Конфигурация DNS

Сервер доменных имен, реализованный в системе Linux как BIND (Berkeley Internet Name Domain), не представляет реальной угрозы для безопасности системы. Если не учитывать потенциальные проблемы, связанные с любым сервером, работающим на базе UDP, остаются вопросы, касающиеся использования ТСР-соединений. Чтобы избежать угрозы для системы, следует обратить внимание на конфигурационные параметры, определяющие взаимодействие с другими серверами, и на информацию, предоставляемую клиентам.

Вопросы безопасности DNS в основном связаны с распространением частной информации и уязвимостью для атак с целью вывода сервера из строя. Возможность распространения частных сведений в основном определяется тем, какая информация хранится на сервере, и тем, кто может обращаться к базе данных. Исход атаки с целью вывода сервера из строя зависит от того, кому разрешено копировать базу данных сервера, откуда вы получаете информацию о зоне, и от того, кому разрешен доступ к базе данных.


За дополнительной информацией о DNS и BIND обращайтесь к страницам интерактивной справочной системы named (8), resolver(5) и hostname (7); официальной документации по Bind 8 (/usr/doc/bind-8.2/html/index.html) и DNS-HOWTO.

/etc/resolv.conf

Преобразователь (resolver) — это компонент DNS, выполняющий функции клиента. Он реализован не в виде отдельной программы, а представляет собой набор библиотечных функций. Эти функции присоединяются на этапе компиляции к приложениям, предназначенным для работы в сети. Именно фрагменты программы, реализующие преобразователь, отвечают за отправку запросов серверу доменных имен. Конфигурация преобразователя задается с помощью файла /etc/resolv.conf.

Если в системе не выполняется программа named, в файле /etc/resolv.conf обязательно должны присутствовать две директивы domain и nameserver. Директива domain задает имя локального домена. Директива nameserver задает адрес сервера имен и может встречаться в конфигурационном файле /etc/resolv.conf до трех раз. Обращение к серверам имен производится в том же порядке, в котором их адреса задаются директивами nameserver. Если в файле /etc/resolv.conf дополнительно указана директива option rotate, то порядок обращения к серверам имен изменяется; при каждой новой операции преобразования имени опрос начинается с нового сервера. Ниже приведен пример файла resolv.conf, в котором указаны домен провайдера и три сервера имен

domain my.isp.net
nameserver 192.168.47.81
nameserver 192.168.60.7
nameserver 192.168.47.8 option rotate

Если в системе поддерживается сервер имен, единственная директива nameserver,

содержащаяся в файле /etc/resolv.conf, указывает на локальный компьютер. В

этом случае содержимое /etc/resolv.conf выглядит приблизительно так

domain my.isp.net nameserver 127.0.0.1

Если в системе присутствует локальный сервер имен, то в файле /etc/resolv.conf может содержаться директива search. Она задает список доменов, в которых должен выполняться поиск узла по именам, определенным не полностью. Пример конфигурационного файла, содержащего директиву search, приведен ниже

domain my.local.Ian my.isp.net name s e rve r 127.0.0.1

Опубликовано в Разное
/
12 Июл 2015