如何配置一個安全的 DNS 服務器

配置一個安全的DNS服務器的措施有以下這些：

• 隔離DNS服務器：首先應該隔離BIND服務，不應該在DNS服務器上運行其他服務，尤其是允許普通用戶登錄。減少其他服務可以縮小被攻擊的可能性，比如混合攻擊。

• 為BIND創建chroot：chroot是指更改某個進程所能看到的根目錄，即將某進程限制在指定的目錄中，保證該進程只能對該目錄及其子目錄的文件有所動作，從而保證整個服務器的安全。

• 隱藏BIND的版本號：通常軟件的Bug信息是和特定版本相關的，因此版本號是黑客尋求的最有價值的信息。黑客使用dig命令可以查詢BIND的版本號，然后黑客就知道這個軟件有哪些漏洞。因此，隨意公開版本號是不明智的。隱藏BIND版本號比較簡單，只需修改配置文件/etc/named.conf，在option部分添加version聲明，將BIND的版本號信息覆蓋。

• 避免透露服務器的信息：和版本號一樣，也不要輕易透露服務器的其他信息。為了讓潛在的黑客更難得手，建議不要在DNS配置文件中使用HINFO和TXT兩個資源記錄。

• 關閉DNS服務器的glue fetching選項：當DNS服務器返回一個域的域名服務器記錄，并且域名服務器記錄中沒有A記錄，DNS服務器會嘗試用glue fetching獲取一個記錄。攻擊者可以利用glue fetching進行DNS欺騙，關閉glue fetching是一個好方法。

• 控制區域（zone）傳輸：默認情況下BIND的區域（zone）傳輸是全部開放的，如果沒有限制，DNS服務器允許對任何人進行區帶傳輸，那么網絡架構中的主機名、主機IP列表、路由器名和路由IP列表，甚至包括各主機所在的位置和硬件配置等情況都很容易被入侵者得到。因此，要對區帶傳輸進行必要的限制。

• 請求限制：任何人都可以對DNS服務器發出請求，這是不能接受的。限制DNS服務器的服務范圍很重要，可以把許多入侵者拒之門外。

• 為DNS服務器配置DNS Flood Detector：DNS Flood Detector是針對DNS服務器的SYN Flood攻擊的檢測工具，用于偵測惡意地使用DNS的查詢功能。DNS Flood Detector會監控向服務器查詢名稱解析的數量，分成守護進程（daemon）和后臺（bindsnap）模式。守護進程模式會通過syslog發出警示（/var/log/messages）及bindsnap模式：得到接近實時的查詢狀態。

• 建立完整的域名服務器：了提高域名系統的可靠性，應建立輔助域名服務器。當主域名服務器不能正常工作時，輔助域名服務器能夠替代主域名服務器對外提供不間斷的服務，并起到數據備份的作用。當主域名服務器對其所管理的授權區域內的數據進行改動后，輔助域名服務器按照規定的時間間隔使用區帶傳輸從主域名服務器獲取改動后的信息，然后刷新自己相應區域內的數據，從而保持與主域名服務器的一致性。但是必須對“區帶傳輸”加以限制，只允許自己的主/輔助域名服務器進行區帶傳輸。在主/輔助域名服務器的named.conf文件中分別用allow-transfer加以限制。輔助域名服務器的配置與主域名服務器的配置很相似，只是主域名服務器的授權域的type為master，而輔助域名服務器的授權域的type為slave。

• 建立DNS日志：對于Linux的系統安全來說，日志文件是極其重要的工具。DNS日志可以記錄服務器CPU的占用時間、查詢的統計信息及配置中存在的問題，經常分析日志可以了解服務器的負載、性能、安全性，從而及時地采取措施，糾正錯誤。BIND軟件默認情況下把DNS日志寫到/var/log/messages文件中。

回答所涉及的環境：聯想（Lenovo）天逸510S、RHEL 4.0。