首页 » 应用安全 » 其它应用 » DNS » 正文

Bind 常见加固

1. 禁止显示 Banner

修改配置文件 /etc/named.conf 中的 version 参数如下:

version "no banner"

2. 限制区域传输

修改配置文件 /etc/named.conf 中的 allow-transfer 参数,根据实际需要调整参数下的地址范围,尽量将其限制到最小范围。

# 例如: 仅允许本机或 192.168.0.0/24 网段执行区域传输操作
allow-transfer { localhost; 192.168.0.0/24 };

3. 限制授权域查询

修改配置文件 /etc/named.conf ,在要设置的授权域中增加 allow-query 参数,指定允许查询的地址范围。

# 对所有授权域有效的全局查询限制
allow-query { 192.168.0.0/16; 172.16.0.0/16; };
# 例如:仅允许本机或 192.168.0.0/16 网段进行查询
zone "example.com" IN {
	type master;
	file "example.com.zone";
	allow-query {
		localhost;
		192.168.0.0/16;
	}
}

4. 限制递归查询

 修改 /etc/named.conf 文件中的 allow-recursion 参数,根据实际需要设定允许递归查询的IP地址范围。

# 仅允许本机或 192.168.1.0/24 网段进行递归查询
allow-recursion { localhost; 192.168.1.0/24; };

5. 日志记录

 修改 /etc/named.conf 文件中的 logging 参数,加入如下内容,以记录查询请求。

# 保留最近的5个日志文件,每个文件不超过20M。
logging {
	channel security_channel {
    		file "named.log" versions 5 size 20m;
    		severity info;
            print-time yes;
            print-category yes;
	};
	category security {
    		security_channel;
    		default_syslog;
	};
};

6. 升级安装

 使用下面的命令查看当前版本号。

named -v

从官方网站下载新版本的源程序,编译安装,或直接通过操作系统厂商的升级程序来安装。官方下载地址如下:

http://www.isc.org/downloads/bind/

注意:所有配置修改均需要重新启动 named 服务。

 

发表评论