/var/named 系统权限。命令如下：chow n -R n amed: named /var/n amed/chroot/var/ named/12 ' 在 上启动 DHCP DNS 月艮务。13 ' 在 上修改 /etc/sysconfig/dhcrelay 文件，内容如下。INTERFACES=ethODHCPSERVERS

21、= ”14 > 在上配置BIND全局配置文件。(1)复制全局配置文件模板。cp /var/n amed/chroot/etc/ named.cachi ng-n ameserver.c onf n amed.c onf图217全局配置文件示意图2 )修改named.conf文件,如图2-17所示。server keys xxxtra nsfer;view xxx_LAN_resolver match-clie nts /16;match-desti natio ns any; recurs ion yes;in el

22、ude "/etc/ namedan .z on esM;图2-17全局配置文件示意图（续）15 '在上配置BIND主配置文件。（1）复制主配置文件模板，命令如下：cp /var/n amed/chroot/etc/ named.rfc1912.z ones n amedja n.zones（2）修改namedan.zones文件，内容如图2-18所示。zone *'xxx. net" IN type slave;masters ; file "slaves/xxx. net.la n.zero',;）；zone *

23、'10.168.192." IN type slave;masters ; file "slaves/10.168.192.local"）；zone *'20.168.192." IN type slave;masters ;file ”slaves/20.168.192.local”；）；图2-18 dns1的主配置文件示意图16、修改 dns1 上 named 的权限。/var/named/chroot/var/named/17、在上启动D

24、HCP中继代理、DNS服务，命令如下：service dherelay startservice n amed start18、测试为了实现路由器的功能，可用一台主机（设置双网卡， Linux和Windows均可以）充当 路由器。（1） DHCP 测试图219是DHCP中继代理测试效果图。C;riWI>OTS«yrlvM： 2Xvad.H ：也 i«Pr Lnwrp bna SufF £x ， Hods TyifW I « IP Roiiting EnuAblsrl .rz TfiHI-fr J/IGTGJkl.M 注 ldtxArirVi盹1 &

25、#163;申.IHF1 HtPl-OMyjdiMih Led.DMUli Lis t. n«t nrinplAr 彳Cu n ritict lu n m« c If ic IMS Suff lx ©eacrlptioft *Fh 付址 Ad.dM-S-6A i « « » DhcpEnabled.ftutncenf ieniirflit ia nEnAnh led IP AddrefA.SubaiuA HuLuhlAnFnultGntewiy . « . 9 DHCP Se-fuer- . DHS £erwei*±r «<,ObtnineA LHdiEff EMpir*E4dP。冲打审方门上乳几口 “ k； GtXinigA，,rle3pt>(2) DNS测试1 pt .net :Accc:se-9C-2?-73-2Z-0flYesVcs14ii.lt6H.2H . IMaSE.aE6.3SE»B1¥2 £B 28A54i i9£.l«B.Mi.5152.168.18,4:2